Alle Artikel
Branchenanalyse12 Min. Lesezeit

69 % der Medizin-Websites verstoßen gegen die DSGVO — eine Analyse von 12.255 Arzt- und Klinik-Seiten

Verstößt Ihre Medizin-Website gegen die DSGVO? Unsere Analyse von 12.255 Seiten zeigt: 69 % übertragen Daten unerlaubt vor Consent. Google Fonts ist der häufigste Verursacher. Erfahren Sie, wie Sie Ihre Arztpraxis rechtssicher machen und Abmahnungen vermeiden.

69 % der Medizin-Websites verstoßen gegen die DSGVO — eine Analyse von 12.255 Arzt- und Klinik-Seiten

Wenn ein Patient die Website seiner Hausarztpraxis besucht, um Öffnungszeiten nachzusehen, denkt er nicht an Datenschutz. Was er nicht weiß: In Millisekunden, noch bevor er irgendetwas angeklickt hat, haben Dutzende externe Server seine IP-Adresse, seinen Browser-Fingerprint und die gerade besuchte URL erhalten — Server von Google, in den USA.

Wir haben 12.255 Websites aus dem medizinischen Bereich — Arztpraxen, Kliniken, Gesundheitsportale, Apotheken, Therapiezentren — mit unserem automatisierten Pre/Post-Consent-Scanner analysiert. Das Ergebnis ist ernüchternd: Sieben von zehn Medizin-Websites verstoßen gegen die DSGVO, bevor der Nutzer auch nur einen Button gedrückt hat.

69,4 %
Pre-Consent-Verstöße
8.510 von 12.255 Websites
44,8 %
Verstoß trotz CMP
5.485 Websites
27,9 %
Ohne jedes CMP
3.424 Websites
12.255
Gescannte Websites
Mai 2026

Warum der Medizinbereich besonders schwer wiegt

Die DSGVO unterscheidet zwischen normalen personenbezogenen Daten und besonderen Kategorien nach Art. 9 DSGVO. Zu letzteren zählen ausdrücklich Gesundheitsdaten. Was viele nicht wissen: Schon der bloße Besuch einer Arztpraxis-Website kann als implizites Gesundheitsdatum gelten — denn er lässt Rückschlüsse auf den Gesundheitszustand des Besuchers zu. Wer die Website einer onkologischen Praxis oder einer HIV-Schwerpunktambulanz aufruft, hinterlässt in Kombination mit seiner IP-Adresse ein Datum, das Google potenziell zuordnen kann. Für Sie als Arzt oder Klinikbetreiber geht es hierbei um mehr als nur DSGVO-Bußgelder. Die Übermittlung schützenswerter Gesundheitsdaten an Drittanbieter ohne Einwilligung tangiert im Kern auch Ihre ärztliche Schweigepflicht nach § 203 StGB. Wenn Ihre Website Daten über die Patientenbeziehung an externe Dienste wie Google in den USA sendet — noch bevor der Patient eingewilligt hat —, kann dies als Verletzung Ihrer beruflichen Schweigepflicht ausgelegt werden. Das Risiko ist damit nicht nur finanzieller Natur, sondern berührt unmittelbar Ihre berufsrechtliche Zulassung.

„Pre-Consent" bezeichnet den Zeitraum zwischen dem Aufrufen einer Seite und dem Klick auf „Alle akzeptieren". In diesem Fenster dürfen nur technisch notwendige Dienste aktiv sein. Alles andere ist rechtswidrig — unabhängig davon, ob ein Cookie-Banner vorhanden ist.

Das Gesamtbild: 69,4 % Pre-Consent-Verstöße

69,4 % 8.510 Websites Mind. ein Pre-Consent-Verstoß
30,6 % 3.745 Websites Kein Pre-Consent-Verstoß

Basis: 12.255 gescannte Medizin-Websites · Mai 2026

Aufschlüsselung der 8.510 Verstöße: 64,5 % haben ein CMP — das Tracking blockiert es trotzdem nicht

Besonders alarmierend: 5.485 der 8.510 Verstöße entfallen auf Websites, die ein Cookie-Consent-Tool installiert haben — das Tracking läuft trotzdem vor dem Consent. Das zeigt: Ein Cookie-Banner allein ist kein Datenschutz. Ein Banner, der nicht technisch blockiert, ist aus DSGVO-Sicht wertlos — und schafft trügerische Sicherheit.

