DSGVO für Psychotherapeuten: So machst du deine Webseite 2026 rechtssicher

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet alle, die personenbezogene Daten innerhalb der EU verarbeiten. Das klingt erstmal technisch. Aber für dich als Psychotherapeut hat das eine besondere Dimension.

Die DSGVO unterscheidet nämlich zwischen „normalen” personenbezogenen Daten (Name, E-Mail, Telefonnummer) und sogenannten besonderen Kategorien personenbezogener Daten.

Darunter fallen laut Artikel 9 DSGVO unter anderem:

• Gesundheitsdaten
• Daten zur sexuellen Orientierung
• Daten zu religiösen oder weltanschaulichen Überzeugungen
• genetische und biometrische Daten

Und genau hier beginnt dein Problem: Sobald jemand dir über ein Kontaktformular schreibt „Ich leide seit Monaten unter Depressionen und suche einen Therapeuten” – arbeitest du mit besonders sensiblen Daten. Das löst automatisch strengere Pflichten aus.

Der WKO-Leitfaden für Gesundheitsberufe macht das deutlich: Gesundheitsdienstleister müssen Datensicherheit, Meldepflichten und Transparenzpflichten deutlich strenger umsetzen als andere Berufsgruppen.

Als Psychotherapeut bist du nicht „irgendeine kleine Webseite”. Du bist aus Sicht des Datenschutzes eine Hochrisiko-Branche.

Viele Therapeuten denken: „So schlimm wird es schon nicht werden, ich bin doch nur eine kleine Praxis.” Leider falsch gedacht. Schau dir diese Fälle aus 2025 an – alle aus österreichischer Rechtsprechung:

Februar 2025 – Facharzt, Offenlegung von Gesundheitsdaten: Ein österreichischer Facharzt reagierte auf eine negative Google-Rezension einer Patientin, indem er deren Diagnose öffentlich kommentierte. Das Bundesverwaltungsgericht bestätigte die DSGVO-Strafe und machte klar: Auch eine „Verteidigung” gegen Kritik rechtfertigt niemals die Offenlegung von Gesundheitsdaten. Das Urteil hat weitreichende Bedeutung für alle Gesundheitsdienstleister.

März 2025 – Unternehmen, nicht funktionierende Datenschutz-E-Mail: 15.000 € Bußgeld. Der Grund? Die auf der Webseite angegebene Datenschutz-Kontaktadresse funktionierte nicht, und das Unternehmen reagierte nicht auf Lösch-Anfragen. Der Fall zeigt: Auch „kleine Schlampereien” werden bestraft, besonders wenn keine Kooperation mit der Behörde erfolgt. Die komplette Entscheidung ist in der Rechtsprechungsdatenbank dokumentiert.

Strafrahmen laut DSGVO: Laut WKO-Leitfaden zu DSGVO-Strafen liegt der Strafrahmen bei bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes – je nachdem, was höher ist. Für eine Einzelpraxis sind das selten die Millionen, aber fünfstellige Beträge sind in Österreich längst keine Ausnahme mehr.

Was heißt das für dich konkret? 

Zwei Dinge:

1. Die Datenschutzbehörde reagiert oft erst auf Beschwerden. Eine enttäuschte Klientin, ein entlassener Mitarbeiter, ein Konkurrent mit zu viel Zeit – und schon bist du auf dem Radar.
2. Die ersten Verstöße werden meist abgemahnt, nicht sofort bestraft. Aber wer dann nicht reagiert oder gar bockig wird, zahlt drauf. Fast immer.

Aus meiner Arbeit mit Praxen habe ich die sieben wichtigsten Punkte zusammengestellt. Das ist kein Rechtsrat, aber ein solider Leitfaden, anhand dessen du deine Seite prüfen kannst.

Pflicht 1: Ein vollständiges Impressum

Das Impressum muss laut österreichischem Mediengesetz und E-Commerce-Gesetz enthalten: vollständiger Name, Berufsbezeichnung, Adresse der Praxis, Telefon, E-Mail, Kammer- oder Fachverbandszugehörigkeit (bei Psychotherapeuten: Mitgliedschaft bei ÖBVP), UID-Nummer falls vorhanden, zuständige Aufsichtsbehörde.

Typischer Fehler: Nur Adresse und Telefon. Das reicht nicht.

