WordPress in der Arztpraxis: Risiken für Patientendaten

Stellen Sie sich vor: Es ist Montagmorgen. Sie öffnen den Laptop, um den Tag zu starten. Irgendwo in der Nacht hat ein automatisierter Bot eine Lücke in einem Ihrer WordPress-Plugins gefunden. Das Buchungsformular auf Ihrer Praxis-Website war offen. Patientennamen, Geburtsdaten, Beschwerden, alles lesbar. Die Uhr tickt: 72 Stunden bis zur Pflichtmeldung.

Eine Arztpraxis-Website ist keine digitale Visitenkarte. Sie berührt Patientendaten, direkt über Terminformulare, indirekt über Plugins. Das macht WordPress für Arztpraxen zu einem anderen Problem als für eine Bäckerei. Gesundheitsdaten stehen unter dem höchsten Schutz des europäischen Datenschutzrechts.

Dieser Artikel erklärt die vollständige Risikokette: WordPress-Architektur → Patientendaten → Art. 9 DSGVO → Meldepflicht → Bußgeld. Und welche Alternativen es gibt.

Das Wichtigste in Kürze

Patientendaten sind nicht wie andere Daten. Art. 9 DSGVO erklärt

Patientendaten fallen unter Art. 9 DSGVO als „besondere Kategorie personenbezogener Daten". Ihre Verarbeitung ist grundsätzlich verboten, mit engen Ausnahmen. Das bedeutet: höhere Schutzpflichten, höhere Bußgelder, strengere Anforderungen an technische Maßnahmen als bei normalen Kontaktdaten.

Darunter fallen Diagnosen, Befunde, Laborergebnisse, Medikamentenpläne, Krankschreibungen, und auch indirekt übermittelte Informationen. Schreibt jemand in ein Webformular, welche Beschwerden er hat, ist das ein Gesundheitsdatum nach Art. 9. Der Gesetzgeber macht hier keine Ausnahmen.

Was viele Praxisinhaber nicht wissen: Art. 9 greift nicht erst bei einem Datenleck. Er greift bei jeder Verarbeitung dieser Daten. Das schließt die Übertragung über ein Webformular ein, selbst wenn danach nichts passiert.

Der Unterschied zu einer normalen DSGVO-Verletzung ist erheblich. Bei Art. 9-Verstößen beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO). Mehr zum Thema DSGVO und Patientendaten auf der Praxis-Website.

Was passiert, wenn ein Patient im Kontaktformular seine Symptome schreibt?

Schreibt ein Patient in ein Standard-WordPress-Kontaktformular „Ich habe Knieschmerzen und möchte einen Termin", verarbeitet die Praxis-Website Gesundheitsdaten nach Art. 9 DSGVO. Das erfordert besondere technische Schutzmaßnahmen, die Standard-WordPress-Formulare nicht bieten.

Das klingt theoretisch. Ist es aber nicht. Jede Terminanfrage mit Symptombeschreibung, jede Frage zu einer Diagnose, jede Nachricht mit einer Medikamentenangabe, all das sind Gesundheitsdaten im Sinne des Gesetzes. Die meisten Praxen haben kein Bewusstsein dafür, dass ihr normales Kontaktformular diesen Schwellenwert überschreitet.

Laut der Datenschutzbehörde Baden-Württemberg und dr-dsgvo.de stellt eine fehlende Verschlüsselung bei der Übertragung von Gesundheitsdaten über Webformulare „ein sehr hohes Risiko für die Betroffenen" dar. Die Mindestanforderungen für ein DSGVO-konformes Formular auf einer Arztpraxis-Website sind konkret:

• Qualifizierte Transportverschlüsselung (TLS/SSL) muss aktiv und korrekt konfiguriert sein
• Schutz gegen Bots und automatisierte Skripte
• Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit dem Plugin-Anbieter
• Hinweis auf die Art.-9-Datenverarbeitung in der Datenschutzerklärung

Standard-WordPress-Plugins wie Contact Form 7 oder WPForms erfüllen diese Anforderungen nicht aus der Box. Der AVV mit dem Plugin-Anbieter ist oft nicht vorhanden, und wird selten aktiv angeboten. Wie Sie Patientendaten auf der Website schützen, erklären wir in einem separaten Artikel.

