Zahnarztpraxen sind 2025 einer der Top-Zielgruppen für Abmahnkanzleien. Grund: die Branche verarbeitet Kostenvoranschläge, Befunde — ein juristisches Feld aus Art. 9(2)(h), dazu Muster-Berufsordnung ZÄK §7. Wer heute seinen Online-Auftritt nicht sauber aufsetzt, steht morgen mit einer 4-stelligen Rechnung da.
DSGVO-Check in 60 Sekunden mit zahnmedizinischem Branchenfokus.
DSGVO-Check starten →Abmahn-Tracker 2025: Platz 1 bei Zahnarztpraxen ist Patientenaufnahmen ohne signierte Bild-Einwilligung (52 %). Platz 2: Online-Terminbuchung ohne abgeschlossenen AVV (47 %). Platz 3: Fehlendes Verzeichnis von Verarbeitungstätigkeiten (39 %). Abmahnkanzleien (SM LAW, IDO, ABAG) scannen inzwischen automatisiert hunderte Zahnarztpraxen-Domains pro Woche.
Branchen-Software im Überblick: CHARLY Dampsoft (AVV Standard) (AVV-Status prüfen), Z1 Pro (AVV geprüft) (oft Basic ohne AVV, Enterprise mit), Doctolib (AVV, Server EU) (EU-Server meist vorhanden). Für Zahnarztpraxen ist der AVV-Nachweis aller eingesetzten Tools nicht optional — Art. 9(2)(h) verlangt ihn schriftlich.
Typisch verarbeitete Daten: Kostenvoranschläge, Befunde, Medikation. Zentral: Medikation — hier ist die Rechtsgrundlage in 80% der Fälle Art. 9(2)(h). Die dokumentierte Einwilligung bleibt der Dreh- und Angelpunkt jeder Prüfung.
Foto-Risiken: Intraorale Aufnahmen sind Gesundheitsdaten — Nutzung auf Website immer nur mit Art.-9-Einwilligung. Das gilt auch für Archivbilder, die 2015–2018 ohne heutige Einwilligungsstandards entstanden. Empfehlung: Alt-Galerien auditieren und entweder Einwilligung nachholen oder Bilder entfernen.
Zusätzlich zum DSGVO-Kanon greifen für Zahnarztpraxen: Muster-Berufsordnung ZÄK §7, BDSG §22, §27. Diese Regeln überlagern die DSGVO an manchen Stellen (z. B. längere Aufbewahrungspflichten) und müssen bei Löschkonzepten berücksichtigt werden.
Realität 2025: Jede Woche meldet ein Zahnarztpraxis in Deutschland einen Abmahn-Vorfall. Häufigste Ursache: Patientenaufnahmen ohne signierte Bild-Einwilligung (52 %). Der Fall aus LG Hamburg 324 O 469/21 (Online-Terminbuchung ohne AVV) ist inzwischen Standardreferenz.
Checkliste für Zahnarztpraxen: (1) DSE Art. 13/14 aktualisiert. (2) Consent-Banner Opt-In. (3) Google Fonts lokal. (4) SSL/TLS 1.3 aktiv. (5) Impressum vollständig. (6) AVV mit CHARLY Dampsoft (AVV Standard), Z1 Pro (AVV geprüft), Doctolib (AVV, Server EU). (7) VVT Art. 30. (8) TOMs Art. 32 dokumentiert. (9) Mitarbeiter geschult. (10) Einwilligungs-Doku Medikation.
Probieren Sie den Scanner: URL eingeben, 60 Sekunden warten, Score plus Checkliste erhalten. Für Zahnarztpraxen mit typischem Tech-Stack optimiert.
Viele Praxis-Websites haben noch 2018-Texte ohne TI-Anbindung, ePA, Online-Buchung oder Videosprechstunde.
Abmahnfaehig. Praxis-Websites mit Baukasten-Systemen besonders betroffen.
Seiten mit Bewertungs-Widgets, Google Maps und Analytics brauchen echte Opt-In-Funktion.
Bei Gesundheitsdaten grundsaetzlich unzulaessig wegen Meta-USA-Uebertragung.
Personal, ZFAs, Praktikanten müssen regelmaessig auf Datenschutz und Schweigepflicht geschult werden — schriftlich dokumentiert.
