Patientenkontaktformular DSGVO-sicher: Welche Felder dürfen rein, welche müssen raus

Patientendaten sind keine normalen Kontaktdaten. Sobald jemand auf deiner Website ein Anliegen tippt, geht es schnell in den Bereich der besonderen Datenkategorien nach Art. 9 DSGVO, und plötzlich ist das harmlose „Kontaktformular" ein Gesundheitsdaten-Sammler. Standard-Baukästen lösen das nicht. Sie liefern Default-Felder wie Adresse, Geburtsdatum und ein riesiges Freitext-Feld ohne Hinweis, und genau das macht das Formular angreifbar.

Dieser Artikel ist die Werkstatt-Linie. Welche Felder dürfen rein, welche müssen raus, und welche Pflichten muss die Praxis dahinter erfüllen, damit das Formular kein Bußgeld-Magnet wird. Mit Feld-für-Feld-Tabelle für die schnelle Prüfung und drei realen Bußgeldfällen aus den letzten Jahren, die zeigen, woran die Aufsichtsbehörden hängen.

Was du in deinem Kontaktformular NICHT abfragen darfst

Drei Klartext-Verbote, bevor wir zur konstruktiven Liste kommen.

Keine Diagnose-Auswahl als Dropdown. „Wofür möchten Sie einen Termin?" mit Optionen wie „Bandscheibenvorfall", „Inkontinenz" oder „Beckenboden" macht das Formular zum Gesundheitsdaten-Sammler nach Art. 9 DSGVO, und dann brauchst du eine ausdrückliche Einwilligung, separat dokumentiert. Standard-Baukästen lösen das nicht, sie schalten das Dropdown frei und überlassen den Datenschutz der Praxis.

Keine offenen Symptom-Felder ohne Einwilligungs-Checkbox. „Beschreiben Sie kurz Ihr Anliegen" plus großes Textfeld ist gut gemeint und sammelt Gesundheitsdaten, sobald die ersten Patient:innen losschreiben. Lösung: Hinweistext direkt überm Feld („Bitte beschreibe dein Anliegen allgemein, ohne medizinische Details, das klären wir im persönlichen Gespräch.") plus Einwilligungs-Checkbox für den Fall, dass jemand trotzdem Details nennt.

Keine Versicherungsdaten, Geburtsdaten oder Adressen, wenn sie für die Kontaktaufnahme nicht nötig sind. Das ist Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO. Wenn du den Patienten am Telefon zurückrufst, brauchst du keine Adresse. Wenn du per Mail antwortest, keinen Geburtstag. Alles weitere gehört in die Anamnese vor Ort, nicht ins Erstkontakt-Formular.

Die fünf Pflichten eines DSGVO-konformen Praxiskontaktformulars

Kern des Artikels. Fünf Pflichten, jede mit Klartext-Anweisung und Rechtsgrundlage.

Pflicht 1: Datenminimierung, nur was nötig ist

Jedes Formularfeld muss eine konkrete Antwort auf die Frage geben: Wofür brauche ich diese Angabe, um die Person zurückzurufen? Wer das nicht beantworten kann, lässt das Feld weg. Rechtsgrundlage ist Art. 5 Abs. 1 lit. c DSGVO („Datenminimierung").

Standard-Pflichtfelder im Praxis-Kontext sind in der Regel: Name (für die Ansprache), Mail oder Telefon (Pflicht ist eines, nicht beides), ein Anliegen-Feld in einem Satz. Alles weitere ist „nice to have" und gehört ins persönliche Gespräch. Beispiel aus der Werkstatt: Eine Physiotherapie-Praxis aus Verden hatte im alten Formular zwölf Felder, von Adresse über Hausarzt bis Diagnose-Dropdown. Nach der DSGVO-Inventur blieben drei Pflichtfelder und ein optionales Anliegen-Feld übrig. Anfrage-Volumen blieb identisch, Bußgeld-Risiko sank dramatisch.

