Brauche ich für meine Ordinationswebsite wirklich ein Cookie-Banner?

Nur wenn die Website Cookies oder vergleichbare Technologien einsetzt, die nicht zwingend technisch erforderlich sind — etwa Analytics, Tracking-Pixel oder Werbe-Cookies. Eine reine Ordinationswebsite ohne Tracking-Tools braucht streng genommen kein Consent-Banner. Sobald aber Google Analytics, Maps mit Cookies oder eingebettete YouTube-Videos im Spiel sind, ist ein Opt-in-Banner Pflicht — das entspricht der DSGVO und § 165 des österreichischen Telekommunikationsgesetzes (TKG 2021).

Darf ich Google Fonts oder Google Maps direkt einbinden?

Direktes Einbinden von Google-Diensten überträgt IP-Adressen an Google-Server in den USA — die österreichische Datenschutzbehörde (DSB) hat in mehreren Bescheiden festgehalten, dass solche Übermittlungen ohne ausdrückliche Einwilligung problematisch sind. Lösung: Schriftarten lokal hosten, statt sie vom Google-Server zu laden. Für Karten reicht oft ein statisches Vorschaubild mit Klick-zum-Laden-Lösung, das vor Aktivierung keine Daten überträgt.

Was muss bei einem Online-Kontaktformular für die Ordination beachtet werden?

Es gilt das Prinzip der Datenminimierung nach Art. 5 DSGVO: Nur Felder erheben, die für die Antwort wirklich nötig sind. Sensible Gesundheitsdaten gehören nicht in ein Standard-Kontaktformular — dafür braucht es Ende-zu-Ende-verschlüsselte Lösungen oder einen klaren Hinweis, dass keine Diagnosen oder Befunde übermittelt werden sollen. Pflicht sind außerdem eine Einwilligungs-Checkbox mit Verlinkung zur Datenschutzerklärung sowie TLS-Verschlüsselung (HTTPS) der gesamten Website.

Brauche ich Auftragsverarbeitungs-Verträge (AVV) für Tool-Anbieter?

Ja, mit jedem Dienstleister, der personenbezogene Daten Ihrer Patient:innen oder Website-Besucher:innen verarbeitet — Hosting-Anbieter, E-Mail-Dienst, Newsletter-Tool, Terminbuchungs-Software. Der AVV muss schriftlich oder elektronisch dokumentiert vorliegen, bevor Daten übertragen werden (Art. 28 DSGVO). Seriöse Anbieter stellen den AVV als Standard-Download bereit. Für österreichische Ordinationen besonders relevant: Hosting in der EU bevorzugen — das vereinfacht die Drittland-Problematik erheblich.

Muss die Datenschutzerklärung regelmäßig aktualisiert werden?

Ja, jedes Mal, wenn sich der Tool-Stack der Website ändert — neues Analytics-Tool, neuer Newsletter-Anbieter, neues Plugin. Auch bei DSB-Bescheiden, EuGH-Urteilen oder Novellen des österreichischen Datenschutzgesetzes (DSG) sollte die Datenschutzerklärung geprüft werden. Praktisch heißt das: mindestens einmal pro Jahr eine Vollprüfung, plus bei jeder technischen Änderung an der Website.

Zurück zur Übersicht

Ratgeber · zuletzt geprüft Mai 2026 DSGVO & Recht

DSGVO-konforme Website für österreichische Ordinationen — Checkliste 2026

Ordinationswebsites in Österreich verarbeiten besonders schutzwürdige Gesundheitsdaten — die Datenschutzbehörde (DSB) prüft Verstöße im Gesundheitsbereich besonders streng. Diese Checkliste zeigt die zehn häufigsten DSGVO-Schwachstellen auf Ordinationswebsites und wie sie sich nach österreichischer Rechtspraxis lösen lassen.

Warum DSGVO-Verstöße bei Ordinationswebsites besonders riskant sind

Gesundheitsdaten gehören nach Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten. Schon der Hinweis, dass eine Person bei einer bestimmten Fachordination Patient:in ist, kann eine Gesundheitsinformation darstellen — etwa bei einer Onkologie-, Psychotherapie- oder gynäkologischen Ordination. Die österreichische Datenschutzbehörde (DSB) setzt bei Ordinationen strengere Maßstäbe an als bei einem normalen Webshop.

Hinzu kommt die nationale Ergänzung durch das österreichische Datenschutzgesetz (DSG). Patient:innen sind in den letzten Jahren stärker sensibilisiert: Hinweise der Ärztekammer und der Arbeiterkammer haben spürbar zu mehr Beschwerden bei der DSB geführt. Eine einzige unzufriedene Patient:in kann ein Prüfverfahren auslösen — auch bei einer kleinen Einzelordination.

