Datenschutz auf der Praxiswebsite: Was das revDSG für Ärzte und Therapeuten in der Schweiz konkret bedeutet

Wer als Arzt oder Therapeut in der Schweiz eine Praxiswebsite betreibt, verarbeitet Patientendaten – schon mit dem ersten Klick. Eine IP-Adresse, ein Kontaktformular, ein Buchungssystem über OneDoc, ein eingebettetes Google-Bewertungs-Widget: All das fällt unter das revidierte Datenschutzgesetz (revDSG), das seit dem 1. September 2023 in Kraft ist. Und der Schutz ist im medizinischen Bereich besonders streng, weil Gesundheitsdaten zu den besonders schützenswerten Personendaten nach Art. 5 lit. c revDSG zählen.

Das Problem: Die meisten Praxen haben eine Datenschutzerklärung, die noch aus der Zeit vor dem revDSG stammt – oder die nur eine schweizerische Adaption einer DSGVO-Vorlage ist. Das ist nicht nur juristisch riskant, sondern auch ein Vertrauensproblem. Patientinnen und Patienten erkennen sehr genau, ob eine Praxis sorgfältig mit ihren Daten umgeht oder nicht.

Dieser Artikel zeigt dir konkret, was du als Ärztin, Arzt oder Therapeut in der Schweiz beim Datenschutz auf deiner Praxiswebsite beachten musst – und wo die typischen Stolperfallen lauern. Er ist Teil meiner ausführlichen Übersicht zum Thema Online-Vertrauen für Schweizer Arztpraxen.

Hinweis in eigener Sache: Die Inhalte dieses Artikels sind sorgfältig recherchiert, ersetzen aber keine individuelle Rechtsberatung. Bei konkreten Fragen zum revDSG, zum Berufsgeheimnis nach Art. 321 StGB oder zur Patientendaten-Verarbeitung empfehle ich die Rücksprache mit einer Anwältin oder einem Anwalt für IT-Recht oder mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Warum Datenschutz auf der Praxiswebsite ein doppelter Hebel ist

Datenschutz wird oft als reines Pflichtthema wahrgenommen – ein juristisches Übel, das man hinter sich bringen muss. In Wahrheit ist saubere Datenschutz-Praxis aber eines der stärksten Vertrauenssignale, die du online setzen kannst.

Studien zeigen: Patientinnen und Patienten, die das Gefühl haben, ihre Daten seien bei einer Praxis sicher aufgehoben, sind deutlich eher bereit, Online-Terminbuchungen zu nutzen, Kontaktformulare auszufüllen oder Newsletter zu abonnieren. Wer Datenschutz transparent kommuniziert, baut Vertrauen auf, das weit über die juristische Pflicht hinausgeht.

Gleichzeitig sind Datenschutz-Verstösse seit dem revDSG ein erhebliches Risiko. Während das alte DSG vor allem auf Unternehmen zielte, kennt das revDSG nun auch persönliche Bussen für verantwortliche Personen – bis zu CHF 250'000 für vorsätzliche Verletzungen bestimmter Pflichten (Art. 60 ff. revDSG). Auch der EDÖB hat seine Aufsichtsmöglichkeiten erweitert.

Datenschutz ist also kein Nebenthema. Er ist Teil deiner Marketingstrategie für die Arztpraxis – und ein direkter Vertrauenshebel.

Die rechtlichen Grundlagen im Überblick

Bevor wir konkret werden, kurz die wichtigsten Rechtsgrundlagen, die für deine Praxiswebsite gelten:

revDSG (revidiertes Datenschutzgesetz): Seit 1. September 2023 in Kraft. Hat das alte DSG abgelöst und sich stark an die DSGVO angenähert – mit einigen Schweizer Eigenheiten. Besonders relevant: Art. 5 (Definitionen, inkl. Gesundheitsdaten), Art. 19-20 (Informationspflichten), Art. 30-32 (Bearbeitung von besonders schützenswerten Personendaten), Art. 60 ff. (Strafbestimmungen).

DSV (Datenschutzverordnung): Ergänzt das revDSG mit konkreten Vorgaben.