Das zweite Problem: Alle Formulareingaben landen in der WordPress-Datenbank. Genau die Datenbank, die bei einem Hack zuerst kompromittiert wird.

Terminbuchungs-Plugins in der Arztpraxis. Was DSGVO-konform wirklich bedeutet

Standard-WordPress-Buchungs-Plugins (Amelia, Bookly, Simply Schedule) wurden nicht für Gesundheitsdaten entwickelt. Buchungsdaten landen in der WordPress-Datenbank, derselben, die bei einem Hack offenliegt. Dazu braucht jede Praxis einen Auftragsverarbeitungsvertrag (AVV) mit dem Plugin-Anbieter.

ARENDT Data & Law hat die Anforderungen für Online-Terminbuchung in Heilberufen analysiert: Der AVV nach Art. 28 DSGVO mit dem Booking-Plugin-Anbieter ist zwingend erforderlich. Die Datenschutzerklärung muss die Verarbeitung von Buchungsdaten explizit abdecken. Beides fehlt in den meisten Praxen.

Das strukturelle Problem geht tiefer. Wenn ein Patient bei einem Orthopäden einen Termin bucht, erfasst das Plugin in der Regel auch Angaben zum Grund des Besuchs oder zur Art des Problems. Diese Angaben sind Gesundheitsdaten. Sie landen in der gleichen Datenbank wie alle anderen WordPress-Daten. Blogbeiträge, Kommentare, Admin-Zugangsdaten.

Ein Angreifer, der die Datenbank kompromittiert, bekommt alles. Es gibt keine technische Trennung innerhalb von WordPress zwischen "harmlosen" und "besonders schützenswerten" Daten.

Kein Standard-Booking-Plugin löst dieses strukturelle Problem. Die DSGVO-konforme Online-Terminbuchung für Arztpraxen erfordert eine externe, zertifizierte Lösung, die vollständig von der WordPress-Infrastruktur getrennt ist.

11.334 Sicherheitslücken in 2025. Die WordPress-Risikolage, die Arztpraxen kennen müssen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Dezember 2025 aktive Sicherheitshinweise zu bekannten WordPress-Schwachstellen veröffentlicht. Patchstack zählte 2025 insgesamt 11.334 neue Vulnerabilities, 91 % davon in Plugins, 42 % mehr als im Vorjahr.

Stand: März 2026, das sind keine abstrakten Zahlen. Sie beschreiben, was aktiv gegen Websites eingesetzt wird. Laut ALM Corp erfolgen Exploits im Median innerhalb von 5 Stunden nach der Veröffentlichung einer Sicherheitslücke. Wer sein Plugin-Update nicht innerhalb weniger Stunden einspielt, ist angreifbar.

Konkrete Beispiele aus 2025 machen das greifbar:

• CVE-2025-24752 (Essential Addons for Elementor): XSS-Lücke, über 2 Millionen Websites betroffen
• CVE-2025-7638 (Forminator Forms): SQL Injection, über 600.000 Installationen betroffen

Sucuri hat im ersten Halbjahr 2024 über 53 Millionen Websites gescannt und dabei 681.182 infizierte Sites entdeckt. WordPress macht dabei 91,5 % aller CMS-Infektionen aus, die Sucuri bereinigt hat. Das ist kein Zufall, es ist Marktanteil kombiniert mit Angriffsfläche.

Besonders kritisch: Rund 35 % aller im Jahr 2024 offengelegten WordPress-Vulnerabilities blieben 2025 ungepatcht. Das betrifft Plugins, für die es keine aktiven Entwickler mehr gibt, oder die Praxis-Betreiber schlicht nicht kennen.

