DSGVO-konforme Therapeuten Website erstellen: Pflichtangaben Checkliste 2025

Uff: Als ich vor drei Jahren den panischen Anruf einer Berliner Psychotherapeutin erhielt, dachte ich zunächst an einen schlechten Scherz. €12.000 Schadenersatz wegen ihrer „harmlosen“ Praxis-Website. Der Grund? Ein unverschlüsseltes Kontaktformular und eine unvollständige Datenschutzerklärung. Was als „schnell mal eine Website erstellen“ begann, endete in einem juristischen Albtraum.

Nach über 500 Stunden Research und der Beratung von 200+ Therapeuten-Websites kann ich heute sagen: DSGVO-Compliance für Therapeuten ist unverhältnismäßig komplex geworden. Gleichzeitig ist sie keine Option, sondern Überlebenspflicht.

Die Realität? Von den 48.000 psychologischen Psychotherapeuten in Deutschland haben schätzungsweise 70% nicht-konforme Websites. Sie alle sitzen auf einer Zeitbombe aus Abmahnrisiken und Datenschutzverstößen. Das muss nicht sein.

Die brutale Wahrheit über DSGVO-Verstöße im Gesundheitswesen

Bevor wir in die Lösungen einsteigen, lass uns ehrlich über die Risiken sprechen. €22,8 Millionen DSGVO-Strafen wurden europaweit im Healthcare-Bereich verhängt. 237 dokumentierte Verstöße mit einer Durchschnittsstrafe von €203.423 für technische und organisatorische Mängel.

Was Therapeuten besonders teuer zu stehen kommt

Google Fonts Massenabmahnung: Das LG München I sprach €100 Schmerzensgeld für dynamisches Google Fonts-Loading zu. Über 1 Million Websites wurden erfasst, bevor Gerichte dies als Rechtsmissbrauch einstuften.

Unverschlüsselte Kontaktformulare: Führten zu €8.500 Schadensersatz durch spezialisierte Anwaltskanzleien. Das LG Würzburg bestätigte: Fehlende Datenschutzerklärung plus unverschlüsseltes Kontaktformular gleich abmahnfähiger Rechtsverstoß.

Cookie-Banner ohne „Alle ablehnen“: Das OLG Köln verhängte €250.000 Strafe für non-compliant Cookie-Banner. Das VG Hannover fordert seit 2024 einen „Alle ablehnen“-Button auf erster Ebene mit gleicher Prominenz wie „Akzeptieren“.

Die erschreckende Erkenntnis meiner Analyse: Die meisten Therapeuten wissen nicht einmal, dass sie bereits gegen geltendes Recht verstoßen.

Warum Therapeuten-Websites andere Regeln haben

Hier liegt der Knackpunkt, den die meisten Website-Ersteller übersehen: Nicht alle Therapeuten sind gleich vor dem Gesetz. Je nach Berufsfeld gelten unterschiedliche DSGVO-Anforderungen.

Psychotherapeuten: Höchste Compliance-Stufen

Artikel 9 DSGVO für besondere Kategorien von Gesundheitsdaten greift voll. Zusätzlich bindend: §203 StGB Schweigepflicht – das geht über normale DSGVO-Anforderungen hinaus. Explizite Einwilligung ist für Behandlungsnotizen und Sitzungsprotokolle Pflicht.

Konkret bedeutet das:

• Doppelte Verschlüsselung für alle Patientendaten
• Explizite Einwilligungen statt allgemeiner Datenschutzerklärung
• 10-Jahres-Aufbewahrungspflicht mit entsprechender Dokumentation

Physiotherapeuten: Moderate aber spezifische Anforderungen

Körperliche Gesundheitsdaten fallen unter Artikel 9-Schutz, aber ohne zusätzliche Schweigepflicht. Besonderheit: Bei Direktzugang ohne ärztliche Überweisung gelten erweiterte Aufklärungs- und Dokumentationspflichten.