Die Verursacher: Top 10 der Pre-Consent-Dienste

Welche Dienste sind konkret verantwortlich? Hier die zehn häufigsten Verbindungen vor dem Consent-Klick — gemessen an der Anzahl der Websites:

Anzahl der Websites mit Pre-Consent-Verbindung zum jeweiligen Dienst (von 12.255 gesamt)

Auf den Plätzen 2, 4, 5 und 6 finden sich verwandte Google-Infrastrukturdienste: Google Static (gstatic.com, 21,0 %), WordPress-CDN (13,1 %), Google generisch (12,2 %) und Google CDN (11,7 %) — allesamt Ressourcen, die als Nebeneffekt anderer Google-Dienste mitgeladen werden und denselben Datentransfer-Effekt haben. Wir springen daher zu den inhaltlich prägnantesten Beispielen:

Häufige DSGVO-Abmahnungen für Google Fonts auf Arztpraxis-Websites — Platz 1 (37,7 %)

Google Fonts ist der absolute Spitzenreiter und gleichzeitig die häufigste Ursache für DSGVO-Abmahnungen bei Arztpraxen. Das Landgericht München hat mit Urteil vom 20. Januar 2022 (Az. 3 O 17493/20) festgestellt, dass die Einbindung via CDN ohne Einwilligung gegen die DSGVO verstößt — weil dabei die IP-Adresse an Google-Server in den USA übertragen wird. Der Kläger erhielt 100 Euro Schadensersatz — pro Besuch. Die Lösung ist simpel: Schriftarten lokal hosten. Zeitaufwand: ca. 15 Minuten. Trotzdem betrifft dieses Problem mehr als jede dritte Medizin-Website.

Platz 3: Google Maps — 2.305 Websites (18,8 %)

Kaum eine Praxis kommt ohne Anfahrtsbeschreibung aus — und kaum eine löst das ohne Google Maps. Beim ersten Seitenaufruf wird sofort eine Verbindung aufgebaut. Die Zwei-Klick-Lösung (statisches Bild, interaktive Karte erst nach Klick) löst das Problem vollständig.

Platz 7: Google Analytics 4 — 1.086 Websites (8,9 %)

GA4 ist kein Infrastrukturdienst. Es dient ausschließlich der Analyse und hat damit keine Rechtfertigung für den Pre-Consent-Betrieb — trotz jahrelanger Debatten auf EU-Ebene und klarer Entscheidungen aus Wien, Paris und Kopenhagen.

Der CMP-Markt: Wer schützt wirklich?

72 % der Websites haben irgendeine Form von Consent-Management. Klingt gut — ist es nicht. Die 5.485 Verstöße trotz CMP zeigen, dass es auf Qualität und Konfiguration ankommt.

CMP-Marktanteile — Anteil an allen Websites mit Consent-Tool (n = 8.831)

Mit 37,2 % Marktanteil unter den CMP-Nutzern ist „Generic / Eigenbau" die häufigste Kategorie. Darunter fallen selbstgebastelte Banner, einfache JS-Popups ohne technisches Blocking und WordPress-Plugins, die nur ein Banner anzeigen — aber keine Skripte sperren. Aus DSGVO-Sicht wertlos.

Borlabs Cookie (13,8 %) und Complianz (12,1 %) dominieren zusammen den WordPress-Markt. Beide sind grundsätzlich fähige Tools — wenn sie korrekt konfiguriert werden. Typische Fehler: Google Fonts und Maps werden nicht als externe Ressourcen erkannt, GTM wird ohne Consent-Signal geladen.

Warum DSGVO-Verstöße im Gesundheitswesen besonders teure Folgen haben

Webagenturen ohne DSGVO-Kompetenz — und die Chance, die darin steckt: Der Großteil der Medizin-Websites wird von kleinen regionalen Agenturen erstellt. Sie installieren Google Fonts, weil es schnell geht. Sie wählen ein kostenloses Cookie-Plugin, weil Borlabs 39 Euro kostet. Das Problem: Die Praxis haftet. Für Agenturen ist diese Analyse jedoch zugleich eine strategische Chance: Wer seinen Kunden im Gesundheitswesen proaktiv auf diese Risiken hinweist, technische Pre/Post-Consent-Scans durchführt und eine nachweisbare Compliance-Dokumentation liefert, positioniert sich als unverzichtbarer Vertrauenspartner — und differenziert sich klar vom Wettbewerb, der diese Themen ignoriert.

WordPress als Sorglosigkeitsfalle: WordPress-Themes laden per Default Google Fonts. Plugins wie Contact Form 7 laden per Default reCAPTCHA. Der GTM wird oft installiert, ohne dass jemand versteht, was er tut. Der Standard-Pfad führt in den Verstoß.

Kein kontinuierliches Monitoring: DSGVO-Compliance ist kein einmaliger Zustand. Ein Plugin-Update kann jederzeit neue Verstöße einschleppen. Ohne wöchentliche Scans bemerkt das niemand — bis die Aufsichtsbehörde anruft.

DSGVO-Bußgelder und Abmahnungen für Arztpraxen: Was rechtlich droht

Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor. Für Arztpraxen ist das theoretisch bis zu 20.000 Euro — und Bußgelder gegen Praxen wegen Website-Verstößen sind heute keine Theorie mehr. Dazu kommt Schadensersatz nach Art. 82 DSGVO: Das LG München sprach bereits 100 Euro pro Besucher für eine Google Fonts Einbindung zu.