Art. 321 StGB (Berufsgeheimnis): Strafrechtlich verankert. Wer Berufsgeheimnisse offenbart, riskiert Geldstrafe oder Freiheitsstrafe bis zu drei Jahren. Ist ein Offizialdelikt.

FMH-Standesordnung: Konkretisiert die ärztlichen Verpflichtungen zum Patientendatenschutz auf standesrechtlicher Ebene.

Kantonale Gesundheitsgesetze: Enthalten teils zusätzliche Vorgaben zur Patientendokumentation und -aufbewahrung.

DSGVO (EU): Wenn du Patienten aus der EU bedienst oder deine Website auf EU-Bürger zielt, kann zusätzlich die DSGVO greifen. Für die meisten Schweizer Praxen ist das aber zweitrangig, weil sie primär lokal arbeiten.

Diese Regelwerke greifen ineinander. Ein Verstoss auf einer Ebene kann gleichzeitig Bussen, Aufsichtsverfahren, berufsrechtliche Konsequenzen und strafrechtliche Folgen nach sich ziehen.

Die Datenschutzerklärung als Herzstück

Jede Praxiswebsite braucht eine Datenschutzerklärung – das ist Pflicht nach Art. 19 revDSG. Aber: Eine Standardvorlage aus dem Internet reicht nicht. Sie muss auf deine konkrete Praxis und auf die tatsächlich eingesetzten Tools zugeschnitten sein.

Was deine Datenschutzerklärung enthalten muss

Verantwortliche Person: Wer ist für die Datenbearbeitung verantwortlich? Mit Adresse und Kontaktmöglichkeit. Im Schweizer Kontext kommt das Konzept des Datenschutzberaters (statt Datenschutzbeauftragten) hinzu – freiwillig, aber empfehlenswert.

Zwecke der Datenbearbeitung: Wofür werden welche Daten bearbeitet? Konkret: Kontaktformular, OneDoc-Terminbuchung, Newsletter, Analytics, Maps, Schriften und alle weiteren Tools.

Rechtsgrundlagen: Im Schweizer Recht gibt es das Konzept der „Rechtsgrundlage" anders als in der DSGVO. Gemäss revDSG ist die Bearbeitung grundsätzlich erlaubt – aber sie muss verhältnismässig, zweckgebunden und transparent sein. Bei besonders schützenswerten Daten (Gesundheitsdaten) brauchst du in der Regel eine ausdrückliche Einwilligung.

Speicherdauer: Wie lange werden die Daten aufbewahrt? Nach welchen Kriterien? Bei Patientendaten greift zusätzlich die kantonale Aufbewahrungspflicht (meist 10 Jahre).

Empfänger der Daten: Wer bekommt die Daten? Hosting-Anbieter, Buchungssystem, Newsletter-Tool, Analytics-Anbieter? Auch Übermittlungen ins Ausland (insbesondere USA) müssen transparent gemacht werden – das revDSG hat hier strikte Vorgaben in Art. 16 ff.

Betroffenenrechte: Auskunft, Berichtigung, Löschung, Datenherausgabe, Beschwerde beim EDÖB.

Cookie- und Tracking-Hinweise: Welche Cookies werden gesetzt? Welche sind technisch notwendig, welche optional?

Die häufigsten Fehler

Aus der Praxisarbeit sehe ich immer wieder dieselben Schwachstellen:

Veraltete Datenschutzerklärung. Viele Schweizer Praxen haben noch Erklärungen aus der DSG-Zeit (vor September 2023). Die Anforderungen haben sich aber verschärft – etwa bei der Informationspflicht und bei Datenübermittlungen ins Ausland.

DSGVO-Vorlage ohne Schweizer Anpassung. Eine schlechte Lösung ist, einfach eine DSGVO-Erklärung zu kopieren. Das revDSG hat zwar viele Parallelen, aber auch wichtige Unterschiede. Eine reine DSGVO-Erklärung ist auf einer Schweizer Website weder ausreichend noch professionell.

Tools ohne Erwähnung. Google Maps, Google Fonts, YouTube-Videos, ein Newsletter-Tool, OneDoc, ein Buchungssystem – diese Tools werden oft eingebunden, ohne dass die Datenschutzerklärung sie nennt. Das ist ein Dauerklassiker bei Aufsichtsverfahren.