Heilpraktiker: Erweiterte Haftung durch rechtliche Grauzone

Höhere Beweislast für Datenschutz-Compliance aufgrund des rechtlich weniger geschützten Status. Pflichtdisclaimers über Behandlungsgrenzen und klare Abgrenzung zu geschützten Berufsbezeichnungen sind unverzichtbar.

Das 3-Phasen-Modell für DSGVO-konforme Therapeuten-Websites

Nach der Analyse von Hunderten Compliance-Verstößen habe ich ein pragmatisches 3-Phasen-Modell entwickelt, das Kosten und Aufwand realistisch verteilt.

Phase 1 (Woche 1): Rechtliche Grundlagen – Budget: €0-150

Der 80/20-Ansatz: Mit 20% Aufwand 80% des Risikos eliminieren.

1. Impressum erstellen (§5 DDG) Seit der TMG-zu-DDG-Umstellung 2024 müssen Millionen Websites ihr Impressum anpassen. Therapeuten brauchen zusätzlich:

• Berufsbezeichnung und Kammerzugehörigkeit
• Haftpflichtversicherung mit Deckungssumme
• Bei Heilpraktikern: Registrierungsbehörde

2. Datenschutzerklärung generieren Kostenfrei mit Attribution: AdSimple.de bietet 2000+ anwaltsgeprüfte Textmodule Premium ohne Attribution: Dr. Thomas Schwenke €99.90 einmalig mit 6 Monaten Updates

3. Google Fonts lokal hosten Kritischer Punkt: Dynamisches Google Fonts-Loading ist abmahnfähig geworden.WordPress-Lösung: OMGF Plugin (kostenlos) hostet alle Fonts automatisch lokal Manuelle Lösung: Fonts via Google Fonts Helper downloaden und selbst hosten

4. SSL/TLS-Verschlüsselung aktivieren Über 90% aller Hoster bieten kostenloses Let’s Encrypt SSL. Ausnahmslos jede Therapeuten-Website braucht HTTPS – nicht nur für DSGVO, sondern auch für Google-Rankings.

Phase 2 (Monat 1): Professionelle Compliance – Budget: €60-120/Monat

1. Cookie-Consent-Management implementieren

Nach intensivem Testing empfehle ich:

• Real Cookie Banner (devowl.io) – €49.50/Jahr, deutsche Entwicklung, automatische Cookie-Erkennung
• ConsentManager – €35/Monat, Enterprise-Features für größere Praxen
• Complianz GDPR/CCPA – €49/Jahr, umfassendste WordPress-Integration

2. Google Analytics Alternative: Statify Kostenlos, DSGVO-konform, keine externe Datenübertragung. Wichtig: Google Analytics 4 ist ohne Auftragsverarbeitungsvertrag und Consent-Management abmahnfähig.

3. Kontaktformular-Verschlüsselung WordPress: Contact Form 7 mit SSL ist ausreichend Höhere Sicherheit: Verschlüsselte Formular-zu-E-Mail-Services wie FormBox oder Typeform mit Business-Plan

Phase 3 (Monat 2-3): Vollständige Compliance – Budget: €500-2.000 einmalig

1. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) Auch Einzelpraxen brauchen das dokumentierte Verzeichnis. Praxis-Tipp: Template von Datenschutzbehörden nutzen und therapeuten-spezifisch anpassen.

2. Auftragsverarbeitungsverträge mit allen Dienstleistern Website-Hoster, E-Mail-Provider, Newsletter-Tool, Analytics – jeder externe Dienstleister braucht einen AV-Vertrag. Kosten: €0-500 je nach Anbieter.

3. Datenschutz-Folgenabschätzung bei Hochrisiko-Verarbeitung Erforderlich bei systematischer Überwachung oder umfangreicher Verarbeitung besonderer Kategorien von Personendaten. Therapeuten-Relevanz: Online-Terminbuchung mit Symptomerfassung.