Pflicht 2: Eine aktuelle, auf dich zugeschnittene Datenschutzerklärung

Hier wird’s kritisch. Die Datenschutzerklärung ist kein Textbaustein, den du einmal kopierst und vergisst. Sie muss genau beschreiben:

• welche Daten du erhebst (Formulardaten, IP-Adressen, Cookies)
• zu welchem Zweck
• auf welcher Rechtsgrundlage (Art. 6 und Art. 9 DSGVO)
• wie lange du sie speicherst
• mit welchen Drittanbietern du arbeitest (Google Fonts, YouTube, Analytics, Buchungssysteme)
• welche Rechte deine Besucher haben

Jedes neue Tool, das du einbaust, erfordert eine Aktualisierung. Ein guter Generator wie eRecht24 oder der Datenschutz-Generator von Dr. Schwenke ist ein solider Ausgangspunkt – aber keine Endlösung.

Pflicht 3: Ein rechtskonformer Cookie-Banner

Seit dem EuGH-Urteil „Planet49″ und der DSB-Entscheidung 2019 ist klar: Nicht-notwendige Cookies (Tracking, Marketing, Analytics) dürfen erst nach aktiver Zustimmung gesetzt werden. Das bedeutet:

• keine vorangekreuzten Häkchen
• „Ablehnen” muss gleichwertig zu „Akzeptieren” sein
• die Zustimmung muss jederzeit widerrufbar sein
• vor der Zustimmung darf kein Tracking stattfinden

Billige Cookie-Banner, die nur eine „OK”-Taste anbieten, sind nicht rechtskonform. Tools wie Cookiebot oder Usercentrics bieten geprüfte Lösungen.

Pflicht 4: SSL-Verschlüsselung (HTTPS)

Ohne SSL-Zertifikat (das kleine Schloss-Symbol im Browser) ist deine Webseite heute nicht nur unsicher, sondern aus DSGVO-Sicht potenziell rechtswidrig. Jede Kontaktformular-Übertragung ohne Verschlüsselung ist ein Datenschutzverstoß.

Das Gute: SSL ist bei jedem seriösen Hosting-Anbieter heute kostenlos dabei.

Pflicht 5: Kontaktformulare mit klarer Einwilligung

Wenn jemand auf deiner Webseite ein Kontaktformular ausfüllt, muss darunter stehen:

• ein Verweis auf die Datenschutzerklärung mit Link
• eine aktive Einwilligungscheckbox (nicht vorangekreuzt)
• klare Information, wofür die Daten verwendet werden

Und: Nach Beantwortung musst du die Daten nicht unbegrenzt behalten. Speichere nur so lange wie nötig.

Pflicht 6: Auftragsverarbeitungsverträge (AVV) mit allen Dienstleistern

Das ist der unsichtbare Punkt, den die meisten vergessen. Wenn du Dienstleister nutzt, die für dich Daten verarbeiten, brauchst du einen Auftragsverarbeitungsvertrag. Das betrifft:

• dein Hosting-Anbieter
• dein Newsletter-Tool
• dein Online-Buchungssystem
• deine E-Mail-Marketing-Plattform
• dein CRM

Die meisten seriösen Anbieter stellen diese Verträge zum Download bereit – du musst sie nur ausfüllen und ablegen.

Pflicht 7: Dokumentation (Verarbeitungsverzeichnis)

Du musst laut Artikel 30 DSGVO intern dokumentieren, welche Datenverarbeitungen in deiner Praxis stattfinden. Das Dokument bleibt bei dir, wird aber auf Anfrage der Behörde vorgelegt.

Für Einzelpraxen gibt es vereinfachte Muster, z. B. direkt von der Datenschutzbehörde oder der WKO.

Genau dafür habe ich studio jay aufgebaut. Ich begleite Psychotherapeuten beim Aufbau einer Webseite, die nicht nur professionell wirkt und bei Google gefunden wird – sondern auch rechtlich sauber ist.

Was mich von klassischen Webdesign-Agenturen unterscheidet: Ich kenne die besonderen Anforderungen an Gesundheitspraxen. Ich arbeite mit geprüften Rechtstexten, DSGVO-konformen Tools und dokumentierten Prozessen. Das heißt für dich: weniger Risiko, weniger schlaflose Nächte, mehr Zeit für deine eigentliche Arbeit.

