DSGVO 2026 für Praxiswebsites: 3 neue Pflichten.

Eine Patientin schreibt Sie über das Kontaktformular Ihrer Praxiswebsite an — sie beschreibt detailliert ihre Beschwerden, nennt Medikamente, lädt ein Foto hoch. Die Mail liegt in Ihrer Inbox. Im Datenschutzhinweis darunter steht: „Ihre Daten werden vertraulich behandelt." Reicht das? Nein. Patientendaten sind in der DSGVO besonders geschützt — und 2026 verschärft der Gesetzgeber gleich an drei Stellen weiter.

Wir erklären, was sich konkret ändert, was bleibt — und wie wir Praxiswebsites bauen, die alle Pflichten von Anfang an erfüllen. Ohne Panikmache. Mit konkreten Zahlen. Und vor allem: ohne dass Sie sich durch Gesetzestexte kämpfen müssen.

Das Wichtigste in Kürze

• Eine „DSGVO 2.0" gibt es nicht. Die DSGVO von 2018 bleibt unverändert in Kraft.
• 2026 kommen aber drei konkrete Pflichten dazu: schärferes Cookie-Banner, Widerrufsbutton, EU-Transparenz-Audit.
• Der Widerrufsbutton ist ab 19. Juni 2026 Pflicht für Online-Verträge mit Verbrauchern (§ 356a BGB neu).
• Patientendaten gelten als besondere Kategorie nach Art. 9 DSGVO — strengere Pflichten als bei normalen Kundendaten.
• Erste reale Abmahnungen kosten 2.274 € netto (Kanzlei MK), Bußgelder bis 100.000 €.
• Bauen statt nachrüsten: alle Pflichten lassen sich technisch vorab erfüllen — wenn Sie mit jemandem arbeiten, der sie kennt.

Es gibt keine „DSGVO 2.0"

In den letzten Monaten kursiert der Begriff „DSGVO 2026" durch Newsletter und Beratungs-Webinare. Klingt nach neuem Gesetz, ist aber keines. Die Datenschutz-Grundverordnung gilt unverändert seit dem 25. Mai 2018. An ihrem Text hat sich 2026 nichts geändert.

Was sich geändert hat — und worüber alle reden — ist die Durchsetzung. Aufsichtsbehörden, Gerichte und Verbraucherzentralen werden konsequenter. Drei Entwicklungen kommen dazu, die ab 2026 spürbar werden:

1. Eine BfDI-Leitlinie zum Cookie-Banner, die im Verwaltungsgericht Hannover bestätigt wurde.
2. Der Widerrufsbutton ab 19.06.2026 (basierend auf EU-Richtlinie 2023/2673, umgesetzt in § 356a BGB).
3. Eine koordinierte Prüfaktion der EU-Datenschutzbehörden zu Transparenz-Pflichten (CEF 2026).

Wer „DSGVO 2026" verstehen will, muss diese drei Punkte verstehen. Mehr nicht — aber auch nicht weniger.

Was sich 2026 ändert: 3 neue Pflichten

Pflicht 1: Cookie-Banner mit „Alles ablehnen" auf der ersten Ebene

Bisher hatten viele Cookie-Banner nur einen großen „Alle akzeptieren"-Button auf der Startebene und versteckten das Ablehnen hinter einem grauen Link oder einer zweiten Banner-Seite. Das ist seit der BfDI-Leitlinie und einem Urteil des Verwaltungsgerichts Hannover rechtswidrig. Auf der ersten Banner-Ebene muss eine sichtbare, gleichwertig gestaltete Option zum Ablehnen stehen — nicht hinter „Einstellungen" versteckt.