Das BSI formuliert es klar: Nur ein „angemessenes Systemmanagement und ein umsichtiges Verwenden von Erweiterungen" kann das Risiko minimieren. Für eine Arztpraxis im täglichen Betrieb ist das kaum leistbar. Mehr zu den WordPress-Sicherheitsrisiken im Überblick.

Von der Sicherheitslücke zum Bußgeld. Die Kette, die Ärzte kennen müssen

Ein WordPress-Hack in einer Arztpraxis löst automatisch Art. 33 DSGVO aus: Meldung an die Datenschutzaufsichtsbehörde innerhalb von 72 Stunden. Bei Patientendaten ist das Risiko laut deutschen Behörden „regelmäßig anzunehmen", kein Ermessensspielraum.

Die vollständige Risikokette sieht so aus:

1. WordPress-Plugin-Lücke → Angreifer erhält Datenbankzugang
2. Patientendaten kompromittiert → Art. 9 DSGVO greift
3. Art. 33 DSGVO → Meldung an Aufsichtsbehörde innerhalb von 72 Stunden (NRW: LDI, Bayern: LDA)
4. Art. 34 DSGVO → Bei hohem Risiko: zusätzliche Meldepflicht direkt an betroffene Patienten
5. Art. 83 DSGVO → Bußgeld bis 20 Mio. € oder 4 % Jahresumsatz
6. KBV IT-Sicherheitsrichtlinie → Zusätzliche Sanktionen bis 100.000 € oder Honorarkürzungen

Was das in der Praxis bedeutet, zeigen reale Fälle aus dem Gesundheitssektor (Stand 2024/2025):

Diese Fälle betreffen keine technisch komplexen Angriffe. Sie betreffen Alltagssituationen, eine Google-Bewertung, falsch entsorgte Unterlagen. Ein WordPress-Hack liegt auf einer anderen Größenordnung.

Dazu kommt die KBV IT-Sicherheitsrichtlinie, die seit dem 1. Oktober 2025 vollständig in Kraft ist (Rechtsgrundlage: § 390 SGB V). Bei Nichteinhaltung drohen Bußgelder bis zu 100.000 Euro oder Honorarkürzungen durch die Kassenärztliche Vereinigung. Die Richtlinie verlangt auch für die Website-Infrastruktur angemessene technische Schutzmaßnahmen.

Mehr zu den konkreten WordPress-Risiken für Arztpraxen und warum Standard-Installationen diese Anforderungen nicht erfüllen.

WordPress vs. Static Site. Was der technische Unterschied für Patientendaten bedeutet

WordPress ist ein dynamisches CMS mit Datenbank und PHP-Verarbeitung, das schafft Angriffsfläche. Eine Static Site (Astro, Next.js) hat keine Datenbank, keine Runtime-Logik und speichert keine Nutzerdaten. Patientendaten berühren die Website-Infrastruktur strukturell gar nicht mehr.

Der Unterschied ist fundamental, nicht graduell. WordPress muss bei jeder Seitenabfrage PHP-Code ausführen, auf die Datenbank zugreifen und das Ergebnis dynamisch zusammensetzen. Jeder dieser Schritte ist ein potenzieller Angriffspunkt.

Eine Static Site generiert die Seiten einmalig beim Deployment, als fertige HTML-Dateien. Der Webserver liefert nur diese Dateien aus. Es gibt keine Datenbank. Keine laufende PHP-Ausführung. Kein Plugin-Ecosystem, das täglich aktualisiert werden muss.

CloudCannon beschreibt den Sicherheitsvorteil direkt: „With no server-side processing or database interactions, static sites are more resilient to security vulnerabilities like SQL injection or cross-site scripting (XSS) attacks." Die Astro-Dokumentation bezeichnet Static Sites als „faster, more secure, and easier to maintain than most websites created on legacy stacks like WordPress."