Fallbeispiel: Wie eine DSGVO-Abmahnung die Praxis trifft

Stellen Sie sich vor: Ein Patient besucht Ihre Website, um die Öffnungszeiten nachzuschlagen. Er verlässt die Seite, ohne den Cookie-Banner zu beachten. In diesem Moment wird seine IP-Adresse und sein Browser-Fingerprint bereits an Google-Server in den USA übermittelt — denn Google Fonts lädt vor jedem Consent-Klick.

Monate später erhält die Praxis einen Schadensersatzanspruch über 100 Euro, gestützt auf das Urteil des LG München. Da dieser Patient kein Einzelfall war — Ihre Praxiswebsite verzeichnet 3.000 Besucher im Monat — könnten sich die Forderungen schnell auf eine wirtschaftlich existenzbedrohende Summe summieren. DSGVO-Compliance ist damit kein bürokratischer Formalismus, sondern ein kritischer Schutzfaktor für Ihre Praxis.

DSGVO-Checkliste für Arztpraxen: Was jetzt sofort zu tun ist

  • Google Fonts lokal hosten — alle fonts.googleapis.com-Requests entfernen. Zeitaufwand: 15 Minuten.
  • Google Maps hinter Consent-Gate legen — statisches Bild einbinden, interaktive Karte erst nach Klick nachladen.
  • GA4 und GTM im CMP blockieren — kein Tracking-Script darf ohne Consent laden. Den Google Consent Mode v2 im GTM im datenschutzkonformen Basic-Modus einrichten, um jeglichen Pre-Consent-Datenfluss zu unterbinden — der Advanced Mode sendet trotzdem cookielose Pings und ist aus Sicht der deutschen Datenschutzbehörden kritisch.
  • Professionelles CMP einsetzen — Borlabs Cookie oder Cookiebot mit technischem Script-Blocking. Kein Eigenbau.
  • AVVs mit allen Dienstleistern abschließen — Google, Hetzner, Mailchimp und Co. benötigen einen AVV nach Art. 28 DSGVO.
  • Wöchentliche Pre/Post-Consent-Scans einrichten — Plugin-Updates schleppen laufend neue Verstöße ein.

Wie du als Agentur den Überblick über alle Kunden-Websites behältst und Verstöße automatisch erkennst, erklärt unser Artikel Tracking vor Cookie Consent: Wie du DSGVO-Verstöße auf Kunden-Websites erkennst.

Häufige Fragen zur DSGVO auf medizinischen Websites (FAQ)

Gilt ein Cookie-Banner auf einer Arzt-Website als Pflicht?

Ein Cookie-Banner (CMP) ist immer dann gesetzlich verpflichtend, wenn auf der Website Dienste geladen werden, die nicht technisch zwingend notwendig für den Betrieb der Seite sind. Da fast jede Praxiswebsite Dienste wie Google Fonts, Google Maps oder Analyse-Tools nutzt, ist ein technisch blockierendes Consent-Tool in 99 % der Fälle unumgänglich.

Darf ich Google Maps für die Anfahrtsbeschreibung nutzen?

Ja, aber nicht im Standard-Ladezustand. Sobald die interaktive Karte beim Aufruf der Seite automatisch lädt, fließen Nutzerdaten ohne Einwilligung in die USA. Die Lösung ist eine datenschutzkonforme Zwei-Klick-Lösung: Erst nach einem expliziten Klick des Patienten darf die Karte nachgeladen werden.

Können Patienten mich wegen einer Google-Fonts-Einbindung abmahnen?

Ja. Seit dem wegweisenden Urteil des Landgerichts München haben Nutzer bei nachgewiesenen Verstößen (dynamisches Laden von Google-Servern ohne Consent) Anspruch auf Schadensersatz. Da im medizinischen Bereich zudem sensible Rückschlüsse auf den Gesundheitszustand möglich sind (Art. 9 DSGVO), ist das rechtliche Risiko hier besonders hoch.

Methodik: Automatisierter Pre/Post-Consent-Scan von 12.255 Websites aus dem deutschen Gesundheitswesen, Mai 2026. Phase 1: vollständige Aufzeichnung aller Netzwerkverbindungen vor CMP-Interaktion. Phase 2: Aufzeichnung nach simuliertem Klick auf „Alle akzeptieren". Klassifizierung gegen eine Fingerprint-Datenbank mit über 40 Tracking-Diensten.

Complianty
DSGVO-ToolBlogImpressumDatenschutz
Complianty ist ein Dokumentations- und Monitoring-Tool. Es ersetzt keine Rechtsberatung und begründet keinen Rechtsanspruch.

© 2026 Complianty. Alle Rechte vorbehalten.