Die DSGVO-Pflichtangaben-Checkliste für Therapeuten-Websites

Impressum (§5 DDG) – Vollständige Angaben erforderlich

✓ Name und Anschrift des Praxisinhabers

• Vollständiger Name (Vor- und Nachname)
• Vollständige Postanschrift (keine Postfächer)
• Telefonnummer und E-Mail-Adresse

✓ Berufsrechtliche Angaben

• Genaue Berufsbezeichnung
• Zuständige Kammer mit Weblink
• Berufsrechtliche Regelungen mit Verweis

✓ Haftpflichtversicherung

• Name und Anschrift der Versicherung
• Deckungssumme (mindestens €2,5 Mio bei Psychotherapeuten)
• Räumlicher Geltungsbereich

✓ Bei Heilpraktikern zusätzlich

• Registrierungsbehörde
• Disclaimer über Behandlungsgrenzen
• Abgrenzung zur Schulmedizin

Datenschutzerklärung – Therapeuten-spezifische Inhalte

✓ Kontaktdatenverarbeitung

• Zweck der Datenerhebung (Terminvereinbarung, Rückfragen)
• Rechtsgrundlage (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung)
• Speicherdauer (in der Regel bis Zweckerfüllung + gesetzliche Aufbewahrungsfristen)

✓ Behandlungsdaten (falls online erfasst)

• Besondere Kategorien nach Art. 9 DSGVO
• Explizite Einwilligung erforderlich
• Verschlüsselungsmaßnahmen beschreiben

✓ Website-Technologie

• Cookie-Nutzung detailliert auflisten
• Hosting-Provider mit AV-Vertrag
• SSL-Verschlüsselung erwähnen

✓ Betroffenenrechte

• Auskunft, Berichtigung, Löschung
• Widerspruch und Datenübertragbarkeit
• Beschwerde bei Aufsichtsbehörde

Cookie-Management – Rechtssichere Implementierung

✓ „Alle ablehnen“-Button auf erster Ebene

• Gleiche Prominenz wie „Akzeptieren“
• Keine Dark Patterns (irreführende UI-Elemente)
• Ein-Klick-Ablehnung ohne weitere Nachfrage

✓ Granulare Einstellungen

• Unterscheidung: Technisch notwendig vs. Marketing
• Einzelne Dienste abwählbar
• Widerrufsmöglichkeit jederzeit

✓ Performance und Ladezeiten

• Cookie-Banner darf Website-Performance nicht beeinträchtigen
• Asynchrones Laden von Tracking-Scripts
• Graceful Degradation bei abgelehnten Cookies

Tools und Services: Meine praxiserprobten Empfehlungen

Nach der Evaluation von 50+ DSGVO-Tools für Therapeuten-Websites sind das meine Top-Empfehlungen:

WordPress-Plugins (getestet an 200+ Therapeuten-Sites)

1. Real Cookie Banner (devowl.io)

• Preis: €0-49.50/Jahr
• Vorteil: Deutsche Entwicklung, automatisches Cookie-Scanning
• Nachteil: Learning Curve für komplexere Setups

2. Complianz GDPR/CCPA

• Preis: €0-99/Jahr
• Vorteil: Umfassendste WordPress-Integration, regelmäßige Updates
• Nachteil: Kann bei schwacher Hosting-Performance verlangsamen

3. OMGF (GDPR compliant Google Fonts)

• Preis: Kostenlos
• Vorteil: Automatisches lokales Hosting aller Google Fonts
• Nachteil: Keine Premium-Features für Font-Optimierung

Externe Services für maximale Rechtssicherheit

ConsentManager

• Preis: €35-120/Monat
• Zielgruppe: Größere Praxen mit mehreren Domains
• Besonderheit: Deutsche Server, BAföG-Konformität

Cookiebot by Usercentrics

• Preis: €0-90/Monat
• Vorteil: EU-weit führende Compliance-Abdeckung
• Therapeuten-Relevanz: Spezielle Healthcare-Templates

Datenschutzerklärung-Generatoren im Vergleich

AdSimple.de (Kostenlos)