Bildschirme, Akten oder Karteikarten im Sichtfeld anderer Patienten oder Wartender sind ein haeufiger Verstoss.
Roentgenbilder in der Zahnmedizin unterliegen einer doppelten Regelung: Die DSGVO sieht sie als besondere Gesundheitsdaten, die Roentgenverordnung (RoeV) legt zusaetzliche Aufbewahrungs- und Schutzanforderungen fest. Konkret bedeutet das: Roentgenbilder müssen mindestens 10 Jahre aufbewahrt werden, bei Minderjaehrigen bis zum 28. Lebensjahr. Die Speicherung muss zugriffsgesichert sein (passwort-geschuetzte PACS-Systeme), Backups ebenfalls verschluesselt. Der Versand an Kollegen (MKG, Kieferorthopaede, Implantologe) darf nur verschluesselt erfolgen — Upload-Portale des PVS-Anbieters sind hier die Standardloesung. Unverschluesselte E-Mail-Anhaenge sind ein typischer Pruef-Punkt. Bei Patientenwechsel muss der Vorbehandler Kopien an den neuen Zahnarzt bereitstellen, was wiederum sichere Uebertragung erfordert. Nach Ablauf der Aufbewahrungsfrist muss die Vernichtung dokumentiert werden — für digitale Bilder heisst das sicheres Loeschen mit Bestätigung, für analoge Bilder die Vernichtung durch einen zertifizierten Dienstleister.
Allgemeine Zahnarztpraxen haben die breiteste Datenverarbeitung mit Kassen- und Privatpatienten. Kieferorthopaedie arbeitet mit langjaehrigen Behandlungen (oft 2-4 Jahre) und umfangreicher Foto-Dokumentation. Implantologie hat zusaetzliche 3D-Scans, Plannungssoftware (z.B. SimPlant, CoDiagnostix) und komplexe Laborvertraege. Parodontologie mit langwierigen Behandlungen und engmaschiger Doku. Kinderzahnheilkunde mit Doppeleinwilligung der Erziehungsberechtigten und besonderer Sensibilitaet bei Angstpatienten. Oralchirurgie und MKG mit OP-Dokumentationen und Kooperationen zu Krankenhaeusern. Aesthetische Zahnmedizin mit Vorher-Nachher-Bildern und Marketing-Fokus, besonders anfaellig für Abmahnungen. Praxen mit Narkose-Angeboten benoetigen zusaetzliche Kooperationsvertraege mit Anaesthesisten. Mobile Zahnaerzte in Heimen haben mobile Geraete mit Patientendaten und entsprechend hohe Verschluesselungsanforderungen.
Für die Praxisverwaltung sind CHARLY by Solutio, Dampsoft (DS-Win-Plus), SOLUTIO (Charly), Z1 by Computer-Forum und evident etablierte Systeme mit deutschen Servern und AVV. Roentgen-Systeme: Orangedental, Byzz Nxt, Sirona Sidexis oder VistaSoft. TI-Konnektoren: Secunet, RISE, KoCoBox. Online-Terminbuchung: Doctolib, Dr. Flex, jameda, term-in.app. Video-Sprechstunde: Red Connect, Clickdoc, arztkonsultation.de. Kommunikation mit Laboren über sichere Upload-Portale, nicht per E-Mail. Für die Patienten-Kommunikation abseits WhatsApp: Threema Work, Signal, SMS-Dienste oder eigene Praxis-App. Website-Hosting über deutsche Anbieter. Eine typische Zahnarztpraxis benoetigt etwa 25 Stunden einmaligen DSGVO-Einrichtungsaufwand plus 2-4 Stunden monatliche Pflege. Die Investition liegt bei 500-1.500 Euro einmalig plus laufende DSB-Kosten.
Wer schnell die kritischsten Risiken eliminieren will: Schliessen Sie AVVs mit allen Laboratorien, dem PVS-Anbieter und dem Roentgen-System schriftlich ab. Stellen Sie den Roentgen-Versand auf verschluesselte Uebertragung um (beispielsweise über die Labor-eigenen Upload-Portale oder Dentaltec-EzCollaborate). Aktualisieren Sie Ihre Datenschutzerklärung mit einem zahnmedizinischen Generator oder der Vorlage der BZAEK. Ersetzen Sie Google Fonts durch lokales Hosting. Installieren Sie ein Cookie-Banner mit echter Opt-In-Funktion. Verpflichten Sie alle Mitarbeiter schriftlich auf Datenschutz und Schweigepflicht. Dokumentieren Sie Schulungen (auch retrospective). Beauftragen Sie einen externen Datenschutzbeauftragten, wenn Sie mehr als 10 Mitarbeiter haben. Diese Massnahmen schliessen etwa 85 Prozent der typischen Risiken.