Keine Differenzierung nach Datenkategorien. Patientendaten sind besonders schützenswerte Personendaten nach Art. 5 lit. c revDSG und brauchen eine eigene rechtliche Einordnung – meist die ausdrückliche Einwilligung.

Fehlerhafte Auslandsübermittlungen. Wer Google Analytics oder ähnliche US-Tools nutzt, muss die Datenübermittlung in die USA korrekt abbilden. Die USA gelten nach revDSG nicht automatisch als Land mit angemessenem Datenschutzniveau – seit dem Schweizer Angemessenheitsbeschluss zum Swiss-US Data Privacy Framework (2024) gibt es aber Erleichterungen für zertifizierte US-Unternehmen.

Konkreter Tipp: Lass deine Datenschutzerklärung mindestens einmal jährlich aktualisieren – idealerweise von einer Anwältin oder einem Anwalt für IT-Recht oder einem Datenschutzberater mit Schweiz-Expertise. Wie diese Pflichtelemente in eine professionelle Praxiswebsite integriert werden, ist auch Teil der zwölf Elemente einer guten Praxiswebsite.

Cookie-Banner: Was wirklich erlaubt ist

Das Cookie-Banner ist auch in der Schweiz ein Thema – allerdings mit einigen Unterschieden zur EU. Während in der EU das TTDSG strikte Cookie-Regeln vorgibt, ist die Schweizer Rechtslage etwas weniger ausdifferenziert. Trotzdem solltest du dich an den europäischen Standard halten, weil:

• Viele Schweizer Praxen auch EU-Patienten haben (Grenzregionen, Touristen)
• Das revDSG generelle Transparenz-Pflichten vorgibt
• Patienten den europäischen Standard kennen und erwarten

Die Pflicht zur echten Wahl

Jeder Cookie-Banner sollte eine echte Wahl ermöglichen:

• Annehmen und Ablehnen müssen gleichwertig prominent sein
• Kein „Nudging" durch Farbgebung oder Grösse
• Keine voreingestellten Häkchen für optionale Cookies
• Zustimmung muss aktiv erfolgen
• Widerruf der Einwilligung muss genauso einfach sein wie die Erteilung

Welche Cookies brauchen eine Einwilligung?

Die Faustregel: Sobald ein Cookie für Statistik, Marketing oder Tracking gesetzt wird, brauchst du die Einwilligung. Technisch notwendige Cookies sind ohne Einwilligung erlaubt.

Empfohlene Cookie-Tools für Praxiswebsites

Für die meisten Praxen reicht eine schlanke, datenschutzfreundliche Lösung. Bewährt haben sich:

• Borlabs Cookie (für WordPress)
• Cookiebot (Plattform-übergreifend, hat Schweizer Server-Option)
• Usercentrics (Enterprise-Lösung)
• Native Squarespace-Lösung (für Squarespace-Sites mittlerweile rechtskonform) Bei Squarespace-Sites ist die hauseigene Cookie-Lösung inzwischen ausreichend – sofern du sie korrekt konfigurierst und keine zusätzlichen Tracking-Tools einbaust.

Kontaktformulare und Patientendaten

Kontaktformulare sind ein Dauerklassiker im Praxismarketing – und gleichzeitig ein Datenschutz-Brennpunkt. Patientinnen und Patienten schicken oft Gesundheitsinformationen über Formulare, ohne sich der Konsequenzen bewusst zu sein.

Wie du Kontaktformulare richtig aufsetzt

Minimales Datenfeld-Prinzip. Frage nur nach den Daten, die du wirklich brauchst. Name, Telefon oder E-Mail, kurze Nachricht – mehr ist meist nicht nötig.

Klarer Hinweis zu Gesundheitsdaten. Direkt am Formular sollte stehen:

„Bitte senden Sie keine sensiblen Gesundheitsdaten über dieses Formular. Für vertrauliche Anliegen rufen Sie uns bitte an: [Telefonnummer]."

Dieser Hinweis schützt sowohl deine Patienten als auch dich.

