DSGVO für Heilpraktikerinnen und Coaches: Was du wirklich wissen musst
Die DSGVO hat einen Ruf entwickelt, der größer ist als das, was sie für die meisten Selbstständigen tatsächlich bedeutet. Dieser Artikel gibt dir Orientierung – ohne Juristendeutsch, ohne Panik.
Hinweis vorab: Ich bin keine Rechtsanwältin, und was hier steht, ist keine Rechtsberatung. Dieser Artikel gibt dir Orientierung – für konkrete rechtliche Fragen ist ein Fachanwalt für IT-Recht die richtige Adresse.
Der Betreff lautete: „Datenschutzverletzung – Ihre Praxis.“
Ich habe die E-Mail auf dem Telefon gesehen und kurz aufgehört zu atmen. Das Herz macht in solchen Momenten etwas Unangenehmes. Ich habe sie aufgemacht, bereit für irgendetwas Schlimmes.
Es war mein Newsletter-Anbieter. Die hatten ihre eigenen Datenschutzrichtlinien aktualisiert und wollten mich informieren. Kein Bußgeld, keine Behörde, keine Klage. Nur eine schlecht getextete Betreffzeile von einem Software-Unternehmen.
Aber dieser kurze Moment – der sagt etwas. Die DSGVO hat einen Ruf entwickelt, der größer ist als das, was sie für die meisten Selbstständigen tatsächlich bedeutet. Und dieser Ruf lähmt. Wer aus Überforderung gar nichts tut, steht am Ende schlechter da als jemand, der die grundlegenden Hausaufgaben gemacht hat und dann einfach weiterarbeitet.
Was ist die DSGVO überhaupt – und gilt sie für mich?
Kurze Antwort: ja.
Die Datenschutz-Grundverordnung gilt für alle, die personenbezogene Daten von EU-Bürgerinnen verarbeiten. Und sobald jemand seinen Namen und seine E-Mail-Adresse in dein Kontaktformular einträgt, tust du genau das. Keine Ausnahme für kleine Praxen, keine Mindestgröße, kein Umsatzschwellenwert.
Für Heilpraktikerinnen kommt noch etwas dazu: Gesundheitsdaten sind nach Art. 9 DSGVO eine besonders sensible Datenkategorie. Behandlungsnotizen, Diagnosen, Anamnese-Bögen – das fällt in eine Schutzstufe, die höhere Sorgfalt verlangt. Das bedeutet nicht, dass du einen Datenschutzbeauftragten brauchst oder wöchentliche Compliance-Meetings mit dir selbst halten musst. Es bedeutet: sorgfältig umgehen, verschlüsselt speichern, Zugang einschränken.
Für Coaches gilt dasselbe Grundprinzip. Klientinnendaten, Session-Notizen, E-Mail-Listen – alles.
Klingt nach viel. Ist es nicht. Aber es ist auch nicht nichts.
Was zählt als personenbezogene Daten?
Mehr als du vielleicht denkst – und weniger als du befürchtest.
Personenbezogene Daten sind alle Informationen, mit denen eine Person direkt oder indirekt identifiziert werden kann. Name und E-Mail reichen. Telefonnummer reicht. Auch eine Kombination aus Beschreibungsmerkmalen kann identifizierend sein – wenn du in deinen Notizen festhältst „Frau aus Karlsruhe, 43, chronische Erschöpfung, kam über Empfehlung“, ist das personenbezogen, auch ohne Namen.
Eine Datenschutz-Expertin hat es einmal so formuliert: Selbst wenn du den Namen nicht kennst – wenn du die Person aus der Kombination der Infos identifizieren könntest, gilt es.
Für Heilpraktikerinnen heißt das in der Praxis: alles, was du über den Zustand deiner Patientinnen festhältst. Für Coaches: Erstgespräch-Notizen, Coaching-Protokolle, E-Mail-Verläufe mit Klientinnen.
Gut zu wissen. Kein Grund zur Panik.
Was passiert, wenn du nicht konform bist?
Ja, die DSGVO sieht Bußgelder vor. Das Maximum liegt bei vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro – je nachdem, was höher ist.