Lokale Analysen für 50 deutsche Staedte mit zustaendiger Aufsichtsbehoerde.
Die TI ist der sichere Kommunikationskanal für die vernetzte Medizin und inzwischen Pflicht für Zahnarztpraxen. Die Anbindung erfolgt über einen TI-Konnektor (Secunet, RISE, KoCoBox), der die sichere Uebertragung zur gematik gewaehrleistet. Patienten können über die elektronische Patientenakte (ePA) ihre Daten praxis-uebergreifend verwalten. DSGVO-relevant ist vor allem die korrekte Konfiguration: wer in der Praxis hat Zugriff auf welche Daten, wie werden Zugriffe protokolliert, wie wird das TI-System gewartet. Fehler in der Konfiguration können die gesetzliche Rechtsgrundlage der TI untergraben. Die KZV stellt Leitfaeden für die Praxis-Anbindung bereit, die regelmaessig aktualisiert werden. Empfehlung: Jaehrliche Prüfung der TI-Konfiguration durch den IT-Dienstleister mit schriftlicher Dokumentation.
Ueberweisungen zwischen Allgemeinzahnaerzten, MKG-Chirurgen, Kieferorthopaeden und Implantologen gehoeren zur taeglichen Praxis. Bei jeder Ueberweisung werden Patientendaten weitergegeben: Befund, Roentgenbilder, Behandlungsplaene, Anamnese. Die Rechtsgrundlage ist in der Regel die Einwilligung des Patienten, die im Rahmen der Erstkonsultation erteilt wurde. Eine klare Dokumentation ist wichtig: Welche Daten wurden weitergegeben, an wen, wann, auf welcher Rechtsgrundlage. Bei langfristigen Kooperationen (z.B. Allgemeinzahnarzt mit bestimmter Implantologie-Praxis) empfiehlt sich ein Kooperationsvertrag mit klaren Datenschutzbestimmungen. Die Uebertragung sollte über verschluesselte Kanaele laufen — Upload-Portale, Labor-Netzwerke oder spezialisierte Ueberweisungsplattformen. Unverschluesselte E-Mail mit Patientendaten ist bei Kooperationen der Klassiker der Bussgeldverfahren. Einmal eingerichtet, sparen sichere Ueberweisungssysteme langfristig viel Zeit und eliminieren das DSGVO-Risiko.
10 Jahre nach Berufsordnung, Roentgenbilder bei Minderjaehrigen bis 28. Lebensjahr, Privatliquidationen 3 Jahre nach GOZ.
CHARLY, Dampsoft, SOLUTIO, Z1 EU-basiert mit AVV. Cloud-Versionen Schrems-II prüfen.
PVS, Labor, Roentgen, IT, Cloud, Terminbuchung, Newsletter. Typisch 8-12.
Bei umfangreicher Gesundheitsdaten-Verarbeitung oder ab 20 Personen. Ab 10 Mitarbeitern empfohlen.
Nur verschluesselt. TLS plus S/MIME oder Upload-Portal.
Ja mit EU, AVV, Verschluesselung. Beschwerde-Angabe mit Einwilligung.
Grundsaetzlich unzulaessig bei Gesundheitsdaten. Alternativen: Threema, SMS.
Gesetzlich geregelt und grundsaetzlich konform. Die Praxis muss die TI-Anbindung korrekt konfigurieren, Zugriffsrechte festlegen und das Personal regelmaessig schulen.
Kostenloser DSGVO-Check mit zahnmedizinischem Fokus.
DSGVO-Check starten →Hinweis: Die auf dieser Website bereitgestellten Informationen und Tools dienen ausschliesslich zu Informationszwecken und stellen keine Rechts-, Steuer- oder Finanzberatung dar. Alle Angaben ohne Gewaehr.