Sobald jemand über dein Kontaktformular schreibt, was ihm fehlt, oder du Erstgespräche per E-Mail führst, verarbeitest du Gesundheitsdaten — die sensibelste Datenkategorie im europäischen Recht. Die Standard-Datenschutzerklärung aus dem WordPress-Plugin oder von eRecht24 erwähnt Art. 9 DSGVO meist mit keinem Wort. Das ist kein Randproblem, sondern ein strukturelles Risiko.
Was ist Art. 9 DSGVO — und warum betrifft er dich?
Die Datenschutz-Grundverordnung unterscheidet zwischen normalen personenbezogenen Daten (Name, E-Mail, Adresse) und besonderen Kategorien. Letztere genießen besonderen Schutz — weil ihre ungewollte Offenbarung Menschen besonders schaden kann.
Art. 9 Abs. 1 DSGVO listet diese besonders schützenswerten Kategorien explizit auf: Gesundheitsdaten stehen an erster Stelle, noch vor biometrischen Daten, Religionszugehörigkeit oder politischen Überzeugungen. Für Heilpraktiker, Therapeuten und Coaches bedeutet das:
Das sind Gesundheitsdaten nach Art. 9 DSGVO
Schilderungen von körperlichen oder psychischen Beschwerden im Kontaktformular
Informationen über Diagnosen, Erkrankungen oder Medikationen in E-Mails
Buchungsanfragen, die den Anlass der Behandlung nennen
Aufnahmebögen und Anamnesen — digital oder gescannt
Notizen aus Erst- oder Folgegesprächen, die du digital speicherst
Fotos von Klienten im therapeutischen Kontext
Das betrifft nicht nur deine Praxissoftware. Es betrifft deine Website — sobald dort ein Kontaktformular steht, über das Klienten beschreiben, warum sie zu dir kommen wollen.
Warum reicht eine Standard-Datenschutzerklärung nicht?
Eine generische Datenschutzerklärung — wie sie Generatoren von eRecht24, Datenschutz.org oder das Impressum-Plugin für WordPress ausgeben — deckt typischerweise folgende Punkte ab: Hosting-Anbieter, Google Fonts, Kontaktformular, Cookies, Social-Media-Links.
Das ist für einen Online-Shop oder ein Dienstleistungsunternehmen ausreichend. Für einen Heilpraktiker fehlt das Entscheidende:
| Standard-Template enthält | Was Heilpraktiker zusätzlich brauchen |
|---|---|
| Allgemeiner Hinweis auf Kontaktformular-Daten | Explizite Nennung von Art. 9 DSGVO und Gesundheitsdaten als besondere Kategorie |
| „Daten werden nicht an Dritte weitergegeben" | Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten (Art. 9 Abs. 2 lit. a oder h DSGVO) |
| Allgemeine Speicherdauer | Löschkonzept für Behandlungsdaten (GoBD, Aufbewahrungsfristen im Gesundheitswesen) |
| Hosting-Angaben | Nachweis EU-konformes Hosting ohne Drittlandtransfer |
| — | Hinweis auf Schweigepflicht als datenschutzrechtliche Ergänzung |
Das rechtliche Kernproblem
Die Verarbeitung von Gesundheitsdaten ist nach Art. 9 Abs. 1 DSGVO grundsätzlich verboten — außer einer der Ausnahmetatbestände in Abs. 2 greift. Ohne explizite Nennung dieser Rechtsgrundlage in deiner Datenschutzerklärung hast du keine dokumentierte Legitimation für die Verarbeitung. Das ist eine Lücke — keine Kleinigkeit.
Das Kontaktformular als Datenschutz-Schwachstelle
Das Kontaktformular ist auf jeder Heilpraktiker-Website vorhanden. Es ist auch der häufigste Punkt, an dem Art. 9 DSGVO verletzt wird — oft unbemerkt.
Das Problem mit freien Textfeldern
Ein Formular mit einem freien Textfeld wie „Dein Anliegen" oder „Was führt dich zu mir?" lädt Klienten ein, Gesundheitsinformationen einzugeben. Sobald das passiert, verarbeitest du Gesundheitsdaten nach Art. 9 DSGVO — unabhängig davon, ob du das wolltest oder nicht.
