Alle Artikel

11. Juni 2026KundenLoop Team

DSGVO bei ästhetischen Kliniken 2026: Was bei Patientendaten wirklich gilt

DSGVO bei ästhetischen Kliniken 2026: Was bei Patientendaten wirklich gilt

Hinweis: Dieser Artikel gibt einen allgemeinen Überblick über DSGVO-Anforderungen für ästhetische Kliniken und Kosmetikstudios. Er ersetzt keine individuelle Rechtsberatung. Bei konkreten Datenschutzfragen empfehlen wir, einen Datenschutzbeauftragten oder Rechtsanwalt hinzuzuziehen.

Ästhetische Kliniken und Kosmetikstudios verarbeiten täglich sensible Daten: Namen, Kontaktdaten, Termine, Behandlungsverläufe, Fotos, Zahlungsinformationen – und bei medizinischen Leistungen auch Gesundheitsdaten im Rechtssinne. Das macht Datenschutz zu einem Pflichtthema das viele Praxen unterschätzen.

Dieser Artikel erklärt, was die DSGVO für ästhetische Kliniken und Kosmetikstudios konkret bedeutet, welche Pflichten bestehen und welche Fehler in der Praxis am häufigsten gemacht werden.

Warum ästhetische Kliniken besonders sensibel sind

Nicht alle Betriebe sind datenschutzrechtlich gleich. Ästhetische Kliniken haben eine besondere Stellung – weil sie häufig Gesundheitsdaten im Rechtssinne verarbeiten.

Artikel 9 DSGVO definiert Gesundheitsdaten als „besondere Kategorien personenbezogener Daten" die dem höchsten Schutzniveau unterliegen. Grundsätzlich ist ihre Verarbeitung verboten – mit eng gefassten Ausnahmen.

Was gilt als Gesundheitsdatum in einer ästhetischen Klinik? Informationen über Botox-Injektionen, Filler-Behandlungen, Laserbehandlungen, Hautdiagnosen, Kontraindikationen und Medikamente sind Gesundheitsdaten. Auch Vorher-Nachher-Fotos können Gesundheitsdaten sein wenn sie Rückschlüsse auf Gesundheitszustand oder Behandlung ermöglichen.

Für rein kosmetische Studios ohne ärztliche Leistungen ist die Lage etwas anders: Normale Kundendaten wie Name, Termin und Behandlungsart sind reguläre personenbezogene Daten – streng geschützt, aber nicht auf dem Niveau von Gesundheitsdaten. Sobald jedoch Informationen über Hautprobleme, Allergien oder medizinisch relevante Kontraindikationen erfasst werden, können auch diese zur besonders schützenswerten Kategorie werden.

Die wichtigsten DSGVO-Pflichten im Überblick

1. Rechtsgrundlage für jede Datenverarbeitung

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Für ästhetische Kliniken sind die relevantesten:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Daten die für die Behandlung und Abrechnung notwendig sind, können auf dieser Grundlage verarbeitet werden.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Für Datenverarbeitung die über die Vertragserfüllung hinausgeht – Newsletter, Marketing, Treueprogramme.
  • Gesundheitsdaten (Art. 9 Abs. 2 lit. h DSGVO): Verarbeitung für Zwecke der medizinischen Behandlung, Diagnostik und Versorgung.

Die Einwilligung muss freiwillig, informiert und unmissverständlich sein. Sie darf nicht mit der Inanspruchnahme der Behandlung verknüpft werden – wer keine Einwilligung für den Newsletter gibt, darf deshalb nicht schlechter behandelt werden.

2. Datenschutzinformation (Datenschutzerklärung)

Bei der ersten Datenerhebung müssen Patientinnen informiert werden – was gesammelt wird, warum, wie lange, an wen weitergegeben, welche Rechte sie haben. Diese Information muss verständlich, vollständig und zugänglich sein.

Wo sie vorhanden sein muss: auf der Website, in der App, beim Erstkontakt im Studio, in der Patientenakte. Fehlende oder veraltete Datenschutzerklärungen sind einer der häufigsten Abmahnungsgründe.

3. Auftragsverarbeitungsvertrag (AVV)

Wer Software-Tools oder externe Dienstleister nutzt die Patientendaten verarbeiten, muss mit diesen Anbietern einen Auftragsverarbeitungsvertrag abschließen. Das gilt für Buchungssysteme, Patienten-Apps, E-Mail-Marketing-Tools, Cloud-Dienste, Abrechnungssoftware und Zahlungsdienstleister.

Ohne AVV verstößt die Klinik gegen Art. 28 DSGVO – selbst wenn der Anbieter technisch alles richtig macht. Der AVV muss vor der Datenverarbeitung abgeschlossen sein.

KundenLoop schließt mit allen Kliniken und Studios vor Go-Live einen AVV ab. Serverstandort Deutschland (Nürnberg), DSGVO-konforme Datenverarbeitung.

