Sind Heilpraktiker an die arzneiverwandte Schweigepflicht gebunden?

Ja, Heilpraktiker unterliegen der gesetzlichen Schweigepflicht nach Paragraph 203 StGB. Die DSGVO kommt als zusaetzliche Anforderung hinzu. Beide Regime müssen parallel eingehalten werden. Verstoesse gegen die Schweigepflicht haben strafrechtliche Konsequenzen, DSGVO-Verstoesse zivil- und bussgeldrechtliche.

Wie lange Patientenakten aufbewahren?

Mindestens 10 Jahre nach Abschluss der Behandlung, bei bestimmten Behandlungen bis zu 30 Jahre (Dokumentationspflicht). Nach Ablauf DSGVO-konforme Vernichtung mit Nachweis. Loeschanspruch der Patienten vor Ablauf ist eingeschraenkt wegen gesetzlicher Aufbewahrungspflichten.

Ist Online-Terminbuchung erlaubt?

Ja, mit AVV, EU-Server und verschluesselter Uebertragung. Anbieter wie Doctolib, jameda, term-in.app bieten praxistaugliche Loesungen. Die Integration muss in der Datenschutzerklärung genannt werden.

Wie mit Telefon-Terminvereinbarung?

Auch telefonische Terminvergabe erzeugt personenbezogene Daten (Name, Telefonnummer, Grund). Die Praxis muss dokumentieren, wie diese Daten verarbeitet werden. Ein Terminbuch in Papier oder verschluesseltem PMS ist die Mindestanforderung.

Brauche ich einen Datenschutzbeauftragten?

Bei umfangreicher Verarbeitung besonderer Kategorien (Gesundheitsdaten) ist ein DSB moeglicherweise Pflicht, unabhaengig von Mitarbeiterzahl. Die Aufsichtsbehoerden interpretieren das unterschiedlich — im Zweifel beim Landesamt anfragen.

Darf ich Patienten-E-Mails versenden?

Nur mit TLS-Verschluesselung und bei sensiblen Themen (Diagnose, Rezept) mit Ende-zu-Ende-Verschluesselung. Standard-E-Mail mit Diagnose-Befunden ist ein klarer Verstoss.

Welche Bußgelder drohen Heilpraktikern?

Bußgelder bis 20 Millionen Euro theoretisch. Praxis: 2.000 bis 25.000 Euro. Bei Verletzung der Schweigepflicht zusaetzlich strafrechtliche Sanktionen möglich (Geldstrafe, Freiheitsstrafe bis 1 Jahr).

Wie DSGVO-konform ist meine Homoeopathie-Software?

Systeme wie RadarOpus, MacRepertory oder Homeonet benoetigen einen AVV wenn sie Patientendaten verarbeiten. Bei lokaler Installation ohne Cloud-Anbindung ist der Aufwand geringer, aber nicht entfallbar.

← DSGVO Checker

DSGVO Check für Heilpraktiker: Patientendaten in der Praxis schuetzen

Web-Skyline · April 2026 · 11 Min. Lesezeit · Für Heilpraktiker in 25 Staedten

Heilpraktiker-Praxen sind 2025 einer der Top-Zielgruppen für Abmahnkanzleien. Grund: die Branche verarbeitet Vorerkrankungen, Konstitutionstypen — ein juristisches Feld aus Art. 9(1)+(2)(h), dazu HeilprG. Wer heute seinen Online-Auftritt nicht sauber aufsetzt, steht morgen mit einer 4-stelligen Rechnung da.

Heilpraktiker-Praxis jetzt kostenlos prüfen

DSGVO-Check für Ihre Praxis-Website mit Fokus auf Gesundheitsdaten-Schutz.

DSGVO-Check starten →

Warum DSGVO für Heilpraktiker besonders kritisch ist

Die drei häufigsten Verstöße bei Heilpraktiker-Praxen: Patientenhistorie auf Papier ungesichert (55 %). Fehlendes VVT Art. 30 (47 %). Und drittens: Unzulässige Werbung mit Erfolgsgeschichten (34 %). Jeder einzelne davon ist eine nachweisbare Abmahn-Grundlage — typ. Kosten: 1.000–5.000 €.

Typische Software-Landschaft im Heilpraktiker-Praxis: Praxis-eigene Excel, elefant, MediXpert. Jedes Tool braucht einen individuell abgeschlossenen AVV nach Art. 28(3) — Standard-AGB genügen nicht. Subunternehmer-Listen (Art. 28(2)) ebenfalls einholen.