Pflicht 2: Rechtsgrundlage, die zur Anfrage passt

Für normale Kontaktdaten (Name, Mail, Telefon, allgemeines Anliegen ohne Symptome) reichen im Erstkontakt zwei Rechtsgrundlagen, je nach Anfragetyp: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme), wenn die Anfrage erkennbar auf einen Behandlungsvertrag zielt, oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) bei allgemeinen Anfragen zu Organisation, Standort oder Sprechzeiten. Im Datenschutzhinweis am Formular dürfen beide nebeneinander stehen, das spiegelt die Praxis-Realität.

Sobald aber Gesundheits-Informationen ins Spiel kommen, brauchst du zusätzlich eine Rechtsgrundlage nach Art. 9 DSGVO. Im Erstkontakt vor dem ersten Termin ist das in der Regel Art. 9 Abs. 2 lit. a DSGVO, ausdrückliche und dokumentierte Einwilligung über eine Checkbox. Art. 9 Abs. 2 lit. h (Verarbeitung im Behandlungskontext durch Berufsgeheimnisträger) greift erst im laufenden Behandlungsverhältnis, im vorvertraglichen Erstkontakt trägt er die Verarbeitung nicht. Im Werkstatt-Standard sicherst du den Erstkontakt also über Einwilligung und beendest die Datenerhebung mit dem Erstgespräch in der Praxis.

Praktisch heißt das eine Checkbox unter dem Anliegen-Feld mit Klartext: „Mir ist bewusst, dass Angaben zu Beschwerden oder Symptomen Gesundheitsdaten im Sinne von Art. 9 DSGVO sind. Ich willige ein, dass diese Daten zur Vorbereitung des Erstkontakts verarbeitet werden." Nicht vorangekreuzt, eindeutig, mit Widerruf in der Datenschutzerklärung.

Pflicht 3: Verschlüsselter Transport und Speicherort

Das Formular muss über HTTPS laufen, und der Server, der die Eingaben annimmt oder per Mail verschickt, sollte in der EU stehen. HTTPS ergibt sich aus Art. 32 DSGVO („Stand der Technik" für die Übertragung). Praktisch heißt das: gültiges TLS-Zertifikat (Let's Encrypt oder vom Hoster), TLS 1.2 als Minimum, TLS 1.3 als empfohlene Wahl für neue Setups. So steht es in der aktuellen BSI-Richtlinie TR-02102-2 Version 2026-01. TLS 1.0 und 1.1 sind nicht mehr Stand der Technik, unverschlüsselte Formulare sind 2026 weder vor Aufsichtsbehörden noch vor Patient:innen verteidigbar.

Speicherort: Wer Mailversand über US-basierte Dienste wie SendGrid oder Mailgun macht, braucht entweder Server in EU-Region oder explizit dokumentierte Standardvertragsklauseln nach Art. 46 DSGVO. Einfacher ist ein Hoster mit deutschem Rechenzentrum und eigene Mail-Pipeline ohne US-Drittanbieter. BuntDigital hostet auf deutschen Servern, der Formularversand läuft serverseitig in DE, mehr dazu im Spoke Hosting und Daten bei BuntDigital.

Pflicht 4: Löschfristen und Lösch-Konzept

Kontaktanfragen sind keine Patientenakten. Sie müssen nach Erledigung des Erstkontakts gelöscht werden, drei bis sechs Monate sind ein praxisüblicher Werkstatt-Wert. Die DSGVO selbst nennt in Art. 5 Abs. 1 lit. e keine konkrete Frist, sondern fordert nur, dass die Speicherdauer dem Zweck entspricht. Entscheidend ist, dass du dich an die selbst gewählte Frist auch wirklich hältst, also den Wert ins Verfahrensverzeichnis nach Art. 30 DSGVO schreibst und das Löschen technisch oder organisatorisch sicherstellst, nicht nur „irgendwann mal" meinst.

Wichtig: Anfragen, aus denen kein Termin und keine Behandlung wird, sind keine Patientenakte im Sinne von § 630f BGB, sie unterliegen nicht der 10-Jahres-Frist. Sobald aus einer Anfrage ein Termin und eine Behandlung wird, wandert sie in die Patientenakte und unterliegt dann § 630f BGB mit 10 Jahren nach Abschluss der Behandlung. Ein typischer Eintrag im Lösch-Konzept liest sich so: „Anfragen ohne Termin: 6 Monate, dann automatische Löschung. Anfragen mit Termin: Übernahme in die Patientenakte, Aufbewahrung 10 Jahre nach § 630f BGB."