4. Technische und organisatorische Maßnahmen (TOMs)

Art. 32 DSGVO verpflichtet zur Umsetzung technischer und organisatorischer Maßnahmen die dem Risiko angemessen sind. Für ästhetische Kliniken bedeutet das konkret:

  • Passwortschutz und Zugriffsberechtigungen für alle Systeme mit Patientendaten
  • Verschlüsselung von gespeicherten und übertragenen Daten
  • Bildschirmschoner mit Passwortschutz an Empfangsgeräten
  • Abgeschlossene Bereiche für physische Patientenakten
  • Regelmäßige Datensicherungen
  • Dokumentation wer wann auf welche Daten zugegriffen hat
  • Schulung aller Mitarbeitenden im Datenschutz

5. Datenschutzbeauftragter

In Deutschland besteht eine Pflicht zur Bestellung eines Datenschutzbeauftragten wenn mehr als 20 Personen ständig mit personenbezogenen Daten arbeiten. Für die meisten kleineren Kliniken und Studios ist das keine unmittelbare Pflicht – aber für mittelgroße Kliniken mit mehreren Mitarbeitenden kann diese Grenze schnell erreicht sein. Ein externer Datenschutzbeauftragter ist zulässig und oft die praktischere Lösung.

6. Verarbeitungsverzeichnis

Alle Verarbeitungstätigkeiten müssen in einem internen Verzeichnis dokumentiert werden – was wird verarbeitet, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange, an wen weitergegeben. Dieses Verzeichnis muss der Aufsichtsbehörde auf Anfrage vorgelegt werden können.

7. Speicherbegrenzung und Löschkonzept

Die DSGVO verlangt ausdrücklich eine Speicherbegrenzung: Daten dürfen nicht länger aufbewahrt werden als für den Zweck notwendig. Ärztliche Behandlungsunterlagen müssen in Deutschland mindestens 10 Jahre aufbewahrt werden. Für rein kosmetische Leistungen gilt keine gesetzliche Mindestaufbewahrungsfrist – aber ein dokumentiertes Löschkonzept ist erforderlich.

Häufige Fehler in der Praxis

Fehler 1: Kein AVV mit der Buchungssoftware

Das ist der häufigste und gleichzeitig schwerwiegendste Fehler. Viele Kliniken nutzen Buchungssysteme, Apps oder Cloud-Dienste ohne zu prüfen ob ein AVV abgeschlossen wurde. Der Anbieter muss einen AVV anbieten – und die Klinik muss ihn abschließen und aufbewahren.

Fehler 2: Veraltete oder fehlende Datenschutzerklärung

Eine Website ohne aktuelle Datenschutzerklärung ist ein direkter Abmahnungsgrund. Die Erklärung muss vollständig sein, alle eingesetzten Tools aufführen und regelmäßig aktualisiert werden wenn sich die Datenverarbeitung ändert.

Fehler 3: Fotos ohne ausdrückliche Einwilligung veröffentlichen

Vorher-Nachher-Fotos von Patientinnen auf Instagram oder der Website ohne ausdrückliche, schriftliche und widerrufbare Einwilligung zu veröffentlichen ist ein erheblicher DSGVO-Verstoß. Die Einwilligung muss spezifisch für den Verwendungszweck erteilt werden und darf nicht pauschal im allgemeinen Behandlungsvertrag versteckt sein.

Fehler 4: Daten an Dritte weitergeben ohne Rechtsgrundlage

Patientendaten an externe Dienstleister – Abrechnungsunternehmen, Marketing-Agenturen, Labordienstleister – ohne AVV oder ausdrückliche Einwilligung weiterzugeben, verstößt gegen die DSGVO. Jede Weitergabe braucht eine Grundlage.

Fehler 5: Buchungsportale ohne Prüfung nutzen

Wenn eine Klinik über ein Buchungsportal Patientendaten verarbeiten lässt, ist das Portal ein Auftragsverarbeiter. Ein AVV mit dem Portal ist Pflicht. Außerdem muss geprüft werden ob das Portal Daten in Drittländer überträgt – was besondere Anforderungen auslöst.

Fehler 6: Mitarbeitende nicht schulen

Datenschutz ist nicht nur eine technische oder rechtliche Frage – er entscheidet sich im Alltag. Mitarbeitende die Patientenakten offen liegen lassen, Passwörter teilen oder Patientendaten in privaten WhatsApp-Gruppen besprechen, erzeugen reale Datenschutzverletzungen. Regelmäßige Schulungen sind Pflicht und müssen dokumentiert werden.

Datenschutz bei Patienten-Apps: Was besonders gilt

Wer eine eigene App für Patientinnen einsetzt, verarbeitet besonders sensible Daten direkt auf dem Gerät der Patientin. Das löst spezifische Anforderungen aus:

  • Der App-Anbieter muss ein AVV-Angebot haben und dieses muss abgeschlossen werden
  • Patientinnen müssen bei der App-Registrierung vollständig über die Datenverarbeitung informiert werden
  • Einwilligungen für Push-Nachrichten und Marketing müssen separat und freiwillig erteilt werden
  • Der Serverstandort des Anbieters ist relevant – Serverstandort Deutschland oder EU vermeidet Drittland-Problematik
  • Daten in der App müssen technisch geschützt sein – Verschlüsselung, sichere Übertragung

KundenLoop hat alle diese Anforderungen berücksichtigt: Serverstandort Nürnberg, AVV wird vor Go-Live abgeschlossen, Einwilligungen werden beim ersten App-Login eingeholt, alle Übertragungen sind verschlüsselt.