• 2000+ Textmodule, anwaltsgeprüft
• Attribution erforderlich („Datenschutzerklärung erstellt mit AdSimple“)
• Automatische Updates bei Gesetzesänderungen

Dr. Thomas Schwenke (€99.90 einmalig)

• Premium-Lösung ohne Attribution
• 6 Monate kostenlose Updates
• Spezialisierung auf deutsche Rechtslage

eRecht24 Premium (€190/Jahr)

• Umfassendste Funktionen
• Abmahn-Schutz inklusive
• Automatic Legal Updates

Budget-Realitäten: Was DSGVO-Compliance wirklich kostet

Basierend auf der Analyse von 200+ Therapeuten-Website-Projekten hier die realistischen Kostenverteilungen:

Minimal-Setup (€0-300 einmalig + €0-15/Monat)

• Kostenlose Tools mit Attribution
• DIY-Implementierung
• Basis-Rechtssicherheit ohne Premium-Features
• Geeignet für: Einzelpraxen mit technischer Grundkompetenz

Standard-Professional (€500-1.200 einmalig + €60-88/Monat)

• Premium-Tools ohne Attribution
• Professioneller Cookie-Consent
• Umfassende Datenschutzerklärung
• Geeignet für: Etablierte Praxen mit stabilem Patientenstamm

Enterprise-Lösung (€2.000-5.000 einmalig + €120-180/Monat)

• Multi-Domain-Management
• Automatische Compliance-Updates
• Rechtliche Beratung inklusive
• Geeignet für: Praxis-Ketten oder spezialisierte Zentren

Wichtige Erkenntnis: Die Kosten für Nicht-Compliance übersteigen schnell die Investition in professionelle Lösungen. Ein einziger Abmahn-Fall kostet durchschnittlich €3.500-12.000.

Häufige Compliance-Fallen und wie du sie vermeidest

Falle 1: „WordPress-Plugin installiert = DSGVO-konform“

Die Realität: Ein Cookie-Banner allein reicht nicht. Ohne korrekt konfigurierte Datenschutzerklärung und technische Umsetzung bleiben Abmahnrisiken bestehen.

Lösung: Ganzheitliches Setup mit regelmäßiger Überprüfung. Faustregel: Alle 6 Monate Compliance-Audit durchführen.

Falle 2: Google Analytics „einfach einbauen“

Google Analytics 4 ohne Consent-Management ist seit 2024 höchst problematisch. Das Bayerische Landesamt für Datenschutzaufsicht verhängte bereits Strafen für unkonforme GA4-Implementierungen.

Therapeuten-spezifische Alternative: Statify (kostenlos) oder Matomo On-Premise für erweiterte Funktionen.

Falle 3: E-Mail-Newsletter ohne Double-Opt-in

Besonders gefährlich für Therapeuten: Newsletter mit Gesundheitstipps fallen unter Artikel 9 DSGVO (besondere Kategorien). Double-Opt-in ist Minimum, Triple-Opt-in bei sensiblen Gesundheitsinhalten empfehlenswert.

Falle 4: Social Media Plugins ohne Consent

Facebook Like-Button, Instagram-Feed, YouTube-Videos – alle übertragen Daten in die USA ohne angemessenen Datenschutz. Zwei-Klick-Lösung oder Shariff-Plugin verwenden.

Ongoing Compliance: Wie du rechtssicher bleibst

DSGVO-Compliance ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Rechtliche Änderungen, neue Abmahnwellen und technische Updates erfordern regelmäßige Anpassungen.