Die zehn häufigsten DSGVO-Schwachstellen

1. Google Fonts direkt eingebunden

Schriftarten, die direkt von fonts.googleapis.com geladen werden, übertragen bei jedem Seitenaufruf die IP-Adresse der Besucher:in an Google-Server in den USA. Lösung: Schriftarten lokal auf dem eigenen Server hosten. Astro, WordPress und die meisten anderen CMS bieten Plugins oder Build-Optionen dafür.

2. Google Maps ohne Klick-zum-Laden

Eingebettete Karten setzen Tracking-Cookies und übertragen die IP an Google. Eine datenschutzfreundliche Alternative ist eine statische Karten-Vorschau (PNG) mit einem Klick-zum-Aktivieren-Hinweis. Erst nach ausdrücklicher Bestätigung wird die interaktive Karte geladen.

3. YouTube-Videos ohne erweiterten Datenschutzmodus

Statt youtube.com sollte youtube-nocookie.com als Embed-Domain verwendet werden. Das verhindert, dass YouTube vor der ersten Interaktion Tracking-Cookies setzt — entspricht den Anforderungen der DSB an datenschutzfreundliche Voreinstellungen.

4. Analytics ohne Einwilligung

Google Analytics, Matomo Cloud oder vergleichbare Tools dürfen nicht ohne aktive Einwilligung der Besucher:in geladen werden. Wer Analytics einsetzt, braucht ein Consent-Banner mit echtem Opt-in (nicht voraktivierte Checkboxen, kein Cookie-Wall-Zwang) — das österreichische Telekommunikationsgesetz (TKG 2021, § 165) ist hier eindeutig.

5. Kontaktformular ohne Verschlüsselungs-Hinweis

Patient:innen sollen wissen, ob das Formular für sensible Anfragen sicher ist. Best Practice: HTTPS auf der gesamten Seite, klare Datenschutz-Checkbox vor dem Absenden, Hinweis, dass keine Befunde, Diagnosen oder Medikamentenpläne über das Formular übermittelt werden sollen.

6. Fehlende oder veraltete Datenschutzerklärung

Die Datenschutzerklärung muss exakt widerspiegeln, welche Tools, Dienste und Cookies die Website tatsächlich einsetzt — und welche Rechtsgrundlage nach Art. 6 bzw. Art. 9 DSGVO jeweils greift. Generische Vorlagen, die einmalig kopiert wurden, sind fast immer fehlerhaft. Empfehlung: mindestens einmal jährlich technisch prüfen lassen.

7. Keine Auftragsverarbeitungs-Verträge mit Hosting & Tools

Hosting-Anbieter, E-Mail-Dienst, Terminbuchungs-Tool, Newsletter-Software — mit jedem dieser Dienstleister braucht es einen schriftlichen AVV nach Art. 28 DSGVO, bevor Daten übermittelt werden. Bei DSB-Prüfungen ist das einer der ersten Kontrollpunkte.

8. Drittland-Tools ohne zusätzliche Garantien

Seit dem Schrems-II-Urteil des EuGH reicht der EU-US-Datenschutzrahmen allein nicht aus. Bei US-Tools (etwa Mailchimp, Calendly, manche US-Hosting-Anbieter) braucht es zusätzliche technische und vertragliche Schutzmaßnahmen oder eine ausdrückliche Einwilligung. Die einfachere Lösung: EU-basierte Alternativen wählen, idealerweise mit Hosting in Österreich oder einem anderen EU-Mitgliedstaat.

9. Bewerbungsformulare ohne Löschkonzept

Wenn die Ordinationswebsite Bewerbungen entgegennimmt, müssen Aufbewahrungsfristen klar geregelt sein — typischerweise sechs Monate nach Abschluss des Bewerbungsverfahrens, dann Löschung (Art. 5 Abs. 1 lit. e DSGVO). Das gehört in die Datenschutzerklärung und in die internen Prozesse.

10. Keine SSL/TLS-Verschlüsselung

Eine Ordinationswebsite ohne durchgängiges HTTPS ist 2026 nicht mehr akzeptabel — Browser warnen aktiv vor unverschlüsselten Formularen, und ohne TLS gibt es keine wirksame Pflichterfüllung nach Art. 32 DSGVO (Sicherheit der Verarbeitung).

So gehen Sie konkret vor

Tool-Inventur: Listen Sie alle Dienste auf, die auf Ihrer Website Daten verarbeiten — Hosting, E-Mail, Analytics, Karten, Schriftarten, Plugins, Terminbuchung.
AVV-Check: Für jeden Dienstleister einen Auftragsverarbeitungs-Vertrag anfordern und gemeinsam mit Ihrem Verarbeitungsverzeichnis ablegen.
Browser-Test: Im Inkognito-Modus die Website öffnen und mit den Browser-DevTools beobachten, welche externen Verbindungen geladen werden, bevor ein Cookie-Banner überhaupt erscheint.
Datenschutzerklärung gegenchecken: Stimmt jeder Tool-Eintrag mit der tatsächlichen Nutzung überein? Sind die Rechtsgrundlagen nach Art. 6 / Art. 9 DSGVO benannt?
Patient:innen-freundliches Kontaktformular: Pflichtfelder reduzieren, Datenschutz-Hinweis, sensible Anfragen über sicheren Kanal anbieten.

