DSGVO-Wissen · https pflicht website
HTTPS-Pflicht — warum unverschluesselte Websites 2026 nicht mehr akzeptabel sind
Auch wenn die DSGVO keine ausdrueckliche HTTPS-Pflicht kennt — faktisch ist sie es. Wer 2026 noch unverschluesselt unterwegs ist, riskiert Bussgelder, Abmahnungen und Vertrauensverlust. Was zu tun ist.
Was sagt die DSGVO?
DSGVO Art. 32 verlangt "angemessene technische Massnahmen, um ein dem Risiko entsprechendes Schutzniveau zu gewaehrleisten." Bei einer Website mit Kontaktformular, das personenbezogene Daten (Name, E-Mail, Telefon) verarbeitet, ist unverschluesselte Uebertragung kein angemessenes Schutzniveau mehr — alle Aufsichtsbehoerden sind sich einig.
DSGVO Art. 32 Abs. 1 lit. a) · konkretisiert durch DSK-Beschluss vom 27.04.2018.
Welche konkreten Risiken gibt es ohne HTTPS?
- Bussgeld der Datenschutz-Aufsichtsbehoerde: theoretisch bis 10 Mio. Euro (Art. 83 Abs. 4 DSGVO). In der Praxis bei kleinen Webseiten: 1.000-5.000 Euro.
- Wettbewerbsrechtliche Abmahnung: Konkurrenten oder Verbraucherschutz-Verbaende koennen wegen Verstoss gegen DSGVO als Marktverhaltensregel abmahnen.
- Browser-Warnung: Chrome, Firefox, Safari zeigen "Nicht sicher" in der Adressleiste. Conversion-Rate sinkt um bis zu 30%.
- SEO-Penalty: Google rankt HTTPS-Seiten besser. Ohne HTTPS sind Sie in den lokalen Suchergebnissen weiter unten.
Wie richten Sie HTTPS kostenlos ein?
Variante A: ueber den Hosting-Anbieter
Die meisten Hoster bieten "Let's Encrypt"-Zertifikate kostenlos im Kundenmenu an — mit einem Klick aktivierbar. Anbieter:
- All-Inkl — im KAS unter "Domains" / "SSL-Zertifikate"
- IONOS / 1&1 — "Domains & SSL" / "SSL-Zertifikat aktivieren"
- Hosteurope, Strato, Hetzner — analog
Variante B: Cloudflare als Proxy (auch ohne Hosting-Wechsel)
Auch wenn Ihr Hoster kein SSL bietet, koennen Sie Cloudflare kostenlos vorschalten:
- Account auf cloudflare.com erstellen.
- Domain hinzufuegen.
- Die genannten Nameserver bei Ihrem Domain-Registrar eintragen.
- SSL-Modus auf "Flexible" oder besser "Full" stellen.
Cloudflare liefert dann automatisch ueber HTTPS aus und holt vom Hoster.
Pflicht-Schritte nach der Umstellung
- HTTP → HTTPS Redirect einrichten (in .htaccess oder Server-Config).
- Mixed Content fixen: alle internen Links und Embeds auf https://. umstellen.
- HSTS-Header setzen, damit Browser HTTPS erzwingt:
Strict-Transport-Security: max-age=31536000. - Sitemap + Google Search Console aktualisieren (neue URL = neue Property).
Pragma-Hinweis
Falls Sie keinen Zugang zu Ihrem Hoster haben und niemand reagiert: Cloudflare-Variante (oben) ist in 20 Minuten erledigt und kostet nichts.
Laedt Ihre Seite ueber HTTP?
Unser Check sagt es Ihnen — und ob es weitere DSGVO-Verstoesse gibt.
Jetzt pruefen