Pflicht 5: Datenschutzhinweis am Formular

Art. 13 DSGVO verlangt eine Information bei Erhebung, also vor dem Absenden des Formulars. Pflicht ist nur, dass die Information klar erkennbar zugänglich ist. Ein verlinkter Hinweis auf die Datenschutzerklärung neben oder über dem Absende-Button reicht aus, wenn der Link mit Klartext beschriftet ist („Mit dem Absenden bestätigst du, dass du die Datenschutzerklärung gelesen hast."). Das bestätigen Mustertexte von IHK München und Aufsichtsbehörden.

Best Practice ist ein kurzer Hinweisblock von drei bis fünf Sätzen direkt am Formular plus der Link zur vollständigen Datenschutzerklärung. Mindestinhalt am Formular: Wer verarbeitet (Praxisname), wofür (Kontaktaufnahme), Rechtsgrundlage (Art. 6 Abs. 1 lit. b oder f DSGVO, bei Gesundheitsdaten zusätzlich Art. 9 Abs. 2 lit. a), Aufbewahrung („nach Erledigung gelöscht, längstens sechs Monate"), Link zur vollständigen Datenschutzerklärung. Versteckte Links im Footer reichen nicht.

Konkrete Form-Felder: Was rein darf, was raus muss

Schnellnachschlage-Tabelle für die Werkbank. Sortiert nach „Erlaubt, bedingt erlaubt, verboten ohne ausdrückliche Einwilligung".

Wer alle „Nein"-Felder weglässt, verliert keine Anfragen und vermeidet die häufigsten Bußgeldgründe.

Wo Praxen tatsächlich erwischt werden: drei reale Bußgeldfälle in Klartext

Wichtig vorab: Für ein Praxis-Kontaktformular ist 2024 oder 2025 kein deutsches Bußgeld öffentlich dokumentiert, das explizit auf das Formular zurückgeht. Was es gibt, sind verwandte Fälle aus dem Gesundheitsbereich, die zeigen, woran die Aufsichtsbehörden hängen, und wo die Transferleistung für dein Formular sitzt.

HBDI Hessen, 2.500 Euro gegen eine Arztpraxis (2024). Der Praxismanager nahm Patientenakten mit nach Hause, lagerte sie in einem unverschlossenen Raum mit Party-Gästen, ließ Abrechnungsunterlagen abfotografieren und per WhatsApp verschicken. Bewertet wurde der Verstoß gegen Art. 32 DSGVO (technisch-organisatorische Maßnahmen) plus Verletzung der ärztlichen Schweigepflicht. Der Fall hat mit dem Kontaktformular nichts zu tun. Er zeigt aber: Aufsichtsbehörden schauen im Gesundheitsbereich genau hin, auch nicht-digitale Pannen werden geahndet. Transfer fürs Formular: Was du online sauber aufsetzt, darf offline nicht durchrutschen, Patientendaten bleiben Patientendaten, egal in welchem Kanal.

HBDI Hessen, 3.300 Euro und 3.700 Euro gegen zwei Arztpraxen (2024). Beide Praxen hatten öffentlich auf negative Google-Bewertungen geantwortet und Patient:innen mit Klarnamen angesprochen, obwohl diese unter Pseudonym bewertet hatten. Genannt wurden Diagnosen, Befunde, Therapieverläufe. Bewertet wurde der Verstoß gegen Art. 9 DSGVO, die Antworten waren ohne Rechtsgrundlage öffentlich. Transfer fürs Formular: Sobald Gesundheitsdaten in einen Kanal geraten, ist die Aufsicht hellwach, auch im Bestätigungs-Mailtext nach Formular-Absenden keine Diagnosen wiederholen, auch nicht freundlich gemeint.

LfDI Rheinland-Pfalz, 105.000 Euro gegen die Mainzer Universitätsklinik (2019). Hintergrund war eine Patientenverwechslung bei der Aufnahme mit anschließender Falschabrechnung, daraus aufgedeckte strukturelle Defizite im Patientenmanagement. Mit einem Kontaktformular hat der Fall nichts zu tun, er ist sechs Jahre alt und betraf eine Klinik, nicht eine Praxis. Er steht hier nur als Größenordnungs-Anker: Bei strukturellen Defiziten in Kliniken können Aufsichtsbehörden im sechsstelligen Bereich landen. Für eine normal aufgesetzte Einzelpraxis ist diese Größenordnung nicht der Maßstab.