Konkret heißt das für Ihre Praxiswebsite:

• Zwei gleichwertige Buttons nebeneinander: „Akzeptieren" und „Alles ablehnen"
• Beide gleich groß, gleicher Kontrast, gleiche Farb-Hierarchie
• Kein vorausgewähltes „Ja"-Häkchen bei Statistik- oder Marketing-Cookies
• Tracking-Skripte (GA4, Pixel, Tag Manager) dürfen erst nach Einwilligung laden — nicht beim Seitenaufruf
• Widerruf der Einwilligung muss genauso einfach sein wie die Erteilung (z.B. dauerhafter Floating-Button am Bildschirmrand)

Pflicht 2: Widerrufsbutton ab 19. Juni 2026

Das ist die mit Abstand härteste Deadline in 2026. Ab dem 19. Juni 2026 müssen alle gewerblichen Websites, auf denen Verbraucher Online-Verträge schließen, einen sichtbaren Widerrufsbutton anbieten. Rechtsgrundlage: § 356a BGB neu, basierend auf der EU-Richtlinie 2023/2673.

Konkrete Anforderungen:

• Der Button muss eindeutig beschriftet sein: „Widerruf" oder „Vertrag widerrufen" — nicht „Widerrufswunsch" oder „Anfrage"
• Maximal zwei Klicks vom Kundenbereich bis zum tatsächlichen Widerruf
• Eine Bestätigungs-Mail muss automatisch versendet werden
• Der Vorgang muss protokolliert werden (Audit-Trail)

Für Praxiswebsites ist die Frage: Bin ich überhaupt betroffen? Ja, sobald auf Ihrer Site ein Online-Vertrag geschlossen wird — und das ist meistens die Online-Terminbuchung. Denn ein Termin ist juristisch ein Vertrag. Auch ein bezahltes Online-Beratungsgespräch oder ein Mini-Shop für Praxis-Produkte fallen darunter.

Pflicht 3: EU-Transparenz-Audit (CEF-Action 2026)

Die EU-Datenschutzbehörden haben für 2026 eine gemeinsame Prüfaktion (Coordinated Enforcement Framework) angekündigt. Sie prüfen stichprobenartig, wie Unternehmen ihre Transparenz-Pflichten nach Art. 13 und 14 DSGVO umsetzen — also ob ihre Datenschutzerklärung verständlich ist, vollständig auflistet, was mit den Daten passiert, und ob die Hinweise für Betroffene leicht zugänglich sind.

Was die Aufseher dabei genauer ansehen werden:

• Ist die Datenschutzerklärung vom Footer aus mit einem Klick erreichbar?
• Steht sie in klarer, einfacher Sprache — nicht in Anwalts-Deutsch?
• Werden alle Auftragsverarbeiter namentlich genannt (Hosting, Newsletter-Tool, Analytics)?
• Gibt es einen funktionierenden Auskunfts-Weg für Patient:innen, die ihre Daten einsehen oder löschen wollen?

Heilberufe: Patientendaten sind Art. 9 DSGVO

Hier kommt der Punkt, den keiner der gängigen Recht-Blogs für Praxen wirklich erklärt: Patientendaten sind in der DSGVO eine besondere Kategorie nach Artikel 9. Das umfasst Gesundheitsdaten, biometrische Daten, Daten über die sexuelle Orientierung, Religion und mehr.

Die Konsequenz: Strengere Pflichten als bei normalen Kundendaten. Konkret:

• Verarbeitungsgrundlage: Nicht nur „berechtigtes Interesse" — sondern in der Regel ausdrückliche Einwilligung oder eine spezielle gesetzliche Grundlage (Behandlungsvertrag, § 22 BDSG).
• Verschlüsselung: Nicht „best effort" — sondern Stand der Technik. SSL alleine reicht für sensible Übertragungen nicht; Inhalte sollten Ende-zu-Ende verschlüsselt sein.
• Datenschutz-Folgenabschätzung: Bei umfangreicher Verarbeitung von Gesundheitsdaten oft Pflicht (Art. 35 DSGVO).
• Auftragsverarbeitungs-Vertrag (AVV): Mit jedem Anbieter, der theoretisch Patientendaten sehen könnte — Hosting, Newsletter, Termin-Software, sogar Cloud-Speicher.