Das bedeutet für Arztpraxen: Patientendaten kommen mit der Website-Infrastruktur strukturell gar nicht in Kontakt. Das Terminbuchungssystem oder Kontaktformular ist eine externe, zertifizierte Lösung, ohne Verbindung zur Core-Website-Infrastruktur.

Mehr zur WordPress-Alternative für Arztpraxen und dem technischen Vergleich im Detail.

Was bedeutet das für US-Dienste in WordPress. Google Fonts, Cloudflare, Plugin-Server?

Eine typische WordPress-Arztpraxis-Website überträgt Daten an US-Dienste: Google Fonts (wenn nicht lokal gehostet), CDN-Provider wie Cloudflare, Cookie-Tools, Plugin-Update-Server. Post-Schrems II reichen EU-Standardvertragsklauseln allein nicht mehr. Für Arztpraxen mit Art.-9-Daten ein zusätzliches Compliance-Risiko.

Das Schrems-II-Urteil des Europäischen Gerichtshofs hat die Anforderungen für Datentransfers in die USA verschärft. Standardvertragsklauseln (SCCs) alleine reichen nicht mehr aus. Die Übertragung muss durch zusätzliche technische Maßnahmen abgesichert werden.

Das Problem bei WordPress: Die meisten Plugin-Anbieter, CDN-Dienste und Infrastruktur-Tools haben Verbindungen zu US-Servern. Google Fonts lädt Schriften von Google-Servern, wenn nicht manuell lokal gehostet. Cloudflare betreibt globale Server, auch in den USA. Cookie-Consent-Tools wie CookieBot oder Usercentrics übertragen Einwilligungsdaten in die Cloud.

Für normale Websites ist das ein Compliance-Aufwand. Für Arztpraxen mit Art.-9-Daten ist es ein zusätzliches Risiko, das separat adressiert werden muss, mit eigenem Datenschutzeintrag, eigenem AVV, eigener Schrems-II-Risikoabwägung für jeden einzelnen Dienst.

Bei Static Sites ist dieses Problem strukturell leichter lösbar. Es gibt kein Plugin-Ecosystem mit unkontrollierten Drittanbieter-Verbindungen. Jede externe Einbindung ist eine bewusste Entscheidung, nicht eine unbemerkte Plugin-Abhängigkeit.

Was Arztpraxen jetzt konkret tun sollten

Arztpraxen mit WordPress-Website sollten jetzt prüfen: Welche Plugins verarbeiten Daten? Liegen AVVs vor? Ist das Kontaktformular Art.-9-konform? Für neue Websites empfiehlt huchel. eine Static-Site-Architektur, keine Datenbank, keine Angriffsfläche, DSGVO-konform von Grund auf.

Wer eine bestehende WordPress-Website hat, muss zunächst den Status quo kennen. Diese Checkliste gibt Orientierung:

• SSL/TLS aktiv und korrekt konfiguriert?: Nicht nur vorhanden, sondern aktuell (TLS 1.2 minimum, TLS 1.3 empfohlen)
• AVV mit allen Plugin-Anbietern, die Daten verarbeiten?: Kontaktformular, Buchungsplugin, Analytics, Cookie-Tool
• Datenschutzerklärung deckt Art. 9 DSGVO ab?: Explizit Gesundheitsdaten nennen, wenn Formulare Symptome entgegennehmen können
• WordPress Core, alle Plugins, Themes aktuell?: Nicht „irgendwann", sondern innerhalb von Stunden nach Update-Veröffentlichung
• Kein US-Datentransfer ohne Schrems-II-konforme Grundlage?: Google Fonts, CDN, Analytics prüfen
• KBV IT-Sicherheitsrichtlinie umgesetzt?: Seit Oktober 2025 verpflichtend, Sanktionen bis 100.000 €

Die ehrliche Einschätzung: Wer all das konsequent umsetzt, betreibt keinen normalen Praxisalltag mehr nebenbei. Das ist ein Vollzeit-IT-Sicherheitsjob.

