DSGVO-konforme Psychotherapeuten Website 2025: Der komplette Leitfaden

Du bist gerade dabei deine Psychotherapie oder Therapeuten Website zu erstellen und hast bedenken wegen den Datenschutz Anforderungen? In diesem Beitrag möchte ich dir einen Überblick geben auf was du dabei achten musst. Als Psychotherapeut unterliegst du besonderen Datenschutzanforderungen. Gesundheitsdaten gehören zu den sensibelsten personenbezogenen Daten und sind durch Art. 9 DSGVO besonders geschützt. Hinzu kommt deine Schweigepflicht nach § 203 StGB. Eine DSGVO-konforme Website ist daher nicht optional – sie ist Pflicht.

Aber die gute Nachricht: Mit den richtigen Schritten ist die Umsetzung einfacher als gedacht. Dieser Leitfaden zeigt dir konkret, was du beachten musst.

⚠️ Rechtlicher Hinweis: Dieser Artikel dient ausschließlich der Information und stellt keine Rechtsberatung dar. Bei Unsicherheiten konsultiere bitte einen spezialisierten Datenschutz-Anwalt.

1. Warum Psychotherapeuten besondere DSGVO-Anforderungen haben

Therapeuten verarbeiten besondere Kategorien personenbezogener Daten (Art. 9 DSGVO). Das bedeutet:

• Höhere Bußgelder bei Verstößen (bis zu 20 Mio. € oder 4% des Jahresumsatzes)
• Strengere Dokumentationspflichten
• Schweigepflicht nach § 203 StGB (auch für digitale Kommunikation)
• Berufsrechtliche Konsequenzen durch deine Kammer

Wichtig: Auch wenn auf deiner Website keine Gesundheitsdaten erhoben werden – allein die Kontaktaufnahme mit einem Therapeuten kann Rückschlüsse auf die Gesundheit zulassen.

2. SSL-Verschlüsselung: Die Basis für sichere Kommunikation

Warum SSL Pflicht ist

SSL/HTTPS-Verschlüsselung ist für Psychotherapeuten-Websites zwingend erforderlich. Sie schützt die Datenübertragung zwischen Browser und Server vor unbefugtem Zugriff.

So implementierst du SSL

1. SSL-Zertifikat beim Hoster bestellen (oft kostenlos via Let’s Encrypt), am besten du googelst bei deinem Hoster wie du SSL aktivierst. Oft ist es nur ein Häkchen setzen.
2. Plugin installieren: Really Simple SSL aktiviert automatisch HTTPS
3. In Datenschutzerklärung erwähnen: „Diese Website nutzt SSL-Verschlüsselung zum Schutz Ihrer Daten“

Erkennbar am Schloss-Symbol in der Browser-Adressleiste.

Hier ein Beispiel aus dem Chrome Browser meiner Website:

3. Google Fonts DSGVO-konform einbinden

Das Problem mit externen Google Fonts

Google Fonts werden standardmäßig von Google-Servern geladen – dabei werden IP-Adressen an Google übertragen. Das LG München urteilte im Januar 2022, dass dies ein DSGVO-Verstoß ist (Az. 3 O 17493/20).

Die Lösung: Lokales Hosting

Automatisch per Plugin:

• OMGF (Optimize My Google Fonts) lädt Fonts automatisch lokal
• Einmalige Installation, danach läuft alles automatisch

Manuell (für Fortgeschrittene):

1. Fonts von Google Fonts herunterladen
2. Im Theme-Ordner unter /fonts hochladen
3. Per CSS einbinden: @font-face { font-family: 'Open Sans'; src: url('/fonts/open-sans.woff2'); }

Test: Öffne die Entwicklertools (F12) → Network → Es dürfen KEINE Anfragen an googleapis.com erscheinen.

Wenn du zum Beispiel Elementor verwendest, dann kannnst du deine Fonts unter Elementor –> Custom Fonts hochladen.

4. Cookie-Banner: Wann du einen brauchst (und wann nicht)

Die Rechtslage seit 2024

Nach dem TDDDG § 25 (umbenannt im Mai 2024, vorher TTDSG) gilt:

• Technisch notwendige Cookies (z.B. Session-Cookies, Warenkörbe) brauchen keinen Banner
• Tracking-Cookies (Google Analytics, Facebook Pixel) brauchen aktive Einwilligung

Wann brauchst du KEINEN Cookie-Banner?