Praktisch heißt das für Ihre Website: Ein Kontaktformular auf einer Heilpraktiker-Site darf nicht einfach „Vorname, Name, Beschwerden" abfragen, ohne dass die rechtliche Grundlage und die Verarbeitungs-Wege transparent sind. Genau das machen viele Praxiswebsites falsch — oft ohne es zu wissen.

Die 8 DSGVO-Pflichten, die jede Praxiswebsite erfüllen muss

Unabhängig von den 2026-Neuerungen — diese acht Punkte muss jede Praxiswebsite abhaken können:

1. Vollständige Datenschutzerklärung nach Art. 13 DSGVO — alle Tools, Zwecke, Speicherfristen, Rechte aufgelistet, vom Footer aus erreichbar.
2. Cookie-Banner mit echter Wahlfreiheit (siehe Pflicht 1 oben).
3. Lokal gehostete Schriften statt Google Fonts CDN — sonst werden bei jedem Seitenaufruf IP-Adressen ohne Einwilligung an Google in die USA übertragen. Das ist seit 2022 abmahnfähig.
4. Auftragsverarbeitungs-Verträge (AVV) mit Hosting, Newsletter, Tracking, Termin-Tool, allen Dienstleistern.
5. Verschlüsseltes Kontaktformular — HTTPS ist Pflicht; bei sensiblen Inhalten Spam-Schutz ohne Drittland-Captcha.
6. Datensparsamkeit — abfragen, was wirklich gebraucht wird. Geburtsdatum oder Sozialversicherung im Erstkontakt sind selten gerechtfertigt.
7. Funktionierender Auskunfts-Weg — eine erreichbare E-Mail oder Adresse, wo Betroffene ihre Rechte geltend machen können.
8. Korrektes Impressum nach § 5 DDG (vormals TMG) — vollständige Anbieter-Identifikation, Berufsbezeichnung, Aufsichtsbehörde.

Häufige Fehler — und wie wir sie vermeiden

Aus Audits, die wir auf Praxiswebsites in Bremen und Umland gemacht haben, kommen immer wieder dieselben Probleme zurück. Die fünf häufigsten:

• Google Fonts vom Google-CDN geladen statt lokal — wir hosten alle Schriften selbst, kein externer CDN-Aufruf vor dem Cookie-Consent.
• Tracking-Skripte vor dem Cookie-Banner — Google Analytics oder Facebook-Pixel laden bei vielen Sites bereits beim Aufruf, also vor jeder Einwilligung. Wir lazy-laden alle Scripts erst nach Consent.
• Datenschutz-Generator-Texte ohne Anpassung — kopierte Boilerplate-Erklärungen, die Tools auflisten, die gar nicht eingesetzt werden, oder andere fehlen lassen. Wir schreiben pro Site individuell.
• Kontaktformulare ohne Verschlüsselungs-Hinweis — der Hinweis, dass die Daten verschlüsselt übertragen werden, fehlt; gleichzeitig fehlt der Hinweis, dass E-Mail-Verkehr unverschlüsselt sein kann.
• Cookie-Banner mit „Akzeptieren"-Knopf in Gold und „Ablehnen" in Grau — designtechnisch nett, juristisch problematisch. Beide Buttons müssen visuell gleichwertig sein.