Als Einzelunternehmerin mit 100.000 Euro Jahresumsatz wird niemand eine 20-Millionen-Strafe gegen dich verhängen. Das ist für Konzerne. Für Meta, nicht für deine Heilpraktiker-Praxis in Freiburg.
Was realistischer ist: Abmahnungen. Die kommen nicht von Behörden, sondern von Mitbewerbern oder auf DSGVO-Verstöße spezialisierten Anwälten, die nach Formfehlern suchen – fehlende Datenschutzerklärung auf der Website, falsches Cookie-Banner, kein korrektes Impressum. Das sind die tatsächlichen Alltagsrisiken einer kleinen Selbstständigen.
Die größte DSGVO-Gefahr ist nicht Unwissenheit. Es ist Lähmung.
Die drei wichtigsten Maßnahmen für den Start
Keine Raketenwissenschaft. Aber auch kein Thema, das man weiter vor sich herschiebt:
1. Datenschutzerklärung auf der Website
Jede Website, die Daten verarbeitet – also jede mit Kontaktformular, eingebettetem Google Font, Analytics oder externen Diensten – braucht eine Datenschutzerklärung. Pflicht, nicht Nice-to-Have.
Was nicht Pflicht ist: dass du sie selbst schreibst. e-recht24.de bietet einen Generator für rechtssichere Vorlagen. Für komplexere Setups – Online-Shop, mehrere externe Dienste, besonders sensible Daten – lohnt eine Stunde mit einem Anwalt für IT-Recht.
2. E-Mail-Marketing: Double-Opt-In
Für jeden Kontakt in deiner Mailing-Liste brauchst du eine aktive Einwilligung. Das funktioniert über Double-Opt-In: Jemand trägt sich ein, bekommt eine Bestätigungsmail und muss aktiv klicken. Erst dann ist der Eintrag gültig.
Und jetzt kommt der Punkt, der viele überrascht: Das kostenlose Dokument darf jemand herunterladen, ohne sich in deinen Newsletter einzutragen. Ja wirklich. Ja, auch dann.
Du darfst den Zugang zum Freebie nicht an eine Newsletter-Anmeldung koppeln – die Einwilligung muss freiwillig sein. Das bedeutet in der Praxis: Jemand schnappt sich dein kostenloses PDF und zieht fröhlich weiter, ohne sich je anzumelden. Ja, das ist erlaubt. Und nein, das ist kein Notfall. Der Newsletter überlebt das. Wer sich trotzdem anmeldet, will wirklich von dir hören. Das ist die bessere Liste.
Nimm es als den Gewinn, der es ist.
Ist die Mailing-Liste damit tot? Nein. Nur erwachsen geworden.
3. Daten sicher speichern und Fristen beachten
Behandlungsnotizen, Session-Protokolle, Anamnese-Bögen – verschlüsselt speichern, Zugang einschränken. Kein Ordner mit Zugriffsrechten für mehr Personen als nötig. Keine unverschlüsselten E-Mails mit sensiblen Gesundheitsinformationen, wenn es sich vermeiden lässt.
Dazu kommen Aufbewahrungsfristen: Unterlagen von Patientinnen sind in der Regel zehn Jahre aufzubewahren, danach müssen sie sicher vernichtet werden. Coaching-Protokolle unterliegen keiner gesetzlichen Mindestfrist – aber du solltest klar definieren, wie lange und wo du was aufbewahrst.
Wo du professionelle Hilfe findest
Du musst das nicht alleine herausfinden. Und du musst auch nicht für jede kleine Frage einen Anwalt beauftragen.
Für den Start reicht oft schon e-recht24.de – der Datenschutzerklärung-Generator führt dich durch alle Pflichtangaben und liefert eine rechtssichere Vorlage. Auch dein Newsletter-Anbieter hat in der Regel gute DSGVO-Ressourcen für Nutzerinnen.
(e-recht24 taucht in diesem Artikel jetzt zum dritten Mal auf. Klingt verdächtig nach Affiliate. Ist es nicht – ich verdiene nichts daran. Sie machen es einfach gut.)