Wenn deine WordPress-Website nur nutzt:

• WordPress-Session-Cookies
• SSL-Sicherheits-Cookies
• Keine Tracking-Tools

Das trifft auf die meisten Therapeuten-Websites zu!

Wann brauchst du EINEN Cookie-Banner?

Wenn du nutzt:

• Google Analytics, Matomo, etc.
• Facebook Pixel, LinkedIn Insight Tag
• Google Maps (eingebettet)
• YouTube-Videos (eingebettet ohne Privacy-Mode)

Cookie-Banner-Lösungen:

• Borlabs Cookie (Premium, ab 39€/Jahr)
• Complianz (kostenlos mit Premium-Features)
• Real Cookie Banner (made in Germany)

Wichtig ab April 2025: Die EinwV (Einwilligungsverordnung) erlaubt künftig PIMS-Dienste (Personal Information Management Systems) – Browser-basierte Consent-Verwaltung. Noch gibt es aber keine anerkannten Anbieter.

5. Datenschutzerklärung für Therapeuten

Pflichtangaben nach DSGVO

Deine Datenschutzerklärung muss enthalten:

Allgemeine Angaben:

• Name und Kontaktdaten des Verantwortlichen
• Zweck und Rechtsgrundlage der Datenverarbeitung
• Speicherdauer
• Betroffenenrechte (Auskunft, Löschung, etc.)

Therapeuten-spezifisch:

• Hinweis auf Schweigepflicht § 203 StGB
• Umgang mit Gesundheitsdaten (Art. 9 DSGVO)
• Warnung vor unverschlüsselter E-Mail-Kommunikation

Generator oder Vorlage?

Kostenlose Generatoren:

• eRecht24 Datenschutz-Generator (Basis-Version)
• Datenschutz-Generator der DGD

Premium mit Haftung:

• eRecht24 Premium (ab 15€/Monat, inkl. Abmahn-Schutz)

Wichtig: Passe Vorlagen immer individuell an! Generatoren sind ein Startpunkt, ersetzen aber keine anwaltliche Prüfung.

6. DSGVO-konformes Kontaktformular

Was du beachten musst

1. SSL-Verschlüsselung aktiv (siehe Punkt 2)
2. Datenschutz-Checkbox als Pflichtfeld – Diese sollte so ähnlich aussehen:

  
 ☐ Ich habe die Datenschutzerklärung gelesen und stimme der Verarbeitung meiner Daten zur Beantwortung meiner Anfrage zu.

3. Hinweis auf sensible Daten:

   Bitte teilen Sie keine Gesundheitsdaten oder Details zu Ihrem 
   Anliegen per E-Mail mit. Nutzen Sie das Formular nur zur 
   Terminvereinbarung.

Empfohlene Plugins

• Elementor Forms (in Elementor Pro enthalten) – einfache DSGVO-Checkboxen und einfach einzurichten.
• Contact Form 7 + GDPR–Addon
• WPForms – benutzerfreundlich

7. Externe Inhalte datenschutzkonform einbinden

Google Maps

Problem: Beim Laden der Karte werden Daten an Google übertragen.

Lösung:

• Zwei-Klick-Lösung: Karte wird erst nach aktiver Zustimmung geladen
• Alternative: OpenStreetMap (DSGVO-konform)
• Plugin: WP Google Maps GDPR

YouTube-Videos

Wenn du ein YouTube-Video auf deiner Website einbetten möchtest, musst du auch hier auf den Datenschutz achten. Denn beim Laden des Videos werden Daten an Google-Server übertragen – auch dann, wenn Besucher das Video noch gar nicht abspielen.

Lösung: Nutze den erweiterten Datenschutzmodus von YouTube (youtube-nocookie.com). Damit werden erst Daten übertragen, wenn der Besucher aktiv auf Play klickt.

So sollte dann dein Link aussehen: https://www.youtube-nocookie.com/embed/VIDEO-ID

Noch besser: Zwei-Klick-Lösung per Plugin (z.B. Borlabs Cookie oder Real Cookie Banner). Damit wird dein Video zunächst durch einen Platzhalter ersetzt. Der Besucher sieht einen Hinweis und muss aktiv zustimmen, bevor das Video geladen wird.