Die Alternative: Eine Website, bei der diese Probleme strukturell gar nicht entstehen. Keine Datenbank, keine Plugins zur Laufzeit, kein PHP-Stack. Patientendaten über eine externe, zertifizierte Lösung, getrennt von der Website-Infrastruktur.

huchel. baut Praxis-Websites mit Astro oder Next.js. Custom Code. Keine Templates. Kein WordPress-Overhead. Für Kontaktformulare und Terminbuchung binden wir zertifizierte, AVV-konforme Lösungen ein, ohne dass diese Daten jemals Ihre Website-Infrastruktur berühren.

Mehr zu unseren Webdesign-Leistungen für Arztpraxen.

Kostenlose Website-Analyse für Ihre Praxis → Wir prüfen Ihre aktuelle Praxis-Website auf WordPress-Risiken, DSGVO-Schwachstellen und Patientendaten-Probleme. Kostenlos, ohne Verkaufsgespräch. Jetzt anfragen

Das Wichtigste in Kürze (Zusammenfassung)

Fazit

WordPress ist für Arztpraxen kein reines IT-Thema. Sobald ein Kontaktformular Symptome oder Beschwerden entgegennimmt, verarbeitet die Website Gesundheitsdaten nach Art. 9 DSGVO. Das aktiviert die höchsten Schutzpflichten und den maximalen Bußgeldrahmen bis 20 Millionen Euro. Mit 11.334 neuen Sicherheitslücken allein 2025 und Exploits innerhalb von 5 Stunden nach Veröffentlichung ist das Risiko für Praxen mit WordPress real. Wer die Compliance-Anforderungen ernst nimmt, steht vor einem Aufwand, der im Praxisalltag kaum leistbar ist. Static Sites ohne Datenbank, ohne Plugins zur Laufzeit und ohne PHP-Stack beseitigen diese Risiken strukturell, weil Patientendaten die Website-Infrastruktur gar nicht erst berühren.

Häufig gestellte Fragen (FAQ)

Darf ich als Arztpraxis WordPress überhaupt verwenden?

WordPress ist nicht grundsätzlich verboten. Aber die Anforderungen durch Art. 9 DSGVO und die KBV IT-Sicherheitsrichtlinie sind hoch. Standard-WordPress-Installationen erfüllen sie nicht. Wer es nutzt, trägt die volle Compliance-Verantwortung, und muss erheblichen Aufwand betreiben.

Was ist Art. 9 DSGVO und warum betrifft er meine Website?

Art. 9 DSGVO schützt besondere Datenkategorien, darunter Gesundheitsdaten. Sobald Ihr Kontaktformular Symptome oder Beschwerden entgegennimmt, verarbeitet Ihre Website Gesundheitsdaten. Das aktiviert die höchsten DSGVO-Schutzpflichten und den maximalen Bußgeldrahmen.

Was bedeutet die 72-Stunden-Meldepflicht für Arztpraxen konkret?

Nach Art. 33 DSGVO müssen Sie eine Datenpanne binnen 72 Stunden der zuständigen Aufsichtsbehörde melden. Bei Patientendaten gilt das Risiko laut deutschen Behörden als „regelmäßig anzunehmen", keine Abwägung, keine Ausnahme. Die Frist beginnt, sobald Sie von der Panne wissen.

Wie hoch sind die Bußgelder bei einer DSGVO-Verletzung in der Arztpraxis?

Bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes nach Art. 83 DSGVO. Reale Fälle im Gesundheitssektor: 3.300 € bis 50.000 €. Zusätzlich drohen KBV-Sanktionen bis 100.000 € bei Verletzung der IT-Sicherheitsrichtlinie (seit Oktober 2025 verpflichtend).

Warum ist mein Terminbuchungs-Plugin ein DSGVO-Problem?

Standard-Booking-Plugins speichern Buchungsdaten in der WordPress-Datenbank, derselben, die bei einem Hack offenliegt. Außerdem brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit jedem Plugin-Anbieter. Den schließen die wenigsten Praxen aktiv ab.