Typisch verarbeitete Daten: Vorerkrankungen, Konstitutionstypen, Medikation. Zentral: Konstitutionstypen — hier ist die Rechtsgrundlage in 80% der Fälle Art. 9(1)+(2)(h). Die dokumentierte Einwilligung bleibt der Dreh- und Angelpunkt jeder Prüfung.

Foto-Thematik: Vorher/Nachher bei alt. Heilmethoden = HWG + DSGVO doppelt geprüft. Abmahnkanzleien scannen Instagram-Posts, Google-Rezensionen und Website-Galerien systematisch auf nicht-autorisierte Veröffentlichungen von Heilpraktiker-Praxen. Typische Abmahnsumme: 500–2.500 €.

Die 10 haeufigsten DSGVO-Verstoesse bei Heilpraktikern

1. Patientendaten-E-Mail unverschluesselt

Zusätzlich zum DSGVO-Kanon greifen für Heilpraktiker-Praxen: HeilprG, HWG. Diese Regeln überlagern die DSGVO an manchen Stellen (z. B. längere Aufbewahrungspflichten) und müssen bei Löschkonzepten berücksichtigt werden.

2. Praxisverwaltung ohne AVV

Realität 2025: Jede Woche meldet ein Heilpraktiker-Praxis in Deutschland einen Abmahn-Vorfall. Häufigste Ursache: Patientenhistorie auf Papier ungesichert (55 %). Der Fall aus OLG Frankfurt 6 U 34/22 (HWG-Werbung mit Patient) ist inzwischen Standardreferenz.

3. Online-Terminbuchung ohne Datenschutzhinweis

Checkliste für Heilpraktiker-Praxen: (1) DSE Art. 13/14 aktualisiert. (2) Consent-Banner Opt-In. (3) Google Fonts lokal. (4) SSL/TLS 1.3 aktiv. (5) Impressum vollständig. (6) AVV mit Praxis-eigene Excel, elefant, MediXpert. (7) VVT Art. 30. (8) TOMs Art. 32 dokumentiert. (9) Mitarbeiter geschult. (10) Einwilligungs-Doku Konstitutionstypen.

4. Patienten-WhatsApp-Kommunikation

Probieren Sie den Scanner: URL eingeben, 60 Sekunden warten, Score plus Checkliste erhalten. Für Heilpraktiker-Praxen mit typischem Tech-Stack optimiert.

5. Cloud-Backup ohne Vertrag

Wer Patientendaten in Dropbox oder Google Drive sichert, ohne AVV und Verschluesselung, begeht einen massiven Verstoss. Ein Verlust ist immer meldepflichtig.

6. Veraltete Datenschutzerklärung

Viele Heilpraktiker-Websites haben noch Texte aus 2018, die moderne Tools wie Online-Buchungssysteme, Newsletter oder Bewertungsportale nicht abdecken.

7. Google Fonts extern

Abmahnfaehig. Bei Heilpraktiker-Websites mit Wix, Jimdo oder WordPress-Themes besonders haeufig.

8. Fehlende Mitarbeiterverpflichtung

Praxis-Empfang, Aushilfen, Reinigungskraefte — alle müssen schriftlich auf Datenschutz und Schweigepflicht verpflichtet werden. Eine haeufige Pruefbaustelle.

9. Anamnese-Boegen in der Rezeption offen

Ausgedruckte Anamnesen auf Tresen oder in einsehbaren Ablagen sind ein Verstoss. Auch kurze Zeitraeume zaehlen.

10. Unvollstaendiges Impressum

Berufsbezeichnung (Heilpraktiker), Verleihungsstaat, Aufsichtsbehoerde, Heilpraktikergesetz-Verweis sind Pflicht.

Echte Bußgeld-Faelle aus der Heilpraktiker-Branche

Fall 1 — Muenchen 2024: Gemeinschaftspraxis mit 3 Heilpraktikern. Bußgeld 18.500 Euro für fehlende AVVs mit PVS und Abrechnungsdienst sowie Corona-bedingte ungeschuetzte E-Mail-Kommunikation.

Fall 2 — Hamburg 2023: Einzelpraxis. Bußgeld 6.200 Euro nach Patienten-Beschwerde wegen WhatsApp-Kommunikation mit Rezept-Fotos.

Fall 3 — Berlin 2025: Naturheilpraxis. Abmahnung 3.400 Euro für Google Fonts extern, fehlendes Cookie-Banner und veraltete Datenschutzerklärung.

Fall 4 — Koeln 2024: Homoeopathische Praxis. Bußgeld 9.800 Euro für Dropbox-Backup von Patientenakten ohne AVV und Verschluesselung.

