Zum Inhalt springen
konfora
Ratgeber · Sicherheit

SSL/TLS & HTTPS: Warum Verschlüsselung Pflicht ist

Das Schloss-Symbol in der Adressleiste steht für eine verschlüsselte Verbindung — und die ist heute nicht mehr Kür, sondern faktisch Pflicht. Hier liest du, was SSL/TLS und HTTPS leisten, warum die DSGVO Verschlüsselung verlangt und woran es in der Praxis häufig hakt.

Lesezeit ca. 6 MinutenStand: Juni 2026

Früher war eine unverschlüsselte http://-Adresse Normalität, heute markieren Browser sie als „nicht sicher". Dazwischen liegt eine Entwicklung, die Transportverschlüsselung vom Sonderfall zum erwarteten Standard gemacht hat. Dieser Beitrag ordnet neutral ein, was hinter SSL/TLS und HTTPS steckt, warum eine verschlüsselte Übertragung datenschutzrechtlich kaum noch verzichtbar ist — und welche technischen Stolpersteine du dabei kennen solltest.

Hinweis: Dieser Artikel ist eine technische Einordnung und ersetzt keine Rechtsberatung. Im Zweifel ziehst du am besten deine Datenschutzbeauftragte oder einen Fachanwalt hinzu.

Was sind SSL/TLS und HTTPS?

HTTPS ist die verschlüsselte Variante des Protokolls, über das dein Browser Webseiten lädt. Das „S" am Ende steht für „Secure" und wird durch TLS (Transport Layer Security) bereitgestellt — den Nachfolger des älteren SSL (Secure Sockets Layer). Auch wenn umgangssprachlich noch oft von einem „SSL-Zertifikat" die Rede ist, kommt heute in der Praxis durchgängig TLS zum Einsatz; SSL selbst gilt als veraltet und unsicher.

Technisch sorgt TLS für zwei Dinge. Erstens für eine verschlüsselte Übertragung: Was zwischen dem Browser deiner Besucher und deinem Server hin- und hergeht, kann auf dem Weg nicht einfach mitgelesen oder unbemerkt verändert werden. Zweitens für Authentizität: Das Zertifikat bestätigt, dass die Gegenstelle tatsächlich zu der aufgerufenen Domain gehört, und erschwert es, sich dazwischenzuschalten.

Was ein Zertifikat leistet — und welche Arten es gibt

Ein TLS-Zertifikat wird von einer Zertifizierungsstelle (CA) ausgestellt und an deine Domain gebunden. Grob unterscheidet man drei Prüftiefen:

  • DV (Domain Validation): Geprüft wird nur, dass du Kontrolle über die Domain hast. Schnell, automatisierbar und für die meisten Websites ausreichend.
  • OV (Organization Validation): Zusätzlich wird die dahinterstehende Organisation überprüft.
  • EV (Extended Validation): Die umfangreichste Prüfung der Organisation; in der Praxis vor allem bei größeren oder besonders sensiblen Auftritten.

Wichtig: Für die Verschlüsselung selbst macht die Validierungsstufe keinen Unterschied — sie betrifft die Identitätsprüfung, nicht die Stärke der Verbindung. Über Dienste wie Let's Encrypt bekommst du heute kostenlose, automatisch ausgestellte und erneuerte DV-Zertifikate. Eine fehlende Verschlüsselung lässt sich also in aller Regel ohne Kosten und mit überschaubarem Aufwand beheben.

Warum Verschlüsselung faktisch Pflicht ist

Der zentrale rechtliche Bezugspunkt ist Art. 32 DSGVO. Er verlangt technische und organisatorische Maßnahmen, die dem Stand der Technik entsprechen und ein dem Risiko angemessenes Schutzniveau gewährleisten. Spätestens dort, wo personenbezogene Daten übertragen werden — etwa über ein Kontakt-, Login- oder Bestellformular — gehört Transportverschlüsselung heute zum anerkannten Standard. Eine Übertragung solcher Daten über eine unverschlüsselte Verbindung lässt sich kaum noch als „dem Stand der Technik entsprechend" begründen.

Hinzu kommt das Telemedienrecht: § 19 TDDDG verpflichtet Anbieter von Telemediendiensten, im Rahmen des Zumutbaren ein anerkanntes Verschlüsselungsverfahren bereitzustellen, um etwa Nutzungsdaten zu schützen. Auch das spricht für HTTPS als Grundausstattung jeder Website.

Neben der rechtlichen Seite gibt es zwei sehr praktische Gründe: Moderne Browser warnen bei unverschlüsselten Seiten sichtbar mit einem „Nicht sicher"-Hinweis, was Vertrauen und Conversion kostet. Und HTTPS ist ein bekannter SEO- bzw. Ranking-Faktor — Suchmaschinen bevorzugen verschlüsselte Seiten seit Jahren offen.