Was ist eine Static Website und warum ist sie sicherer für Arztpraxen?

Eine Static Site (Astro, Next.js) hat keine Datenbank und keine serverseitige Laufzeitlogik. Patientendaten können strukturell nicht in der Website-Infrastruktur landen. Ohne Datenbank kein SQL Injection. Ohne Plugin-Ecosystem keine 11.334 potenziellen Lücken pro Jahr.

Was sagt das BSI zu WordPress in professionellen Umgebungen?

Das BSI hat im Dezember 2025 aktive Sicherheitshinweise zu bekannten WordPress-Schwachstellen veröffentlicht. Die Behörde stellt fest: Nur konsequentes Systemmanagement und umsichtiger Plugin-Einsatz können Risiken minimieren. Eine Standardinstallation reicht nicht, für eine Arztpraxis im täglichen Betrieb kaum leistbar.

Kann ich meine WordPress-Website einfach absichern statt sie zu ersetzen?

Grundsätzlich ja, mit konsequentem Update-Management, sicherem Hosting, minimiertem Plugin-Einsatz, AVVs und Art.-9-konformen Formularlösungen. Der strukturelle Nachteil bleibt: Dynamisches CMS plus Datenbank bleibt angreifbarer als eine Static Site ohne diese Komponenten.

Über den Autor

Sven Huchel, Geschäftsführer & Creative Director, huchel. medienagentur GmbH

Sven Huchel ist Geschäftsführer und Creative Director der huchel. medienagentur GmbH. Seit 2005 entwickelt er Websites, Brandings und digitale Strategien für Unternehmen im deutschsprachigen Raum. TÜV-zertifiziert für Verkaufspsychologie. Spezialisiert auf verkaufspsychologisch optimierte Websites für Ärzte, Anwälte und Unternehmer. 95 % seiner Kunden bleiben langfristig, nicht weil sie müssen, sondern weil es funktioniert.

• E-Mail: info@huchel-medienagentur.de
• Website: https://huchel-medienagentur.de

Quellen & weiterführende Informationen

Recht & Behörden

1. Art. 9 DSGVO (Volltext): dsgvo-gesetz.de/art-9-dsgvo/
2. Art. 33 DSGVO (72h-Meldepflicht): dsgvo-gesetz.de/art-33-dsgvo/
3. Wann müssen Ärzte eine Datenpanne melden? datenschutzundgesundheit.de
4. KBV IT-Sicherheitsrichtlinie 2025: kbv.de
5. Datenschutz-Anforderungen Webformulare Arztpraxis: dr-dsgvo.de
6. DSGVO-Bußgelder im Gesundheitssektor: anwalt.de
7. Datenschutz Terminbuchung für Heilberufe: dataandlaw.com

WordPress-Sicherheitsstatistiken (Stand 2025/2026)

1. Patchstack. State of WordPress Security 2025: patchstack.com
2. ALM Corp. WordPress Exploit-Speed 2025: almcorp.com
3. Sucuri. Hacked Website Threat Report 2024: sucuri.net
4. BSI-Sicherheitshinweis WordPress, Dezember 2025: news.de

Static Sites & Alternativen

1. Astro. Warum Static Sites?: docs.astro.build
2. CloudCannon. Static Site Generators 2025: cloudcannon.com

Weiterführende Artikel

WordPress schadet Ihrer Arztpraxis. Hier ist warum.

11 Min. Lesezeit

DSGVO und Patientendaten: Was auf Ihrer Praxis-Website erlaubt ist

9 Min. Lesezeit

Patientendaten auf der Website schützen

9 Min. Lesezeit

Weitere Beiträge

8 Gesetze, 1 Website: Was Ihre Arztpraxis-Website rechtli...

12 Min. Lesezeit

Praxis-Website oder Jameda: Was Ärzte wirklich brauchen

12 Min. Lesezeit

Wie finden Patienten Ihre Arztpraxis im Internet?

13 Min. Lesezeit