Die Rechtsgrundlage dafür muss vor dem Absenden transparent sein: in einem Pflichtfeld mit Einwilligungserklärung, die explizit auf die Verarbeitung von Gesundheitsdaten hinweist. Ein einfaches „Ich stimme der Datenschutzerklärung zu" ist nicht ausreichend.
Korrekte Formulierung der Einwilligung
So könnte eine rechtskonforme Einwilligung aussehen
„Ich stimme zu, dass die von mir gemachten Angaben, einschließlich möglicher Gesundheitsinformationen, zur Bearbeitung meiner Anfrage gespeichert und verarbeitet werden. Dies erfolgt gemäß Art. 9 Abs. 2 lit. a DSGVO auf Basis meiner ausdrücklichen Einwilligung. Die Einwilligung kann ich jederzeit widerrufen."
Diese Einwilligung muss als separate, aktiv anzukreuzende Checkbox im Formular erscheinen — nicht vorausgefüllt, nicht in den allgemeinen Datenschutzhinweis integriert.
Hosting: Warum der Serverstandort zählt
Viele günstige Hosting-Angebote laufen auf Servern in den USA — oder nutzen US-amerikanische Content-Delivery-Networks. Für normale Websites ist das eine Grauzone. Für Heilpraktiker-Websites mit Gesundheitsdaten ist es ein konkretes Risiko.
Der Grund: Art. 44 ff. DSGVO regelt den Datentransfer in sogenannte „Drittländer" — also Staaten außerhalb der EU/EWR. Für die USA existiert seit dem Schrems-II-Urteil (EuGH 2020) und dem anschließenden EU-US-Data-Privacy-Framework-Abkommen eine Übergangsregelung, aber rechtliche Unsicherheit bleibt.
Konkret für Heilpraktiker
Hosting in Deutschland oder der EU vermeidet diese Unsicherheit vollständig. Für Gesundheitsdaten — die sensibelste Datenkategorie — ist EU-Hosting die einzig wirklich risikofreie Wahl. Das gilt auch für deinen E-Mail-Anbieter, wenn du über E-Mail Anfragen mit Gesundheitsbezug empfängst.
Kritisch sind auch diese oft übersehenen Dienste auf Heilpraktiker-Websites:
- Google Fonts (direkt eingebunden): Überträgt IP-Adressen an Google-Server in den USA — abmahnfähig seit LG München 2022
- Google Analytics / Meta Pixel: Profiling-Dienste, die ohne explizite Einwilligung nicht auf Heilpraktiker-Websites gehören
- Kalender-Tools (Calendly, Acuity): US-Anbieter, die Buchungsdaten einschließlich Anfragetext auf US-Servern speichern
- WhatsApp Business: Ende-zu-Ende-verschlüsselt, aber Metadaten fließen in die Meta-Infrastruktur
Was droht bei DSGVO-Verstößen?
DSGVO-Verstöße werden seit 2018 geahndet — und die Aufsichtsbehörden sind aktiver geworden. Für kleine Praxen und Einzelpersonen bleiben die Bußgelder überschaubar, aber Abmahnungen durch Mitbewerber oder Verbraucherschutzverbände sind jederzeit möglich.
Hinzu kommt: Jeder Betroffene — also jeder Klient, der jemals Daten über deine Website übermittelt hat — hat ein Auskunftsrecht (Art. 15 DSGVO), ein Recht auf Löschung (Art. 17 DSGVO) und ein Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Wer keine saubere Dokumentation hat, kann diese Ansprüche kaum erfüllen.