Die Beträge im Praxisbereich sind nicht ruinös. Der Reputationsschaden in einer kleinen Stadt ist es.

Auftragsverarbeitung und Hosting: Was du mit dem Webhoster klären musst

Sobald Formulareingaben auf dem Server des Webhosters landen oder über dessen Mailserver gehen, verarbeitet der Hoster Patientendaten für die Praxis. Damit greift Art. 28 DSGVO, ein Auftragsverarbeitungsvertrag (AVV) ist Pflicht. Standardvertrag, den jeder seriöse DE-Hoster bereitstellt. Die Pflichtinhalte stehen in Art. 28 Abs. 3 DSGVO (Gegenstand, Dauer, Datenkategorien, technisch-organisatorische Maßnahmen, Sub-Auftragsverarbeiter, Weisungsbindung, Vertraulichkeit, Meldepflichten, Rückgabe/Löschung nach Vertragsende, Kontrollrechte).

Werkstatt-Tipp zur Prüfung: Die BfDI-Mustervereinbarung zur Auftragsverarbeitung in Version 2.1 ist als PDF kostenlos verfügbar. Wer prüfen will, ob der eigene Webhoster-AVV vollständig ist, gleicht ihn einfach gegen die Mustervorlage ab. Bei einer Prüfung mehrerer Landesdatenschutzbehörden 2024/2025 fanden die Aufsichten in über 40 Prozent der Webhoster-AVVs inhaltliche Lücken.

Drei weitere Punkte gehören in die Hoster-Klärung: Serverstandort (EU, idealerweise DE), Mailversand-Kette (eigene Pipeline beim DE-Hoster statt US-Mail-API ohne SCC), und das Verfahrensverzeichnis nach Art. 30 DSGVO in der Praxis selbst, ein einseitiges Dokument mit Zweck, Datenarten, Rechtsgrundlage, Empfängern und Löschfrist für das Verfahren „Kontaktformular Praxiswebsite".

Was dieser Artikel nicht beantwortet

Damit die Grenzen klar sind, sechs Dinge, die dieser Artikel bewusst offen lässt.

Ob deine konkrete Praxis-Konstellation alle Pflichten erfüllt. Das prüft ein:e Datenschutzbeauftragte:r oder ein:e Fachanwalt:in für IT-Recht im Einzelfall.

Ob du eine:n Datenschutzbeauftragte:n bestellen musst. Schwelle ist 20 Personen mit ständiger automatisierter Datenverarbeitung nach § 38 BDSG, Praxisinhaber:in zählt mit. Zweiter Trigger ist eine Verarbeitung, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegt. Standard-Patientenverarbeitung in einer normalen Praxis ist das laut HBDI nicht automatisch, bei größeren Strukturen (MVZ mit umfangreicher Telematik, ePA-Spezialanwendungen, Genetik-Labor) aber sehr wohl. Im Zweifel mit der ärztlichen Kammer oder dem Steuerberater klären.

Wie du Online-Terminbuchung DSGVO- und BFSG-sicher einbindest. Anderes Thema, dazu der Spoke Online-Terminbuchung und BFSG in der Praxis.

Was du auf der Website textlich sagen darfst (HWG). Heilmittelwerbe-Sprache ist ein eigenes Spielfeld, dazu der Spoke Was darf auf die Praxiswebsite.

Was du tust, wenn die Abmahnung schon im Briefkasten liegt. Dazu der Spoke DSGVO-Abmahnung: Was tun in fünf Schritten.

Cookie-Banner ist ein anderer Layer. Trackingfreie Praxis-Websites brauchen meist gar keins, dazu der Spoke Cookie-Banner für Selbstständige.

Häufige Fragen

Welche Felder darf ein Praxiskontaktformular nach DSGVO abfragen?