Für komplexere Fragen – oder wenn du dir einfach sicher sein möchtest – ist eine Erstberatung bei einem Anwalt für IT-Recht gut investiertes Geld. DSGVO ist Handwerkszeug. Kein Hexenwerk. Und kein Thema, das man ewig vor sich herschiebt.
Wenn du gerade an deiner Positionierung arbeitest – also daran, für wen du in erster Linie da bist – ist der Nischen-Kompass ein guter erster Schritt. Er wurde für Coaches und Heilpraktikerinnen entwickelt. Wer seine Positionierung klar hat, muss danach noch ein paar Hausaufgaben machen. DSGVO gehört dazu.
Wenn du beim Lesen gerade gemerkt hast, dass du dich irgendwo wiedererkennst – dann ist das genau dein Startpunkt. Dafür habe ich eine kurze Checkliste entwickelt. 10 Fragen, die dich durch den Prozess führen und dir helfen, deinen Nischen-Sweet-Spot zu finden. Kein überwältigender Kurs. Einfach ein strukturierter Denkanstoß, der dich vom Kreisdrehen in die Klarheit bringt.
Key Takeaways
Wer personenbezogene Daten verarbeitet, fällt unter die DSGVO – als Heilpraktikerin oder Coach gilt das von Tag eins an.
Gesundheitsdaten sind die sensibelste Datenkategorie: Sorgfalt ist keine Option, sondern Pflicht.
Die größte DSGVO-Gefahr ist nicht Unwissenheit, sondern Nichtstun – drei Grundmaßnahmen reichen für den Anfang.
Immer weiter.
P.S.: Die E-Mail mit dem Betreff „Datenschutzverletzung – Ihre Praxis“ liegt übrigens noch in meinem Archiv. Ich habe sie behalten – als Erinnerung daran, was passiert, wenn man Betreffzeilen nicht zu Ende denkt. Für deine DSGVO-Hausaufgaben wünsche ich dir weniger Drama und bessere Betreffzeilen.
FAQ
Gilt die DSGVO auch für mich, wenn ich nur eine kleine Praxis betreibe?
Ja. Die DSGVO gilt für alle, die personenbezogene Daten von EU-Bürgerinnen verarbeiten – unabhängig von Betriebsgröße oder Umsatz. Auch als Einzelselbstständige bist du betroffen, sobald du Namen, E-Mail-Adressen oder Gesundheitsdaten verarbeitest.
Brauche ich als Heilpraktikerin oder Coach einen Datenschutzbeauftragten?
In den meisten Fällen nein. Die Pflicht zur Bestellung greift erst ab bestimmten Schwellenwerten – zum Beispiel wenn mehr als 20 Personen regelmäßig mit personenbezogenen Daten arbeiten. Als Soloselbstständige bist du davon in der Regel ausgenommen. Im Zweifelsfall: kurze Rückfrage beim Anwalt für IT-Recht.
Was muss auf meine Datenschutzerklärung?
Mindestens: welche Daten du erhebst, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange du sie speicherst, ob du sie an Dritte weitergibst und welche Rechte Betroffene haben. Der Generator auf e-recht24.de führt dich Schritt für Schritt durch alle Pflichtangaben.
Darf ich meinen Lead-Magnet nur gegen Newsletter-Anmeldung anbieten?
Nein. Die DSGVO verlangt, dass die Einwilligung zum Newsletter freiwillig ist – sie darf deshalb nicht an eine andere Leistung geknüpft sein. Du kannst beides auf derselben Seite anbieten, aber die Einwilligung muss eine echte Wahl bleiben.
Was ist Double-Opt-In – und warum ist das wichtig?
Double-Opt-In bedeutet: Nach der Anmeldung bekommt die Person eine Bestätigungs-E-Mail und muss aktiv bestätigen, dass sie deinen Newsletter erhalten möchte. Erst nach diesem zweiten Schritt gilt die Einwilligung als rechtssicher. Das ist die Standardmethode für E-Mail-Marketing in der EU.