Was eine vollständige DSGVO-Lösung für Heilpraktiker enthält
Eine wirklich DSGVO-konforme Heilpraktiker-Website braucht mehr als einen generierten Text. Sie braucht ein durchdachtes System:
Checkliste — DSGVO-konforme Heilpraktiker-Website
✓ Datenschutzerklärung mit explizitem Art. 9-Baustein (Gesundheitsdaten als besondere Kategorie)
✓ Nennung der Rechtsgrundlage für Gesundheitsdatenverarbeitung (Art. 9 Abs. 2 DSGVO)
✓ Kontaktformular mit separater, aktiver Einwilligung für Gesundheitsdaten
✓ EU-Hosting — nachweislich in Deutschland oder EU, kein US-Drittlandtransfer
✓ Google Fonts selbst gehostet (kein direkter Google-Aufruf)
✓ Kein Tracking ohne Einwilligung (kein Google Analytics, kein Meta Pixel)
✓ Cookie-Hinweis nur wenn technisch nötig — keine Cookie-Banner als „Alibi"
✓ Löschkonzept für Kontaktanfragen und Buchungsdaten dokumentiert
✓ Impressum nach § 5 DDG vollständig (inkl. zuständige Aufsichtsbehörde)
✓ Verarbeitungsverzeichnis nach Art. 30 DSGVO geführt
Cookies und Tracking — was wirklich erlaubt ist
Die meisten Heilpraktiker-Websites brauchen keinen großen Cookie-Banner. Sie brauchen ein klares Konzept. Der Unterschied:
Technisch notwendige Cookies (Sitzung, Formular-Schutz, Spracheinstellung) dürfen ohne Einwilligung gesetzt werden. Sie brauchen einen Hinweis, aber keinen aktiven Opt-in.
Analyse- und Marketing-Cookies (Google Analytics, Meta Pixel, Hotjar, LinkedIn Insight Tag) erfordern eine aktive, freiwillige Einwilligung vor dem Setzen des Cookies. Ein Banner, der Nutzern die Ablehnung schwer macht oder gar versteckt, ist seit dem EuGH-Urteil (Planet49, 2019) unzulässig.
Mein Rat für Heilpraktiker
Verzichte auf Tracking-Tools, die eine Einwilligung erfordern. Du brauchst kein Google Analytics, um zu wissen, ob deine Website funktioniert. Die Anzahl der Erstgespräch-Anfragen ist ein deutlicheres Signal als jede Bounce-Rate. Weniger Tracking bedeutet weniger Rechtsrisiko — und mehr Vertrauen bei Klienten, die sensibler mit ihrer Privatsphäre umgehen.
Häufige Fragen zur DSGVO für Heilpraktiker
Ja. Die DSGVO gilt für jeden, der personenbezogene Daten von natürlichen Personen verarbeitet — unabhängig von Betriebsgröße oder Rechtsform. Als selbstständiger Heilpraktiker mit einer Website bist du vollumfänglich DSGVO-pflichtig. Die einzige Ausnahme gilt für rein private, nicht berufliche Nutzung.
Für eine normale Dienstleistungswebsite ja, mit Einschränkungen. Für Heilpraktiker nein. Das eRecht24-Template enthält keinen Baustein für die Verarbeitung von Gesundheitsdaten nach Art. 9 DSGVO und keine spezifische Rechtsgrundlage für die Gesundheitsdatenverarbeitung. Diese Lücke muss von Hand ergänzt werden — was einen Fachanwalt oder eine spezialisierte Agentur erfordert.
Nach Art. 30 Abs. 5 DSGVO sind Unternehmen mit weniger als 250 Mitarbeitern von der Verzeichnispflicht ausgenommen — aber nur, wenn die Verarbeitung kein Risiko für Betroffene birgt und keine besonderen Datenkategorien betroffen sind. Da Heilpraktiker Gesundheitsdaten (Art. 9 DSGVO) verarbeiten, gilt die Ausnahme nicht. Ein Verarbeitungsverzeichnis ist Pflicht.
Praxissoftware fällt nicht unter deine Website-Datenschutzerklärung — sie braucht eigene Verarbeitungsgrundlagen und ggf. einen Auftragsverarbeitungsvertrag (AVV) mit dem Softwareanbieter nach Art. 28 DSGVO. Das ist ein separates Thema, das du mit deinem Softwareanbieter klären solltest. Für die Website gilt: Trenne sauber zwischen Website-Daten und Behandlungsdaten.
DSGVO-konform von Anfang an — nicht nachträglich.
Im kostenlosen Erstgespräch schauen wir gemeinsam, ob und wie ich dir helfen kann. Kein Druck, keine Verpflichtung.
Kostenloses Erstgespräch anfragen