Einwilligungs-Checkbox. Vor dem Absenden muss der Nutzer aktiv zustimmen, dass seine Daten bearbeitet werden dürfen. Ein Beispieltext:

„Ich willige ein, dass meine Angaben zur Beantwortung meiner Anfrage gespeichert und bearbeitet werden. Hinweis zum Datenschutz: [Link zur Datenschutzerklärung]."

Diese Checkbox darf nicht vorausgewählt sein.

Verschlüsselte Übertragung. Die Website muss SSL-verschlüsselt sein (HTTPS).

Sichere Speicherung. Eingehende Anfragen müssen sicher gespeichert oder unmittelbar gelöscht werden.

Was du bei Gesundheitsdaten beachten musst

Wenn ein Patient trotz Hinweis sensible Daten schickt, wirst du zum Bearbeiter dieser besonders schützenswerten Personendaten nach Art. 5 lit. c revDSG. Dann gilt:

• Die Daten dürfen nur für den Zweck der Anfragebeantwortung genutzt werden
• Speicherung nur so lange wie nötig
• Keine Weitergabe an Dritte ohne ausdrückliche Einwilligung
• Bei Konvertierung in eine Patientenakte greift zusätzlich das Berufsgeheimnis

Online-Terminbuchung: OneDoc, Doctena, Medbase

Online-Terminbuchung ist eines der beliebtesten Tools auf Praxiswebsites in der Schweiz – und einer der häufigsten Datenschutz-Stolpersteine.

Was rechtlich zu beachten ist

Auftragsbearbeitungsvertrag (ABV). Du brauchst mit jedem Anbieter einen Vertrag zur Auftragsbearbeitung gemäss Art. 9 revDSG. Die grossen Schweizer Anbieter stellen diese Verträge bereit – du musst sie aber aktiv abschliessen.

Datenschutzerklärung anpassen. In deiner Datenschutzerklärung muss der Buchungsanbieter explizit genannt sein, mit Beschreibung der Datenbearbeitung.

Einbindung auf der Website. Vermeide iframe-Einbindungen, die schon vor der Cookie-Einwilligung Daten an den Anbieter senden. Eine bessere Lösung ist die Verlinkung mit Hinweis: „Sie werden zu unserem Buchungspartner weitergeleitet, der eigene Datenschutzbestimmungen anwendet."

Server-Standort prüfen. OneDoc speichert Daten auf Schweizer Servern – das ist ein grosser Vorteil. Doctena hat Server in der EU. Andere Anbieter speichern teilweise in den USA, was zusätzliche Anforderungen mit sich bringt.

Empfehlung für die Schweizer Praxis

Für die meisten Schweizer Praxen ist OneDoc die rechtssicherste Wahl, weil der Anbieter:

• Schweizer Unternehmen ist
• Daten auf Schweizer Servern speichert
• ABV automatisch bereitstellt
• Eine eigene Datenschutzerklärung mitbringt
• mit dem Schweizer Gesundheitssystem (Krankenkassen, Tarmed) vertraut ist Wenn du dich für ein anderes System entscheidest, prüfe diese Punkte vor der Einrichtung – nicht erst wenn der EDÖB anfragt.

Newsletter und Patientenmarketing

Newsletter sind ein wertvolles Werkzeug für Patienten-Bindung – aber datenschutzrechtlich heikel. Die wichtigsten Punkte:

Double-Opt-In ist Standard. Nach Anmeldung sollte der Nutzer eine Bestätigungs-E-Mail erhalten und den enthaltenen Link aktivieren. Das ist nach revDSG zwar nicht zwingend, aber Best Practice.

Werbe-E-Mails brauchen aktive Einwilligung. Art. 3 lit. o UWG schreibt das vor. Du darfst Patienten nicht einfach zu deinem Newsletter anmelden, weil sie schon einmal in deiner Praxis waren.

Abmeldung muss einfach sein. Jede Newsletter-Mail muss einen funktionierenden Abmelde-Link enthalten.

Datenschutzfreundliche Tools. CleverReach, Brevo (früher Sendinblue) und Rapidmail haben Server in der EU. Mailchimp speichert in den USA und bringt zusätzliche Datenschutzfragen mit sich. Schweizer Anbieter wie MailerLite Schweiz oder Lösungen mit Schweizer Hosting sind die rechtssicherste Wahl.

