DSGVO und Barrierefreiheit für Arztpraxen: Ein praktischer Leitfaden

Für eine Arztpraxis ist die Website kein Marketingbeiwerk – sie ist ein aktiver Kommunikationskanal, über den täglich Patientendaten fließen: Terminanfragen, Rezeptwünsche, Kontaktformulare. Damit unterliegt nahezu jede Interaktion auf einer Praxis-Website den strengsten Datenschutzanforderungen der DSGVO, insbesondere Artikel 9 für Gesundheitsdaten.

Gleichzeitig ist Barrierefreiheit kein "Nice-to-have" mehr. Mit der Novellierung des Barrierefreiheitsstärkungsgesetzes (BFSG) greifen ab Juni 2025 erweiterte Anforderungen auch für private Dienstleister im digitalen Raum – und Arztpraxen fallen in vielen Konstellationen darunter.

Compliance ist kein Hindernis für gutes Web-Design. Sie ist die Basis dafür, dass ein System dauerhaft vertrauenswürdig funktioniert.

Arztpraxen verarbeiten täglich sensible Patientendaten. Sobald diese Datenströme über eine Website laufen – und sei es nur ein Kontaktformular – gelten die schärfsten Pflichten der Datenschutz-Grundverordnung. Artikel 9 DSGVO klassifiziert Gesundheitsdaten als "besondere Kategorie personenbezogener Daten", für die erhöhte Anforderungen an Einwilligung, Verarbeitung und Speicherung gelten.

Die drei häufigsten Fehlerquellen auf Praxis-Websites

• US-amerikanische Dienste ohne Auftragsverarbeitungsvertrag: Google Fonts direkt von Google-Servern laden, US-Hosting, oder Tracking-Tools ohne AVV – alles meldepflichtige Verstöße.
• Unzureichende Datenschutzerklärung: Verweise auf Unterseiten ohne konkreten Zweck der Verarbeitung, fehlende Rechtsgrundlage, kein Hinweis auf das Widerspruchsrecht.
• Formulare ohne Datenminimierung: Kontaktformulare, die mehr Daten abfragen als nötig (z. B. Geburtsdatum oder Versicherungsnummer auf der öffentlichen Website).

Das Prinzip der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) wird in der Praxis selten konsequent umgesetzt. Es besagt: Es dürfen nur jene Daten erhoben werden, die für den konkreten Zweck zwingend notwendig sind.

Für eine Praxis bedeutet das: Ein Rezeptanfrage-Formular braucht keinen freien Textbereich für Symptome. Ein Terminbuchungssystem braucht keine Krankenkassennummer vorab. Je präziser die Formularlogik gesteuert ist, desto weniger Risikodaten fließen über die Website.

Eine sauber konzipierte Formularlogik ist nicht nur rechtlich sicher – sie verbessert auch die Conversion-Rate. Kürzere Formulare mit klarem Zweck werden häufiger ausgefüllt. Weniger Reibung für den Patienten bedeutet weniger Abbrüche.

Das Barrierefreiheitsstärkungsgesetz (BFSG) setzt die europäische Richtlinie über barrierefreie Produkte und Dienstleistungen (EN 301 549) in deutsches Recht um. Ab dem 28. Juni 2025 gilt dies verpflichtend auch für viele private Dienstleister – darunter potenziell Arztpraxen, die digitale Dienste zur Terminbuchung oder Kommunikation anbieten.

Der technische Maßstab ist WCAG 2.1 Konformitätsstufe AA. Konkret bedeutet das für eine Praxis-Website:

• Kontrastverhältnis ≥ 4,5:1 für normalen Text. Grauer Text auf weißem Hintergrund – ein klassischer Designfehler – fällt oft darunter.
• Tastaturnavigation muss vollständig möglich sein. Alle Formulare, Buttons und Links müssen ohne Maus bedienbar sein.
• Alt-Texte für alle Bilder – besonders bei Teamfotos und medizinischen Grafiken.
• Saubere Fokusführung: Beim Tab durch ein Formular muss der aktive Fokus visuell erkennbar bleiben.
• Fehlermeldungen in Formularen müssen klar beschreiben, was fehlt – nicht nur rot einfärben.

Der teuerste Zeitpunkt für DSGVO-Korrekturen ist nach dem Launch. Nachträgliche Änderungen an einer bestehenden Website bedeuten in der Regel: Formularlogik umschreiben, Hosting wechseln, Drittanbieter entfernen, Datenschutzerklärung neu aufsetzen.

Bei einer statisch generierten Website – wie den Systemen, die SDPE entwickelt – sind viele dieser Risiken von Grund auf eliminiert: kein serverseitiges Datenbankrisiko, keine US-CDNs, alle Assets lokal, TypeScript-Validierung auf Formularebene.

Privacy by Design bedeutet: Datenschutz ist keine Schicht, die man obendrauf legt – er ist die Architektur selbst.

Was das in der Praxis bedeutet:

• Auftragsverarbeitungsvertrag (AVV) mit dem Hoster abschließen – vor dem Launch, nicht danach.
• Alle Formulare auf Datenminimierung prüfen. Jede Pflichtangabe braucht eine schriftliche Zweckbegründung.
• Hosting ausschließlich auf deutschen oder EU-Servern mit ISO-27001-Zertifizierung.
• Barrierefreiheits-Audit als fester Bestandteil des Abnahme-Prozesses – kein Add-on.
• Datenschutzerklärung regelmäßig aktualisieren – mindestens bei jedem technischen Update der Website.

Praxen, die Compliance ernst nehmen, kommunizieren damit auch gegenüber Patienten und Fachkräften: Wir arbeiten sorgfältig, strukturiert und auf aktuellem Stand. Das ist in einer Region, in der Vertrauen der zentrale Differenzierungsfaktor ist, kein Nebeneffekt – es ist Teil der Marke.

Eine DSGVO-konforme, barrierefreie Website muss dabei nicht teurer sein. Sie muss von Anfang an richtig konzipiert sein. Dann ist sie günstiger zu betreiben, rechtssicherer im Alltag und technisch langlebiger als ein schnell zusammengebautes System, das nachträglich flickbearbeitet wird.