ScanCompliance.de
AnmeldenKostenlos prüfen
BlogSicherheit

Ist ein SSL-Zertifikat Pflicht? HTTPS-Anforderungen 2026

4 Min. Lesezeit
ScanCompliance SSL-Check-Tool prüft HTTPS-Verschlüsselung und Zertifikatsgültigkeit einer Website

HTTPS ist heute Standard – doch ist ein SSL-Zertifikat tatsächlich gesetzlich vorgeschrieben? Die kurze Antwort: Ja, in den meisten Fällen. Die lange Antwort erfordert einen Blick auf DSGVO, TDDDG und die Konsequenzen bei Verstößen.

Gesetzliche Grundlagen

DSGVO: Art. 32 – Technische Maßnahmen

Art. 32 DSGVO verpflichtet Verantwortliche, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen. Die Verschlüsselung der Datenübertragung wird ausdrücklich als Beispiel genannt. Sobald Ihre Website personenbezogene Daten erhebt – und das tut praktisch jede Website mit Kontaktformular, Newsletter-Anmeldung oder Login – ist HTTPS quasi Pflicht.

TDDDG: § 19 – Technische Schutzmaßnahmen

Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) verlangt in § 19, dass Anbieter digitaler Dienste durch technische und organisatorische Vorkehrungen sicherstellen, dass die genutzten technischen Einrichtungen gegen Verletzungen des Schutzes personenbezogener Daten gesichert sind. HTTPS-Verschlüsselung ist dabei der Mindeststandard.

Welche Websites brauchen HTTPS?

  • !Online-Shops – Zahlungsdaten und Kundendaten erfordern zwingend Verschlüsselung.
  • !Websites mit Kontaktformularen – Schon Name und E-Mail sind personenbezogene Daten.
  • !Websites mit Login-Bereich – Passwörter dürfen nie unverschlüsselt übertragen werden.
  • !Websites mit Analytics/Tracking – Auch IP-Adressen sind personenbezogene Daten.

Rein statische Websites ohne jegliche Datenerhebung (kein Formular, kein Analytics, keine Cookies) fallen theoretisch nicht unter die HTTPS-Pflicht. In der Praxis ist das aber kaum relevant, da selbst ein einfaches Kontaktformular ausreicht. Zudem bewerten Suchmaschienen HTTPS als Ranking-Faktor.

Kostenlose SSL-Zertifikate mit Let's Encrypt

Seit Let's Encrypt gibt es keine finanzielle Hürde mehr für HTTPS. Die gemeinnützige Zertifizierungsstelle stellt kostenlose SSL-Zertifikate aus, die von allen gängigen Browsern akzeptiert werden. Die meisten Hosting-Anbieter bieten eine automatische Einrichtung an.

Für höhere Sicherheitsanforderungen (z.B. bei Banken oder Versicherungen) können Extended Validation (EV)-Zertifikate sinnvoll sein, die eine umfangreichere Identitätsprüfung erfordern. Für die meisten Websites reicht ein Domain-Validated (DV)-Zertifikat von Let's Encrypt aber vollkommen aus.

Häufige SSL-Probleme

  • 1Mixed Content – HTTPS-Seite lädt Ressourcen (Bilder, Scripts) über HTTP. Browser blockieren dies teilweise.
  • 2Abgelaufenes Zertifikat – Let's Encrypt-Zertifikate sind 90 Tage gültig und müssen rechtzeitig erneuert werden.
  • 3Fehlende HTTP-zu-HTTPS-Weiterleitung – Ohne Redirect ist die Website weiterhin über HTTP erreichbar.

SSL-Status Ihrer Website prüfen

Mit ScanCompliance.de können Sie den SSL-Status Ihrer Website automatisch prüfen: Ist HTTPS aktiv, ist das Zertifikat gültig, gibt es Mixed-Content-Probleme, und funktioniert die Weiterleitung von HTTP auf HTTPS korrekt?

SSL-Check: Ist Ihre Website sicher?

Kostenloser Check: HTTPS-Status, Zertifikat und Mixed Content auf einen Blick.

Kostenlosen Scan starten

Weitere Artikel

20. Januar 2026

Newsletter und DSGVO: Double-Opt-In richtig implementieren

Weiterlesen
28. Februar 2026

Kontaktformular und DSGVO: So setzen Sie es richtig um

Weiterlesen

DSGVO-Radar Newsletter

Monatliche Updates zu regulatorischen Änderungen, neue Prüfpunkte und Scan-Statistiken. Kostenlos und jederzeit abbestellbar.

Kein Spam. Max. 1× monatlich.