Hinweis: Dieser Ratgeber bietet eine allgemeine Orientierung nach österreichischer Rechtspraxis. Für rechtssichere Aussagen — insbesondere bei spezialisierten Fragestellungen wie elektronischer Patientenkommunikation, ELGA-Anbindung oder Telemedizin — empfehlen wir eine Prüfung durch eine:n auf Medizinrecht spezialisierte:n Anwält:in oder direkt bei der österreichischen Datenschutzbehörde.

Häufige Fragen

Brauche ich für meine Ordinationswebsite wirklich ein Cookie-Banner?: Nur wenn die Website Cookies oder vergleichbare Technologien einsetzt, die nicht zwingend technisch erforderlich sind — etwa Analytics, Tracking-Pixel oder Werbe-Cookies. Eine reine Ordinationswebsite ohne Tracking-Tools braucht streng genommen kein Consent-Banner. Sobald aber Google Analytics, Maps mit Cookies oder eingebettete YouTube-Videos im Spiel sind, ist ein Opt-in-Banner Pflicht — das entspricht der DSGVO und § 165 des österreichischen Telekommunikationsgesetzes (TKG 2021).
Darf ich Google Fonts oder Google Maps direkt einbinden?: Direktes Einbinden von Google-Diensten überträgt IP-Adressen an Google-Server in den USA — die österreichische Datenschutzbehörde (DSB) hat in mehreren Bescheiden festgehalten, dass solche Übermittlungen ohne ausdrückliche Einwilligung problematisch sind. Lösung: Schriftarten lokal hosten, statt sie vom Google-Server zu laden. Für Karten reicht oft ein statisches Vorschaubild mit Klick-zum-Laden-Lösung, das vor Aktivierung keine Daten überträgt.
Was muss bei einem Online-Kontaktformular für die Ordination beachtet werden?: Es gilt das Prinzip der Datenminimierung nach Art. 5 DSGVO: Nur Felder erheben, die für die Antwort wirklich nötig sind. Sensible Gesundheitsdaten gehören nicht in ein Standard-Kontaktformular — dafür braucht es Ende-zu-Ende-verschlüsselte Lösungen oder einen klaren Hinweis, dass keine Diagnosen oder Befunde übermittelt werden sollen. Pflicht sind außerdem eine Einwilligungs-Checkbox mit Verlinkung zur Datenschutzerklärung sowie TLS-Verschlüsselung (HTTPS) der gesamten Website.
Brauche ich Auftragsverarbeitungs-Verträge (AVV) für Tool-Anbieter?: Ja, mit jedem Dienstleister, der personenbezogene Daten Ihrer Patient:innen oder Website-Besucher:innen verarbeitet — Hosting-Anbieter, E-Mail-Dienst, Newsletter-Tool, Terminbuchungs-Software. Der AVV muss schriftlich oder elektronisch dokumentiert vorliegen, bevor Daten übertragen werden (Art. 28 DSGVO). Seriöse Anbieter stellen den AVV als Standard-Download bereit. Für österreichische Ordinationen besonders relevant: Hosting in der EU bevorzugen — das vereinfacht die Drittland-Problematik erheblich.
Muss die Datenschutzerklärung regelmäßig aktualisiert werden?: Ja, jedes Mal, wenn sich der Tool-Stack der Website ändert — neues Analytics-Tool, neuer Newsletter-Anbieter, neues Plugin. Auch bei DSB-Bescheiden, EuGH-Urteilen oder Novellen des österreichischen Datenschutzgesetzes (DSG) sollte die Datenschutzerklärung geprüft werden. Praktisch heißt das: mindestens einmal pro Jahr eine Vollprüfung, plus bei jeder technischen Änderung an der Website.

Quellen

Verordnung (EU) 2016/679 (DSGVO) — konsolidierte Fassung — EUR-Lex, offizieller Verordnungstext
Datenschutzgesetz (DSG) — Österreich — RIS, Rechtsinformationssystem des Bundes
Datenschutzbehörde Österreich (DSB) — Informationen für Verantwortliche — Zuständige Aufsichtsbehörde für Datenschutz in Österreich
Telekommunikationsgesetz (TKG 2021) — Österreich — RIS — § 165 zu Cookies und Einwilligung
Ärztekammer Österreich — Praxis-Hinweise für niedergelassene Ärzt:innen