Skip to content
Nachrichten calendar_today Aktualisiert: 6. April 2026 schedule 5 Min. Lesezeit

Arzt wegen Online-Anmeldeformular mit Bußgeld belegt

verified Zuletzt überprüft 6. April 2026 · das GDPRWise Rechtsteam

Ein Arzt wurde mit einem Bußgeld belegt, weil sein Online-Anmeldeformular medizinische Daten ohne angemessene Sicherheit oder gültige Einwilligung erfasste. Was ist passiert und was kann man daraus lernen?

summarize Kernaussagen
  • check_circle Medizinische Daten sind besondere Kategorien personenbezogener Daten unter der DSGVO und erfordern besonderen Schutz
  • check_circle Ein Standard-Kontaktformular auf Ihrer Website ist nicht geeignet, um Gesundheitsdaten zu erfassen
  • check_circle Sie benötigen eine gültige Rechtsgrundlage, und bei Gesundheitsdaten sind die Anforderungen strenger
  • check_circle Die Sicherheit von Online-Formularen liegt in Ihrer Verantwortung, auch wenn Sie ein Drittanbieter-Tool verwenden

Was ist passiert?

Ein Hausarzt in Belgien bot auf seiner Website ein Online-Anmeldeformular für neue Patienten an. Das Formular fragte nach Name, Adresse, Geburtsdatum und Kontaktdaten, aber auch nach Krankengeschichte, aktueller Medikation und Allergien.

Das Problem? Das Formular war ein Standard-Webformular ohne angemessene Sicherheit. Die Daten wurden unverschlüsselt übertragen und gespeichert. Es gab keine Datenschutzerklärung zum Formular. Und es wurde keine ausdrückliche Einwilligung für die Verarbeitung der Gesundheitsdaten eingeholt.

Die Aufsichtsbehörde entdeckte die Situation nach einer Patientenbeschwerde und verhoengte ein Bußgeld.

Warum das so problematisch ist

Besondere Kategorien personenbezogener Daten

Gesundheitsdaten fallen unter die “besonderen Kategorien personenbezogener Daten” der DSGVO. Artikel 9 verbietet die Verarbeitung dieser Daten, es sei denn, es liegt eine bestimmte Ausnahme vor. Für einen Arzt existiert diese Ausnahme im Rahmen der Behandlungsbeziehung, aber alle Sicherheitsanforderungen müssen trotzdem erfüllt werden.

Ein Online-Formular, das Gesundheitsdaten ohne angemessene Sicherheit erfasst, verstößt gleichzeitig gegen mehrere DSGVO-Grundsätze:

  • Integrität und Vertraulichkeit (Artikel 5(1)(f)) - die Daten waren nicht angemessen gesichert
  • Transparenz (Artikel 5(1)(a)) - der Patient war nicht ordnungsgemäß über die Verarbeitung informiert
  • Sicherheit (Artikel 32) - es waren keine angemessenen technischen Maßnahmen vorhanden

Es ging nicht um die Datenmenge

Es handelte sich nicht um einen großen Datenverlust mit Tausenden von Datensätzen. Es ging darum, wie sensible Daten erfasst wurden: über ein ungesichertes Formular, ohne Einwilligung, ohne Transparenz. Die Behörde betonte, dass die Sensibilität der Daten höhere Sicherheitsstandards erfordert.

Die Lektionen

1. Kennen Sie Ihre Daten

Wissen Sie, welche Daten Sie über Ihre Website erfassen. Ein Kontaktformular mit Name und E-Mail ist etwas ganz anderes als ein Formular, das nach Erkrankungen oder Allergien fragt. Sobald Sie Gesundheitsdaten oder andere besondere Kategorien erfassen, gelten strengere Regeln.

2. Sichern Sie Ihre Formulare

Jedes Online-Formular, das personenbezogene Daten erfasst, muss mindestens:

  • Auf einer Website mit TLS (https) gehostet sein
  • Daten verschlüsselt speichern
  • Zugriffskontrollen für gespeicherte Daten haben
  • Keine Daten über ungesicherte E-Mail weiterleiten

Bei sensiblen Daten gelten zusätzliche Anforderungen: verschlüsselte Speicherung, eingeschränkter Zugang und vorzugsweise ein sicheres Patientenportal anstelle eines offenen Webformulars.

3. Informieren und Einwilligung einholen

Verknüpfen Sie eine Datenschutzerklärung mit Ihrem Formular. Erklären Sie:

  • Welche Daten Sie erfassen und warum
  • Wie lange Sie die Daten aufbewahren
  • Mit wem Sie die Daten teilen
  • Wie die betroffene Person ihre Rechte ausüben kann

Bei besonderen Kategorien personenbezogener Daten benötigen Sie oft eine ausdrückliche Einwilligung. Ein vorab angekreuztes Kästchen genügt nicht.

4. Verwenden Sie die richtigen Tools

Ein Standard-Kontaktformular-Plugin ist nicht für die Erfassung medizinischer Daten konzipiert. Erwägen Sie:

  • Ein sicheres Patientenportal
  • Ein Formular-Tool, das die DSGVO-Anforderungen für sensible Daten erfüllt
  • Ein Formular, das Daten lokal verschlüsselt, bevor es gesendet wird

Prüfen Sie auch, wo die Daten landen. Werden sie bei einem Drittanbieter gespeichert? In welchem Land? Haben Sie einen Auftragsverarbeitungsvertrag?

Nicht nur für Ärzte

Dieser Fall betraf einen Arzt, aber die Lektion gilt für jeden, der sensible Daten über Online-Formulare erfasst:

  • Physiotherapeuten und Psychologen, die Aufnahmeformulare online anbieten
  • Fitnessstudios, die Gesundheitserklärungen über ihre Website einholen
  • Personalabteilungen, die medizinische Informationen von Bewerbern verlangen
  • Coaches und Therapeuten mit Online-Anamneseformularen
  • Versicherer, die Gesundheitserklärungen digital abwickeln

Die Botschaft ist klar: Wenn Sie sensible Daten über Ihre Website erfassen, stellen Sie sicher, dass Sicherheit und Transparenz gewährleistet sind.

Prüfen Sie Ihre eigenen Formulare

Betrachten Sie Ihre Website kritisch. Welche Formulare haben Sie? Welche Daten erfassen Sie? Wo werden sie gespeichert? Ist die Verbindung sicher? Haben Sie eine Datenschutzerklärung? Das sind Fragen, die Sie heute noch beantworten können.

auto_awesome Erfassen Sie sensible Daten über Formulare?

GDPRWise scannt Ihre Website und erkennt automatisch, welche personenbezogenen Daten Sie über Formulare, Cookies und Dritte erfassen. Inklusive maßgeschneiderter Beratung.

Teilen share LinkedIn mail E-Mail
GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.