Skip to content
Nachrichten calendar_today Aktualisiert: 6. April 2026 schedule 5 Min. Lesezeit

Arzt wegen Online-Anmeldeformular mit Bussgeld belegt

Ein Arzt wurde mit einem Bussgeld belegt, weil sein Online-Anmeldeformular medizinische Daten ohne angemessene Sicherheit oder gueltige Einwilligung erfasste. Was ist passiert und was kann man daraus lernen?

summarize Kernaussagen
  • check_circle Medizinische Daten sind besondere Kategorien personenbezogener Daten unter der DSGVO und erfordern besonderen Schutz
  • check_circle Ein Standard-Kontaktformular auf Ihrer Website ist nicht geeignet, um Gesundheitsdaten zu erfassen
  • check_circle Sie benoetigen eine gueltige Rechtsgrundlage, und bei Gesundheitsdaten sind die Anforderungen strenger
  • check_circle Die Sicherheit von Online-Formularen liegt in Ihrer Verantwortung, auch wenn Sie ein Drittanbieter-Tool verwenden

Was ist passiert?

Ein Hausarzt in Belgien bot auf seiner Website ein Online-Anmeldeformular fuer neue Patienten an. Das Formular fragte nach Name, Adresse, Geburtsdatum und Kontaktdaten, aber auch nach Krankengeschichte, aktueller Medikation und Allergien.

Das Problem? Das Formular war ein Standard-Webformular ohne angemessene Sicherheit. Die Daten wurden unverschluesselt uebertragen und gespeichert. Es gab keine Datenschutzerklaerung zum Formular. Und es wurde keine ausdrueckliche Einwilligung fuer die Verarbeitung der Gesundheitsdaten eingeholt.

Die Aufsichtsbehoerde entdeckte die Situation nach einer Patientenbeschwerde und verhoengte ein Bussgeld.

Warum das so problematisch ist

Besondere Kategorien personenbezogener Daten

Gesundheitsdaten fallen unter die “besonderen Kategorien personenbezogener Daten” der DSGVO. Artikel 9 verbietet die Verarbeitung dieser Daten, es sei denn, es liegt eine bestimmte Ausnahme vor. Fuer einen Arzt existiert diese Ausnahme im Rahmen der Behandlungsbeziehung, aber alle Sicherheitsanforderungen muessen trotzdem erfuellt werden.

Ein Online-Formular, das Gesundheitsdaten ohne angemessene Sicherheit erfasst, verstoesst gleichzeitig gegen mehrere DSGVO-Grundsaetze:

  • Integritaet und Vertraulichkeit (Artikel 5(1)(f)) - die Daten waren nicht angemessen gesichert
  • Transparenz (Artikel 5(1)(a)) - der Patient war nicht ordnungsgemaess ueber die Verarbeitung informiert
  • Sicherheit (Artikel 32) - es waren keine angemessenen technischen Massnahmen vorhanden

Es ging nicht um die Datenmenge

Es handelte sich nicht um einen grossen Datenverlust mit Tausenden von Datensaetzen. Es ging darum, wie sensible Daten erfasst wurden: ueber ein ungesichertes Formular, ohne Einwilligung, ohne Transparenz. Die Behoerde betonte, dass die Sensibilitaet der Daten hoehere Sicherheitsstandards erfordert.

Die Lektionen

1. Kennen Sie Ihre Daten

Wissen Sie, welche Daten Sie ueber Ihre Website erfassen. Ein Kontaktformular mit Name und E-Mail ist etwas ganz anderes als ein Formular, das nach Erkrankungen oder Allergien fragt. Sobald Sie Gesundheitsdaten oder andere besondere Kategorien erfassen, gelten strengere Regeln.

2. Sichern Sie Ihre Formulare

Jedes Online-Formular, das personenbezogene Daten erfasst, muss mindestens:

  • Auf einer Website mit TLS (https) gehostet sein
  • Daten verschluesselt speichern
  • Zugriffskontrollen fuer gespeicherte Daten haben
  • Keine Daten ueber ungesicherte E-Mail weiterleiten

Bei sensiblen Daten gelten zusaetzliche Anforderungen: verschluesselte Speicherung, eingeschraenkter Zugang und vorzugsweise ein sicheres Patientenportal anstelle eines offenen Webformulars.

3. Informieren und Einwilligung einholen

Verknuepfen Sie eine Datenschutzerklaerung mit Ihrem Formular. Erklaeren Sie:

  • Welche Daten Sie erfassen und warum
  • Wie lange Sie die Daten aufbewahren
  • Mit wem Sie die Daten teilen
  • Wie die betroffene Person ihre Rechte ausueben kann

Bei besonderen Kategorien personenbezogener Daten benoetigen Sie oft eine ausdrueckliche Einwilligung. Ein vorab angekreuztes Kaestchen genuegt nicht.

4. Verwenden Sie die richtigen Tools

Ein Standard-Kontaktformular-Plugin ist nicht fuer die Erfassung medizinischer Daten konzipiert. Erwaegen Sie:

  • Ein sicheres Patientenportal
  • Ein Formular-Tool, das die DSGVO-Anforderungen fuer sensible Daten erfuellt
  • Ein Formular, das Daten lokal verschluesselt, bevor es gesendet wird

Pruefen Sie auch, wo die Daten landen. Werden sie bei einem Drittanbieter gespeichert? In welchem Land? Haben Sie einen Auftragsverarbeitungsvertrag?

Nicht nur fuer Aerzte

Dieser Fall betraf einen Arzt, aber die Lektion gilt fuer jeden, der sensible Daten ueber Online-Formulare erfasst:

  • Physiotherapeuten und Psychologen, die Aufnahmeformulare online anbieten
  • Fitnessstudios, die Gesundheitserklaerungen ueber ihre Website einholen
  • Personalabteilungen, die medizinische Informationen von Bewerbern verlangen
  • Coaches und Therapeuten mit Online-Anamneseformularen
  • Versicherer, die Gesundheitserklaerungen digital abwickeln

Die Botschaft ist klar: Wenn Sie sensible Daten ueber Ihre Website erfassen, stellen Sie sicher, dass Sicherheit und Transparenz gewaehrleistet sind.

Pruefen Sie Ihre eigenen Formulare

Betrachten Sie Ihre Website kritisch. Welche Formulare haben Sie? Welche Daten erfassen Sie? Wo werden sie gespeichert? Ist die Verbindung sicher? Haben Sie eine Datenschutzerklaerung? Das sind Fragen, die Sie heute noch beantworten koennen.

auto_awesome Erfassen Sie sensible Daten ueber Formulare?

GDPRWise scannt Ihre Website und erkennt automatisch, welche personenbezogenen Daten Sie ueber Formulare, Cookies und Dritte erfassen. Inklusive massgeschneiderter Beratung.

GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.