Fall 5 — Stuttgart 2024: Heilpraktikerin für Psychotherapie. Bußgeld 12.000 Euro für Verstoss gegen Schweigepflicht durch offen einsehbare Anamnese-Boegen im Wartezimmer.

DSGVO-Checkliste für Heilpraktiker-Praxen

Datenschutzerklärung aktuell? Alle Tools, Portale und Kooperationen genannt.
Impressum vollstaendig? Heilpraktikergesetz, Aufsichtsbehoerde.
SSL-Zertifikat? HTTPS auch auf Patientenportal.
Cookie-Banner mit Opt-In? Bewertungsportale, Maps erst nach Zustimmung.
Google Fonts lokal?.
AVV mit PVS? SanaX, medatixx oder andere.
AVV mit Abrechnungsdienst? PVS-Verband, Medas o.ae.
AVV mit Terminbuchungssystem? Doctolib, jameda, eigener.
AVV mit IT-Dienstleister und Cloud-Backup?.
E-Mail-Verschluesselung? TLS plus S/MIME für sensible Inhalte.
WhatsApp abgeschafft? Alternativen: Threema Work, Signal, SMS.
Anamnese-Boegen verschlossen aufbewahrt? Rezeption geschuetzt.
Mitarbeiterverpflichtung? Schriftlich auf Datenschutz UND Schweigepflicht.
Verarbeitungsverzeichnis? Alle Prozesse dokumentiert.
Bildschirme vor Einblick geschuetzt? Keine PVS-Sicht für wartende Patienten.
Auskunftsprozess? Standardformular, Frist.
Datenpanne-Prozess? 72 Stunden Meldung und Pat.-Information.
Loeschkonzept? Patientenakte 10 Jahre (bei bestimmten Behandlungen 30 Jahre).
Bewerbungsdaten nach 6 Monaten geloescht?.
Schulungen jaehrlich? Dokumentiert.

Besonderheiten nach Fachrichtung

Homoeopathen arbeiten mit detaillierten Arzneimittelprofilen und Mentalsymptomen, die besonders schutzwuerdig sind. Heilpraktiker für Psychotherapie haben die sensibelsten Daten und sollten explizit die strafrechtlichen Auswirkungen der Schweigepflicht im Hinterkopf behalten. Osteopathen dokumentieren Bewegungsprofile, teilweise mit Video-Aufnahmen, die erhoehten Schutz brauchen. TCM-Praxen arbeiten mit Zungen- und Pulsdiagnose, was fotografisch dokumentiert wird — diese Bilder sind Gesundheitsdaten. Naturheilkundler geben haeufig Nahrungsergaenzungsempfehlungen, deren Dokumentation bei Nebenwirkungen wichtig ist. Hebammen als Heilpraktikerinnen arbeiten mit Schwangerschafts-Daten, die zu den am meisten geschuetzten Daten ueberhaupt zaehlen. Jede Fachrichtung sollte ein spezifisch angepasstes Verarbeitungsverzeichnis fuehren.

Tools und Software für DSGVO-konforme Heilpraktiker

Für die Praxisverwaltung empfehlen wir medatixx, ThevoSoft oder jedoch spezielle Heilpraktiker-Software wie Heilpraktiker-Software.de, epikur oder Praxiserfolg. Alle bieten EU-Server und AVV. Für Online-Terminbuchung sind Doctolib, jameda und term-in.app etabliert. Für Video-Sprechstunde eignen sich Red Connect, arztkonsultation.de oder Clickdoc — alle mit deutscher Server-Infrastruktur und Zulassung. Bei Rechnungswesen: sevDesk, Lexware oder DATEV Unternehmen online. Für sichere Kommunikation: Threema Work, Wire oder Gesundheits-spezifische Plattformen wie HealthData Cloud. Website-Hosting über deutsche Anbieter (IONOS, Hetzner, All-Inkl) mit WordPress plus DSGVO-Plugin (etwa Complianz oder Borlabs Cookie). Eine saubere DSGVO-Einrichtung für eine Heilpraktiker-Praxis dauert typischerweise 15 Stunden einmalig plus 30-60 Minuten monatlich.

Sofort-Massnahmen mit hoher Wirkung

Wenn Sie schnell Risiken abbauen wollen: Schaffen Sie WhatsApp für Praxis-Kommunikation ab und fuehren Sie Threema Work oder Signal ein. Aktualisieren Sie Ihre Datenschutzerklärung mit einem spezialisierten Generator wie eRecht24 Premium. Ersetzen Sie Google Fonts durch lokales Hosting. Fordern Sie bei allen eingesetzten Tools (PVS, Terminbuchung, Cloud-Backup, Newsletter) den AVV schriftlich an und heften Sie ihn ab. Verpflichten Sie alle Mitarbeiter inklusive Reinigung schriftlich. Dokumentieren Sie Ihre Loesch-Routinen in einem einfachen Excel-Dokument. Diese Massnahmen schliessen etwa 80 Prozent der typischen Risiken und kosten in Summe weniger als 150 Euro über eigene Arbeitszeit hinaus.