Alle Leistungen & Pakete für Psychotherapeuten ansehen

In den Webseiten-Analysen, die ich regelmäßig mache, sehe ich fast immer dieselben Probleme:

• Fehler 1: Google Fonts eingebunden ohne Einwilligung.
  Wenn du Google Fonts direkt über Google lädst, überträgst du die IP-Adresse deiner Besucher an Google-Server in den USA – ohne Einwilligung ein Verstoß. Lösung: Fonts lokal einbinden.
• Fehler 2: YouTube- oder Vimeo-Videos ohne Datenschutzmodus.
  Standard-Einbindungen setzen beim Laden der Seite sofort Tracking-Cookies. Lösung: Erweiterten Datenschutzmodus aktivieren oder „Zwei-Klick-Lösung” einbauen.
• Fehler 3: Kontaktformulare ohne Hinweis und Einwilligung.
  „Name, E-Mail, Nachricht. Absenden.” So sieht das typische Formular aus. Ohne Datenschutzhinweis und Checkbox ist das rechtswidrig.
• Fehler 4: WhatsApp-Button ohne Datenschutzhinweis.
  WhatsApp ist datenschutzrechtlich heikel. Ein direkter WhatsApp-Button im Header braucht mindestens einen deutlichen Hinweis auf die Weitergabe an Meta.
• Fehler 5: Datenschutzerklärung aus 2019.
  Viele Erklärungen erwähnen noch „UK als EU-Mitglied” oder alte Tools. Eine Datenschutzerklärung, die älter als 18 Monate ist, braucht einen Check.
• Fehler 6: Kein Impressum auf Unterseiten erreichbar.
  Impressum und Datenschutzerklärung müssen von jeder einzelnen Seite mit maximal zwei Klicks erreichbar sein. Wenn sie nur auf der Startseite verlinkt sind – rechtswidrig.
• Fehler 7: Analytics und Tracking vor Cookie-Einwilligung.
  Einer der häufigsten Verstöße. Google Analytics, Facebook Pixel oder Hotjar laden beim Seitenaufruf, noch bevor der Nutzer zustimmt. Das ist technisch ein Tracking-Verstoß.

Das ist eine Frage, die mir oft gestellt wird. Die Antwort ist komplex, aber praxisnah zusammengefasst:

Laut DSGVO und der Artikel-29-Datenschutzgruppe brauchst du einen Datenschutzbeauftragten, wenn:

• deine Kerntätigkeit in der „umfangreichen Verarbeitung besonderer Kategorien von Daten” besteht
• oder wenn du mehr als 10 Mitarbeiter hast, die regelmäßig mit personenbezogenen Daten arbeiten

Die gute Nachricht für die meisten Einzelpraxen: Laut WKO wird ein einzelner niedergelassener Therapeut in der Regel mit einem „einzelnen Arzt” verglichen – und einzelne Ärzte brauchen meistens keinen Datenschutzbeauftragten.

Die Einschränkung: Sobald deine Praxis größer wird (mehrere Therapeuten, Sekretariat, Assistenten), kippt das schnell. Die WKO empfiehlt: Bei mehr als 10.000 Datensätzen oder 10 Vollzeit-Mitarbeitern einen Datenschutzbeauftragten bestellen.

Wenn du dir unsicher bist, hol dir eine kurze Einschätzung bei einem Datenschutz-Anwalt – das kostet meist weniger als ein Bußgeld und gibt dir Planungssicherheit.

Am Ende geht es bei DSGVO nicht um Paragraphen. Es geht um das Versprechen, das du deinen Klienten machst: „Bei mir sind deine sensiblen Informationen sicher.”

Eine DSGVO-konforme Webseite ist daher nicht nur rechtlicher Pflicht, sondern auch ein starkes Marketing-Signal. Sie zeigt deinen zukünftigen Klienten: Ich denke mit. Ich nehme Verantwortung ernst. Mir kannst du deine Geschichte anvertrauen.

Mein Rat aus der Praxis: Behandle DSGVO nicht als lästige Checkliste, sondern als Teil deines professionellen Auftritts. Eine saubere Webseite in rechtlicher, technischer und inhaltlicher Hinsicht spart dir langfristig Zeit, Geld und Nerven – und schafft gleichzeitig die Basis für eine vertrauensvolle Klient-Therapeut-Beziehung.

Und wenn du beim Lesen dieses Artikels an mehreren Stellen gedacht hast „Oh, das hab ich gar nicht…” – das ist kein Grund zur Panik. Das ist ein Signal. Handle, bevor jemand anders dich dazu zwingt.

Hinweis: Dieser Artikel ersetzt keine Rechtsberatung. Bei komplexen Einzelfällen solltest du einen Datenschutz-Anwalt oder die offizielle österreichische Datenschutzbehörde konsultieren.