Analytics und Tracking auf der Praxiswebsite

Das Tracking-Thema wird oft unterschätzt – und ist gleichzeitig eines der häufigsten Aufsichtsobjekte. Drei Szenarien:

Szenario 1: Du nutzt Google Analytics

Google Analytics ist nach revDSG grundsätzlich erlaubt – aber nur mit aktiver Einwilligung des Nutzers (Cookie-Banner mit echter Wahl) und korrekter Konfiguration:

• IP-Anonymisierung aktiviert
• Datenaustausch mit anderen Google-Diensten deaktiviert
• ABV mit Google abgeschlossen
• Datenschutzerklärung enthält Google Analytics ausdrücklich
• Hinweis auf US-Datenübermittlung

Szenario 2: Du nutzt eine datenschutzfreundlichere Alternative

Matomo (selbst gehostet, idealerweise auf Schweizer Server) ist die revDSG-freundlichste Lösung. Auch Plausible und Fathom Analytics sind datenschutzfreundliche Alternativen. Wemfsearch wäre noch eine Schweizer Option – aber weniger verbreitet.

Szenario 3: Du nutzt gar kein Tracking

Auch das ist eine valide Option – besonders für kleine Praxen mit überschaubarem Online-Marketing. Ohne Tracking gibt es keine Daten, die geschützt werden müssten.

Embeds: Google Maps, YouTube, Schriften

Eingebettete Inhalte sind die unsichtbarsten Datenschutz-Risiken auf Praxiswebsites. Sobald die Seite lädt, werden Daten an externe Server geschickt – oft ohne dass der Nutzer es merkt.

Google Maps. Standard-Einbindung übermittelt Daten an Google in den USA. Lösung: 2-Klick-Lösung (Karte erscheint erst nach Bestätigung) oder Schweizer Alternativen wie Swisstopo.

YouTube-Videos. Die normale Einbindung lädt sofort Daten an YouTube. Lösung: „Erweiterter Datenschutzmodus" (youtube-nocookie.com) und 2-Klick-Lösung. Oder Schweizer Hosting-Lösungen wie eigene Video-Streamings.

Google Fonts. Werden viele Schriften standardmäßig von Google-Servern in den USA geladen. Lösung: Schriften lokal hosten – ist auch schneller.

Social-Media-Buttons. Echte Social-Plugins von Facebook, Twitter etc. übermitteln sofort Daten in die USA. Lösung: Statische Icons mit Link statt aktiver Plugins.

Was du heute konkret tun solltest

Wenn du aus diesem Artikel nur drei Dinge mitnehmen willst, dann diese:

Erstens: Lass deine Datenschutzerklärung von einem Profi prüfen – speziell mit Blick auf das revDSG. Eine veraltete oder reine DSGVO-Erklärung ist das häufigste Risiko.

Zweitens: Optimiere deinen Cookie-Banner. „Akzeptieren" und „Ablehnen" sollten gleichwertig sein – das ist auch in der Schweiz Best Practice.

Drittens: Prüfe alle externen Einbindungen. Google Maps, YouTube, Schriften, Buchungssysteme, Analytics – jedes externe Tool ist ein potenzielles Datenschutz-Thema, besonders wenn Server ausserhalb der Schweiz stehen.

Weiterlesen: Wie sich Datenschutz, Praxiswebsite, Google-Profil und Bewertungen zu einem konsistenten Vertrauensbild verbinden, zeigt der ausführliche Übersichtsartikel Online Vertrauen als Arzt oder Therapeut in der Schweiz aufbauen.

Datenschutz ist nicht das Lieblingsthema vieler Praxen. Aber er ist eines der wenigen Themen, bei denen sich gute Arbeit doppelt auszahlt: rechtlich abgesichert und gleichzeitig vertrauensbildend. Wenn du wissen willst, wo deine Praxiswebsite aktuell steht, prüfen wir das im Rahmen eines Praxiswebsite-Checks konkret durch. Oder vereinbare gern ein kostenloses Erstgespräch mit Holger Ort.