8. WordPress DSGVO-Einstellungen

Standard-Funktionen deaktivieren

• Gravatar deaktivieren:
  • Einstellungen → Diskussion
  • „Avatare anzeigen“ → deaktivieren

• Emojis deaktivieren (laden von wordpress.org):
  • Per Plugin: Disable Emojis
• Google Fonts in Theme deaktivieren:
  • Prüfe Theme-Einstellungen
  • Nutze OMGF Plugin (siehe Punkt 3)

Das Plugin Disable Emojis bei WordPress:

9. DSGVO-Checkliste für Therapeuten-Websites

Technische Umsetzung

• SSL-Zertifikat aktiviert
• Google Fonts lokal eingebunden
• Gravatar deaktiviert
• Emojis deaktiviert
• Cookie-Banner (falls notwendig)

Rechtstexte

• Impressum vollständig (§ 5 TMG)
• Datenschutzerklärung mit Therapeuten-Hinweisen
• Links im Footer zu Impressum & Datenschutz
• Schweigepflicht § 203 StGB erwähnt

Kontaktformular

• SSL aktiv
• Datenschutz-Checkbox als Pflichtfeld
• Hinweis auf sensible Daten
• Double-Opt-In bei Newsletter (falls vorhanden)

Externe Dienste

• Auftragsverarbeitungsvertrag (AVV) mit Hoster
• Google Maps mit Zwei-Klick-Lösung
• YouTube im Datenschutzmodus
• Keine externen Tracking-Tools ohne Consent

10. Die 5 häufigsten DSGVO-Fehler

❌ Fehler 1: Google Fonts von Google-Servern laden

✅ Lösung: OMGF Plugin nutzen oder Google Fonts blockieren und Font hochladen. Elementor bietet zum Beispiel die Möglichkeit an, Google Fonts lokal zu laden. Die Option muss bei den Einstellungen gemacht werden.

❌ Fehler 2: Kein Hinweis auf Schweigepflicht in Datenschutzerklärung

✅ Lösung: § 203 StGB explizit erwähnen

❌ Fehler 3: Kontaktformular ohne Datenschutz-Checkbox

✅ Lösung: Pflicht-Checkbox mit Link zur Datenschutzerklärung

❌ Fehler 4: Kein AVV mit Hoster

✅ Lösung: Bei Hoster anfordern (oft im Kundenbereich verfügbar)

❌ Fehler 5: E-Mail-Adresse ohne Warnung vor sensiblen Daten

✅ Lösung: Hinweis „Bitte keine Gesundheitsdaten per E-Mail“

11. Dein Weg zur DSGVO-konformen Website

Schritt-für-Schritt:

1. SSL aktivieren (bei Hoster bestellen, Plugin installieren)
2. Google Fonts lokal einbinden (OMGF Plugin)
3. Datenschutzerklärung erstellen (Generator + Therapeuten-Hinweise)
4. Kontaktformular mit DSGVO-Checkbox
5. WordPress-Einstellungen optimieren (Gravatar, Emojis)
6. Cookie-Check durchführen (nur falls Tracking genutzt wird)

Zeitaufwand: 2-3 Stunden für eine vollständige Umsetzung.

Oder: DSGVO-konform in 5 Minuten

Du willst nicht selbst Hand anlegen? Unser Psychotherapeuten Template Kit ist bereits DSGVO-konform vorkonfiguriert:

✅ SSL-ready ✅ Google Fonts lokal eingebunden ✅ Kein Cookie-Banner nötig (nur technisch notwendige Cookies) ✅ Datenschutzerklärung-Vorlage mit Therapeuten-spezifischen Hinweisen ✅ DSGVO-Kontaktformular mit Checkbox ✅ WordPress optimal konfiguriert (Gravatar, Emojis deaktiviert) ✅ Responsive & SEO-optimiert

Jetzt Template Kit ansehen →

Fazit: DSGVO-Konformität ist machbar

Eine DSGVO-konforme Psychotherapeuten-Website ist kein Hexenwerk. Die wichtigsten Punkte:

1. SSL-Verschlüsselung ist Pflicht
2. Google Fonts lokal einbinden
3. Cookie-Banner nur bei Tracking nötig
4. Datenschutzerklärung mit Therapeuten-Hinweisen
5. Kontaktformular mit DSGVO-Checkbox

Wichtig: Dieser Artikel ersetzt keine Rechtsberatung. Bei Unsicherheiten konsultiere einen spezialisierten Datenschutz-Anwalt. Die Bundespsychotherapeutenkammer bietet zusätzliche Orientierung für berufsrechtliche Fragen.

Mit den richtigen Tools und dieser Checkliste bist du bestens aufgestellt. Deine Website, deine Regeln – aber bitte DSGVO-konform! 🚀

Stand: Dezember 2025