Rechte der Patientinnen die du kennen musst

Patientinnen haben unter der DSGVO konkrete Rechte die du als Klinik erfüllen musst:

  • Auskunftsrecht (Art. 15): Jede Patientin hat das Recht zu erfahren welche Daten über sie gespeichert sind. Anfragen müssen innerhalb von einem Monat beantwortet werden.
  • Berichtigungsrecht (Art. 16): Falsche Daten müssen auf Anfrage korrigiert werden.
  • Löschungsrecht (Art. 17): Daten müssen gelöscht werden wenn sie nicht mehr benötigt werden oder die Einwilligung widerrufen wurde – soweit keine Aufbewahrungspflichten entgegenstehen.
  • Widerspruchsrecht (Art. 21): Gegen Verarbeitungen auf Basis berechtigter Interessen kann widersprochen werden.
  • Recht auf Datenübertragbarkeit (Art. 20): Daten müssen in einem maschinenlesbaren Format herausgegeben werden können.

Diese Anfragen müssen intern schnell bearbeitbar sein. Wer keine Prozesse dafür hat, riskiert Fristversäumnisse die selbst wieder DSGVO-Verstöße darstellen.

Was bei Datenpannen zu tun ist

Wenn Patientendaten unbefugt zugänglich werden – durch Hackerangriff, versehentliche Weitergabe, verlorenes Gerät – greift eine 72-Stunden-Meldepflicht: Der Vorfall muss innerhalb von 72 Stunden der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden. Bei hohem Risiko für die Betroffenen müssen auch die Patientinnen informiert werden.

Das setzt voraus, dass Kliniken Datenpannen überhaupt erkennen – was wiederum technische Überwachungsmaßnahmen und klare interne Prozesse voraussetzt.

Zusammenfassung: Was du jetzt prüfen solltest

Datenschutz in ästhetischen Kliniken und Kosmetikstudios ist kein Bürokratiethema – es ist Vertrauensschutz. Patientinnen vertrauen dir mit sensiblen Informationen über ihren Körper. Der rechtlich korrekte Umgang damit ist die Grundlage dieser Beziehung.

Checkliste für die sofortige Prüfung:

  • Ist eine aktuelle Datenschutzerklärung auf der Website vorhanden?
  • Wurden AVVs mit allen Software-Anbietern und externen Dienstleistern abgeschlossen?
  • Gibt es ein dokumentiertes Verarbeitungsverzeichnis?
  • Sind Einwilligungen für Marketing und Fotos getrennt und schriftlich eingeholt?
  • Sind Mitarbeitende geschult und wurden Schulungen dokumentiert?
  • Gibt es ein Löschkonzept für nicht mehr benötigte Daten?
  • Gibt es einen Prozess für Patientenanfragen nach Auskunft oder Löschung?
  • Ist bekannt wie bei Datenpannen vorzugehen ist?

Wer diese Punkte nicht mit Ja beantworten kann, sollte einen Datenschutzbeauftragten oder Fachanwalt für Datenschutzrecht hinzuziehen.

Häufige Fragen zur DSGVO in ästhetischen Kliniken

Gilt die DSGVO auch für kleine Kosmetikstudios?

Ja. Die DSGVO gilt für alle Betriebe die personenbezogene Daten verarbeiten – ohne Ausnahme für Kleinbetriebe.

Sind ästhetische Behandlungsdaten Gesundheitsdaten?

Ja. Informationen über Botox, Filler, Laserbehandlungen und Hautdiagnosen gelten als Gesundheitsdaten nach Art. 9 DSGVO und unterliegen dem höchsten Schutzniveau.

Brauche ich einen AVV mit meiner Buchungssoftware?

Ja. Wenn die Software Patientendaten verarbeitet, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO Pflicht – vor Beginn der Datenverarbeitung.

Wie lange muss ich Patientendaten aufbewahren?

Ärztliche Behandlungsunterlagen mindestens 10 Jahre. Für rein kosmetische Daten gilt keine gesetzliche Mindestfrist, aber ein dokumentiertes Löschkonzept ist erforderlich.

Darf ich Vorher-Nachher-Fotos veröffentlichen?

Nur mit ausdrücklicher, schriftlicher und widerrufbarer Einwilligung der Patientin – die nicht mit der Behandlung verknüpft sein darf.

Was kostet ein DSGVO-Verstoß?

Bußgelder bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes. In der Praxis verhängen deutsche Behörden für kleine Betriebe bei schwerwiegenden Verstößen Bußgelder im fünf- bis sechsstelligen Bereich.