So bauen wir DSGVO-sichere Praxiswebsites

Bei uns ist DSGVO kein Add-on. Jede Praxiswebsite, die wir bauen, erfüllt alle acht Pflichten oben — plus die drei neuen 2026-Anforderungen. Konkret:

• Wir nutzen nur EU-Hoster (oder US-Hoster mit Standardvertragsklauseln + verschärftem AVV) und dokumentieren das.
• Wir hosten alle Schriften lokal — keine Google-Fonts-CDN-Aufrufe.
• Wir setzen Cookie-Banner mit echter Wahlfreiheit — Reject-All gleichwertig auf erster Ebene, Tracking nur nach Consent.
• Bei Online-Terminbuchung bauen wir den Widerrufsbutton von Anfang an mit ein — vor dem 19.06.2026.
• Wir liefern individuelle Datenschutzerklärungen auf Basis der tatsächlich eingesetzten Tools.
• Wir aktualisieren automatisch, wenn sich Standards oder Behörden-Vorgaben ändern — ohne dass Sie etwas tun müssen.

Wenn Sie schon eine Praxiswebsite haben, machen wir einen kostenlosen Schnellcheck: Wir prüfen Cookie-Banner, Schriften-Quelle, Tracking-Verhalten und Datenschutzerklärung. Sie bekommen eine konkrete Liste mit dem, was zu ändern ist. Mehr dazu auf unserer Seite für Heilpraktiker-Praxiswebsites oder in der Heilberufe-Übersicht. Verwandtes Thema: BFSG für Praxiswebsites — die Barrierefreiheits-Pflicht greift parallel zur DSGVO.

Aus unserer Sicht: Die meisten Praxen, die uns wegen Datenschutz anschreiben, kommen nicht wegen einer drohenden Abmahnung. Sie kommen, weil sie das Gefühl haben, ihre Site ist eine Black Box, und keiner weiß genau, was unter der Haube läuft. Genau das wollen wir auflösen.

Häufige Fragen

Brauche ich für meine Solo-Praxis ohne Online-Termin den Widerrufsbutton?

Nein. Der Widerrufsbutton ist nur für Sites Pflicht, auf denen Verbraucher Online-Verträge schließen. Eine reine Informations-Website mit Telefonnummer und Adresse braucht ihn nicht.

Reicht eine Datenschutzerklärung aus dem Generator?

Als Basis ja, aber sie muss auf Ihre Site angepasst werden. Generatoren listen oft Tools auf, die Sie nicht nutzen, oder lassen Tools weg, die Sie nutzen. Das macht die Erklärung unrichtig — und damit angreifbar.

Was passiert, wenn ich abgemahnt werde?

Erst kommt meist eine Aufforderung zur Beseitigung des Verstoßes plus Kostennote — typisch 1.700 bis 2.300 € netto Anwaltskosten. Wenn Sie nachbessern und die Unterlassungserklärung abgeben, ist die Sache meist beendet. Wenn nicht, droht ein gerichtliches Verfahren mit Bußgeld bis 100.000 € oder bei DSGVO-Verstößen auch deutlich höher.

Sind Heilpraktiker-Websites strenger geprüft als andere?

Ja, indirekt. Sie haben mit dem HWG ein zusätzliches Werberecht zu beachten, und Patientendaten sind Art. 9 DSGVO. Beides macht Praxen aus dem Heilberufs-Bereich zu einem beliebten Ziel von Verbraucherzentralen und Abmahn-Kanzleien.

Was kann ich kurzfristig selbst tun?

Drei Schritte, die Sie heute machen können: (1) Cookie-Banner anschauen — gibt es einen gleichwertigen Ablehnen-Button? (2) Datenschutzerklärung lesen — werden alle Tools genannt, die Sie tatsächlich einsetzen? (3) Schriften prüfen — werden Google Fonts vom Google-Server geladen oder lokal? Wenn alle drei OK sind, sind Sie schon weit vorn.

DSGVO ist kein Schreckgespenst — wenn Sie wissen, worauf Sie achten müssen. Schwierig wird es nur, wenn Pflichten ad hoc erfüllt werden sollen, weil schon eine Abmahnung im Briefkasten liegt. Wir bauen Praxiswebsites in Bremen und Umland, die alle drei 2026-Pflichten von Anfang an erfüllen — gemeinsam mit BFSG und HWG. Sprechen Sie uns gerne an.