Nur Felder, die für die Kontaktaufnahme zwingend nötig sind: Name plus Mail oder Telefon, optional ein Freitext-Anliegen. Diagnose-Dropdowns, Symptom-Pflichtfelder, Adresse oder Geburtsdatum gehören in den Erstkontakt nicht hinein. Sie verletzen die Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO und ziehen für Gesundheitsdaten zusätzlich Art. 9 DSGVO nach sich.

Brauche ich eine Einwilligungs-Checkbox unter dem Anliegen-Feld?

Ja, wenn das Feld offen ist und Patient:innen dort medizinische Details nennen könnten. Sobald Gesundheitsdaten im Spiel sind, brauchst du im Erstkontakt vor dem ersten Termin die ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. Lit. h (Behandlungskontext durch Berufsgeheimnisträger) greift erst im laufenden Behandlungsverhältnis und ersetzt im Erstkontakt die Einwilligung nicht.

Muss das Kontaktformular über HTTPS laufen?

Ja. Unverschlüsselter Transport ist seit Jahren nicht mehr Stand der Technik im Sinne von Art. 32 DSGVO. Praktisch heißt das TLS 1.2 als Minimum und TLS 1.3 als empfohlene Wahl für neue Setups, so steht es in der BSI-Richtlinie TR-02102-2 Version 2026-01.

Wo dürfen die Daten gespeichert werden?

In der EU, idealerweise im deutschen Rechenzentrum. Wer Mail-Dienste mit US-Sitz nutzt, braucht entweder die EU-Region des Anbieters oder explizit dokumentierte Standardvertragsklauseln nach Art. 46 DSGVO. Einfacher ist ein Hoster mit deutschem Rechenzentrum und serverseitiger Mailpipeline ohne US-Drittanbieter.

Wie lange darf ich Kontaktanfragen aufbewahren?

Drei bis sechs Monate sind ein praxisüblicher Werkstatt-Wert. Die DSGVO selbst nennt in Art. 5 Abs. 1 lit. e keine konkrete Frist, sondern fordert nur, dass die Speicherdauer dem Zweck entspricht. Entscheidend ist, dass du dich an die selbst gewählte Frist auch wirklich hältst und sie im Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO niederschreibst. Erst wenn aus der Anfrage ein Termin und eine Behandlung wird, gilt § 630f BGB mit 10 Jahren nach Abschluss der Behandlung.

Reicht ein Link zur Datenschutzerklärung neben dem Absende-Button?

Ja, ein klar erkennbarer Link zur Datenschutzerklärung vor dem Absenden reicht aus, das bestätigen IHK-Mustertexte und Aufsichtsbehörden. Best Practice ist ein kurzer Hinweisblock mit drei bis fünf Sätzen direkt am Formular plus der Link zur vollständigen Datenschutzerklärung. Versteckte Links im Footer reichen nicht, der Hinweis muss vor dem Klick auf Absenden auffindbar sein.

Muss meine Praxis eine:n Datenschutzbeauftragte:n bestellen?

Erst ab 20 Personen in der Praxis, die ständig mit automatisierter Datenverarbeitung beschäftigt sind, ist eine Bestellung Pflicht nach § 38 BDSG. Die Schwelle wurde im November 2019 von 10 auf 20 angehoben, Praxisinhaber:in zählt mit. Bei Einzel- und Kleinpraxen ist das in der Regel nicht der Fall. Ein zweiter Trigger ohne Schwellenwert: Verarbeitung mit Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Für Standard-Patientenverarbeitung in einer normalen Praxis ist das laut HBDI nicht automatisch gegeben.

Was kostet ein falsch konfiguriertes Kontaktformular im Bußgeldfall?

Für ein Praxis-Kontaktformular ist 2024 oder 2025 kein deutsches Bußgeld öffentlich dokumentiert, das explizit auf das Formular zurückgeht. Bekannt sind verwandte Fälle: HBDI Hessen hat 2024 mehrere Praxen wegen Patientendaten in Google-Bewertungs-Antworten zwischen 2.500 und 3.700 Euro belegt. Bei strukturellen Defiziten in Kliniken liegen die Größenordnungen deutlich höher, der Mainzer Uniklinik-Fall von 2019 lag bei 105.000 Euro. Der Reputationsschaden in der Region ist oft größer als der Betrag.