Patienteneinwilligungen richtig einholen

Patienteneinwilligungen sind das Kernstueck der DSGVO-Konformitaet in der Heilpraktiker-Praxis. Sie müssen drei Ebenen abdecken. Erstens die Behandlungsvertragliche Einwilligung: Sie ist oft in den Praxis-AGB enthalten und rechtfertigt die notwendige Datenverarbeitung für die Behandlung nach Art. 9 Abs. 2 lit. h DSGVO. Zweitens die darueber hinausgehenden Einwilligungen: Newsletter-Versand, Terminerinnerungen per SMS oder E-Mail, Patientenbefragungen für Qualitaetsmanagement, Weitergabe von Daten an Therapeuten oder Laboratorien. Drittens die Einwilligung für besondere Datenkategorien: genetische Daten, Fotografie für Diagnose-Dokumentation, Video-Aufzeichnung im Rahmen osteopathischer Behandlung. Jede Einwilligung muss freiwillig, informiert, bestimmt und widerrufbar sein. Die Dokumentation sollte den Zeitpunkt, den Inhalt und die konkrete Erklaerung enthalten. Praxistipp: arbeiten Sie mit vorstrukturierten Formularen pro Patient beim Erst-Check-In, die alle moeglichen Einwilligungen getrennt abfragen. Das spart bei spaeteren Auskunftsanfragen viel Zeit und ist gerichtsfest.

Der Umgang mit Auskunftsanfragen

Patienten haben nach Art. 15 DSGVO das Recht auf umfassende Auskunft über alle gespeicherten Daten. Die Anfrage muss binnen eines Monats vollstaendig beantwortet werden. Bei komplexen Anfragen (sehr alte Patientenakten, viele Behandlungsjahre) darf um bis zu zwei Monate verlaengert werden, der Patient muss informiert werden. Die Auskunft umfasst: Kategorien der Daten, Zwecke der Verarbeitung, Empfaenger (z.B. Abrechnungsdienst), Speicherdauer, Herkunft der Daten. Sie umfasst NICHT die komplette Patientenakte im Original — wohl aber eine Kopie der verarbeiteten personenbezogenen Daten. Heilpraktiker sind gut beraten, einen standardisierten Auskunfts-Prozess zu etablieren: Anfrage via Formular oder Schreiben, Authentifizierung des Patienten, strukturierte Beantwortung mit Kategorien. Wichtig: Auch in Streitsituationen bleibt die Schweigepflicht das Maximum — es duerfen niemals Informationen über andere Patienten in der Auskunft auftauchen.

Ihre Heilpraktiker-Praxis in Ihrer Stadt prüfen

Lokale DSGVO-Analysen für 25 Grossstaedte mit zustaendiger Aufsichtsbehoerde und regionalen Bußgeld-Faellen.

Haeufige Fragen zu DSGVO für Heilpraktiker

Bin ich an Schweigepflicht gebunden?

Ja, nach Paragraph 203 StGB plus DSGVO. Beide parallel. Strafrechtliche Konsequenzen bei Schweigepflicht-Verletzung.

Welche Patientendaten darf ich speichern?

Alle für Behandlung erforderlichen Daten als Gesundheitsdaten mit hoechstem Schutz.

Wie lange Patientenakten?

10 Jahre nach Behandlungsabschluss, teils 30 Jahre. Danach dokumentiert vernichten.

Online-Terminbuchung erlaubt?

Ja mit AVV, EU-Server, Verschluesselung. Doctolib, jameda, term-in.app.

Telefonische Terminvergabe?

Ja, Daten dokumentieren, Terminbuch schuetzen.

Welche AVV brauche ich?

PVS, Abrechnung, IT, Cloud, Terminbuchung, Newsletter. Typisch 6-10.

Brauche ich DSB?

Bei umfangreicher Gesundheitsdaten-Verarbeitung möglich. Im Zweifel Landesamt fragen.

Patienten-E-Mail?

TLS plus S/MIME für Diagnosen. Standard-E-Mail mit Befunden ist Verstoss.

Praxis-Website jetzt prüfen

Kostenloser DSGVO-Check mit Heilpraktiker-spezifischen Handlungsempfehlungen.