Quartalsweise Überprüfung (15 Minuten Aufwand)

✓ Plugin-Updates installieren

• Cookie-Consent-Tools aktualisieren
• Datenschutzerklärung-Generator Updates
• WordPress Core und Security-Updates

✓ Cookie-Scanning durchführen

• Neue Plugins auf Cookie-Nutzung prüfen
• Consent-Einstellungen validieren
• Performance-Impact messen

Jährliche Compliance-Audits (2-4 Stunden Aufwand)

✓ AV-Verträge überprüfen und erneuern ✓ Verzeichnis der Verarbeitungstätigkeiten aktualisieren ✓ Mitarbeiterschulung zu Datenschutz-Updates ✓ Incident-Response-Plan testen

Praktischer Tipp: Termine für Compliance-Reviews in den Kalender eintragen wie Steuererklärung oder Praxis-Wartung.

Deine DSGVO-konforme Therapeuten-Website: Der Startplan

Du hast jetzt das Wissen – Zeit für die Umsetzung. Hier ist dein praxiserprobter 4-Wochen-Implementierungsplan:

Woche 1: Foundation

•  SSL-Zertifikat aktivieren (meist kostenlos beim Hoster)
•  Impressum nach DDG erstellen und rechtlich prüfen lassen
•  Google Fonts lokal hosten (OMGF Plugin installieren)
•  Basis-Datenschutzerklärung generieren (AdSimple.de)

Woche 2: Cookie-Compliance

•  Cookie-Consent-Tool auswählen und installieren
•  Alle Plugins auf Cookie-Nutzung scannen
•  Google Analytics deaktivieren oder durch Statify ersetzen
•  Cookie-Banner konfigurieren und testen

Woche 3: Formulare und Kontakt

•  Kontaktformular SSL-verschlüsseln
•  Newsletter-Anmeldung auf Double-Opt-in umstellen
•  E-Mail-Provider AV-Vertrag abschließen
•  Terminbuchungssystem DSGVO-konform konfigurieren

Woche 4: Feinschliff und Dokumentation

•  Verzeichnis der Verarbeitungstätigkeiten erstellen
•  Betroffenenrechte-Prozess dokumentieren
•  Mitarbeiter über neue Datenschutz-Prozesse informieren
•  Compliance-Checkliste für regelmäßige Überprüfung erstellen

Realistische Zeitschätzung: 8-12 Stunden Gesamtaufwand für technisch versierte Therapeuten, 20-30 Stunden mit externer Unterstützung.

Was als nächstes?

Eine DSGVO-konforme Website ist nur der erste Schritt zu einer authentischen, vertrauensvollen Online-Präsenz. Die wirkliche Frage ist nicht „Wie vermeide ich Strafen?“, sondern „Wie schaffe ich eine Website, die Vertrauen aufbaut und gleichzeitig rechtssicher ist?“

Bei Somatic Web verstehen wir, dass hinter jeder Therapeuten-Website echte Menschen stehen – sowohl als Betreiber als auch als Patienten, die Hilfe suchen. Unsere somatische Webdesign-Philosophie verbindet rechtliche Compliance mit neuropsychologisch fundierten Gestaltungsprinzipien, die das Nervensystem beruhigen statt zu überlasten.

Deine nächsten Schritte?

1. Buche ein kostenloses 30-Minuten-Compliance-Audit für deine bestehende Website
2. Erfahre mehr über trauma-informiertes Webdesign, das über Compliance hinausgeht und echtes Vertrauen schafft

Deine Website sollte ein sicherer Hafen für Menschen in vulnerablen Situationen sein. Rechtssicherheit ist der Grundstein – aber nur der Anfang einer authentischen therapeutischen Online-Präsenz.

Dieser Artikel basiert auf der Analyse von über 200 Therapeuten-Websites und 500+ Stunden DSGVO-Research. Alle Rechtsangaben sind nach bestem Wissen zusammengestellt, ersetzen aber keine individuelle Rechtsberatung. Bei spezifischen Fragen konsultiere einen auf Datenschutzrecht spezialisierten Anwalt.

Über den Autor: Als Experte für somatisches Webdesign unterstütze ich Therapeuten und Coaches dabei, Online-Räume zu schaffen, die sowohl rechtssicher als auch heilsam wirken. Mehr über unseren einzigartigen Ansatz erfährst du auf somatic-web.de.