Startseite Blog DSGVO 2026 für Arztpraxen, Therapeuten und Dienstleister – Was auf deiner Website Pflicht ist

BLOG  ·  WEB-DIENSTE365

DSGVO 2026 für Arztpraxen, Therapeuten und Dienstleister – Was auf deiner Website Pflicht ist

3 Min. Lesezeit Sven Katzensteiner

DSGVO 2026: Was auf deiner Website wirklich Pflicht ist

DSGVO 2026: Was auf deiner Website wirklich Pflicht ist
Illustration zum Abschnitt
© Web-Dienste365

DSGVO 2026: Weniger Panik, mehr Klarheit

Die DSGVO gilt seit 2018. Trotzdem herrscht bei vielen Website-Betreibern noch Unsicherheit. Was muss wirklich auf die Seite? Was ist übertrieben? Und wo drohen tatsächlich Abmahnungen? Wir räumen auf – ohne Juristendeutsch und ohne Panikmache.

Stand 2026 hat sich an den Grundregeln wenig geändert. Aber die Durchsetzung ist schärfer geworden. Gerichte haben in den letzten Jahren klare Urteile gesprochen. Aufsichtsbehörden prüfen gezielter. Wer die Basics ignoriert, riskiert Post vom Anwalt. Wer sie umsetzt, kann ruhig schlafen.

Cookie-Banner: Ja, du brauchst eins – aber kein Monster

Jede Website, die Cookies setzt, die nicht technisch notwendig sind, braucht ein Cookie-Banner. Das betrifft Tracking-Cookies, Marketing-Cookies und eingebettete Inhalte wie YouTube-Videos oder Google Maps.

Wichtig: Der Banner muss eine echte Wahl bieten. Ein einzelner „Alles akzeptieren"-Button reicht nicht. Es muss genauso einfach sein, Cookies abzulehnen wie ihnen zuzustimmen. Das hat der BGH 2023 nochmals bestätigt.

  • Ablehnen-Button muss auf der ersten Ebene sichtbar sein – gleichwertig zum Akzeptieren-Button
  • Vorausgewählte Häkchen bei nicht notwendigen Cookies sind verboten
  • Technisch notwendige Cookies wie Session-Cookies brauchst du nicht abfragen
  • Dark Patterns – also manipulative Gestaltung, die zum Akzeptieren drängt – sind unzulässig

Unser Tipp: Halte den Banner schlank. Zwei Buttons, ein Link zu den Details. Fertig. Kein Popup, das den halben Bildschirm bedeckt. Deine Besucher danken es dir – und Google auch, weil die Seite schneller lädt.

Illustration zum Abschnitt
© Web-Dienste365

Datenschutzerklärung: Pflicht auf jeder Website

Jede Website braucht eine Datenschutzerklärung. Ohne Ausnahme. Sie muss von jeder Unterseite aus erreichbar sein – am besten im Footer, mit eigenem Menüpunkt.

Darin erklärst du konkret, welche Daten du erhebst, warum du sie erhebst und auf welcher Rechtsgrundlage. Klingt aufwändig, ist es aber nicht, wenn du weißt, was auf deiner Seite passiert.

  • Hosting-Anbieter benennen – der verarbeitet IP-Adressen deiner Besucher
  • Kontaktformulare erwähnen – welche Daten werden abgefragt, wie lange gespeichert
  • Analyse-Tools auflisten – mit Angabe, ob Daten in Drittländer übertragen werden
  • Social-Media-Plugins und eingebettete Inhalte dokumentieren
  • Rechte der Betroffenen nennen – Auskunft, Löschung, Widerspruch

Generatoren wie der von der Kanzlei Siebert Lexow oder Datenschutz-Generator.de liefern solide Vorlagen. Aber: Jede Vorlage muss an deine tatsächliche Website angepasst werden. Eine Datenschutzerklärung, die Google Analytics erwähnt, obwohl du es gar nicht nutzt, wirkt unseriös – und kann im Zweifel gegen dich verwendet werden.

Google Fonts lokal einbinden: Pflicht, kein Bonus

Das Thema Google Fonts hat 2022 für eine Abmahnwelle gesorgt. Der Grund: Wer Google Fonts über die Google-Server lädt, überträgt die IP-Adresse des Besuchers an Google in die USA. Ohne Einwilligung. Ohne Rechtsgrundlage.

Das Landgericht München hat entschieden: Das ist ein DSGVO-Verstoß. Seitdem verschicken Abmahnanwälte reihenweise Schreiben. 100 bis 170 Euro Schadenersatz pro Fall – klingt wenig, summiert sich aber schnell.

Die Lösung ist einfach: Google Fonts lokal auf deinem Server hosten. Die Schriftdateien werden heruntergeladen und direkt von deiner Domain ausgeliefert. Kein Kontakt zu Google-Servern, kein Datentransfer, kein Problem. Das dauert 15 Minuten und ist bei jeder Website umsetzbar.

Das gleiche Prinzip gilt für andere externe Ressourcen: Font Awesome Icons, JavaScript-Bibliotheken von CDNs oder eingebettete Karten. Alles, was Daten an Drittserver sendet, braucht entweder eine Einwilligung oder eine lokale Alternative.

Analytics und Kontaktformulare: So viel wie nötig, so wenig wie möglich

Du willst wissen, wie viele Besucher deine Website hat. Verständlich. Aber du brauchst dafür nicht Google Analytics mit vollem Tracking-Umfang.

Datenschutzfreundliche Alternativen wie Matomo (selbst gehostet) oder Plausible Analytics arbeiten ohne Cookies und ohne Datentransfer in die USA. Damit entfällt sogar die Einwilligungspflicht im Cookie-Banner. Weniger Aufwand, trotzdem aussagekräftige Zahlen.

Falls du Google Analytics 4 nutzen willst: Einwilligung per Cookie-Banner einholen, IP-Anonymisierung aktivieren, Auftragsverarbeitungsvertrag mit Google abschließen und alles in der Datenschutzerklärung dokumentieren.

Beim Kontaktformular gelten klare Regeln:

  • Frag nur ab, was du wirklich brauchst. Name und E-Mail reichen für eine Anfrage
  • Verlinke die Datenschutzerklärung direkt am Formular
  • Nutze eine verschlüsselte Übertragung per SSL – erkennbar am HTTPS in der Adresszeile
  • Speichere Anfragen nicht länger als nötig
  • Eine Checkbox mit Pflicht-Einwilligung vor dem Absenden ist empfehlenswert, aber rechtlich nicht in jedem Fall zwingend
Datenschutz auf der Website ist kein Hexenwerk. Es geht nicht darum, alles zu verbieten. Es geht darum, transparent zu sein
Webdesign Web-Dienste365 Hannover
Alle Artikel
SK

Sven Katzensteiner

Webdesigner & Entwickler bei Web-Dienste365 – spezialisiert auf performante Websites, Ticketshop-Systeme und Webshops für Unternehmen in der Region Hannover.

INTERESSE GEWECKT?

Kostenloses Erstgespräch vereinbaren

Unverbindlich, 30 Minuten, direkt per Video oder Telefon.

Jetzt anfragen