Technische Stolpersteine

Ein Zertifikat zu installieren ist der erste Schritt — sauber ausgeliefert ist eine Seite damit aber noch nicht. Diese Punkte werden in der Praxis häufig übersehen:

  • Vollständige Weiterleitung von HTTP auf HTTPS: Wer die Seite über http:// aufruft, sollte automatisch und dauerhaft auf die https://-Variante umgeleitet werden — sonst bleibt die unverschlüsselte Version weiter erreichbar.
  • HSTS: Mit dem HTTP-Strict-Transport-Security- Header weist du den Browser an, deine Domain künftig nur noch über HTTPS aufzurufen. Das schließt die kurze Lücke, die selbst bei einer Weiterleitung beim allerersten Aufruf bestehen kann.
  • Mixed Content vermeiden: Lädt eine HTTPS-Seite einzelne Ressourcen (Bilder, Skripte, Schriften) weiterhin über http:// nach, ist die Seite nicht vollständig verschlüsselt. Browser blockieren solche Inhalte teilweise oder warnen — und das Schloss-Symbol kann ausbleiben.
  • Veraltete Protokolle abschalten: SSLv3 sowie TLS 1.0 und 1.1 gelten als unsicher und sollten deaktiviert sein. Aktuell sind TLS 1.2 und 1.3.
  • Gültigkeit & Passung: Das Zertifikat darf nicht ablaufen (automatische Erneuerung hilft) und muss zur aufgerufenen Domain passen — inklusive www. bzw. der Variante ohne www.

HTTPS ist eine Grundlage — kein Komplettschutz

Ein verbreitetes Missverständnis: Sobald das Schloss erscheint, sei eine Seite „sicher" oder gar datenschutzkonform. Das stimmt so nicht. HTTPS schützt den Transportweg — es sagt nichts darüber aus, welche Daten du erhebst, an welche Dritten du sie weitergibst, ob deine Datenschutzerklärung vollständig ist oder ob Tracker ohne Einwilligung feuern. Transportverschlüsselung ist eine notwendige Grundlage, aber kein Ersatz für die übrigen Bausteine eines sauberen Datenschutzes.

Wie prüfst du deine eigene Seite?

Einen ersten Eindruck bekommst du ohne Spezialwissen:

  • Adressleiste ansehen: Erscheint ein Schloss-Symbol und beginnt die Adresse mit https://? Klick auf das Schloss zeigt dir die Zertifikatsdetails — Aussteller, Gültigkeit und für welche Domain es gilt.
  • Weiterleitung testen: Rufe deine Seite bewusst über http:// auf und prüfe, ob du automatisch auf die https://-Variante umgeleitet wirst.
  • Mixed-Content-Warnungen finden: Öffne die Entwicklertools (F12), gehe auf die „Konsole" und lade neu. Hinweise auf „mixed content" oder blockierte http://-Ressourcen zeigen unverschlüsselt nachgeladene Inhalte.
  • Unterseiten nicht vergessen: Mixed Content taucht oft nur auf einzelnen Templates auf (Blog, Shop, Landingpages) — prüfe mehrere Seitentypen.
Prüfbereich · SSL/TLS

konfora prüft als einen von 16 Bereichen automatisiert, ob deine Seite über HTTPS erreichbar ist und ob es an der Verschlüsselung Auffälligkeiten gibt — als technische Bestandsaufnahme mit konkreter Aufgabenliste, nicht als Rechtsgutachten.

Der Report als PDF zeigt dir konkret, wo deine Website steht — mit priorisierter Aufgabenliste. Er liegt bei 14,99 € (Einmalkauf, kein Abo). Den Zugang zu deinem Report bekommst du per Magic-Link an deine E-Mail.

Report erstellenReport ansehen

Kurz zusammengefasst

  • HTTPS verschlüsselt die Übertragung zwischen Browser und Server (TLS) und bestätigt über ein Zertifikat die Identität der Domain.
  • Art. 32 DSGVO verlangt Maßnahmen nach dem Stand der Technik; spätestens beim Übertragen personenbezogener Daten ist Verschlüsselung Standard. § 19 TDDDG fordert ein anerkanntes Verschlüsselungsverfahren. Hinzu kommen Browser-Warnungen und der SEO-Faktor.
  • Achte auf vollständige HTTP→HTTPS-Weiterleitung, HSTS, kein Mixed Content, abgeschaltete Alt-Protokolle sowie ein gültiges, zur Domain passendes Zertifikat.
  • HTTPS ist eine notwendige Grundlage — aber kein automatischer „Sicher"- oder Datenschutz-Komplettschutz.

Einen schnellen ersten Eindruck bekommst du mit dem kostenlosen Schnellcheck; wie konfora prüft und wo die Grenzen liegen, steht in der Methodik.

Dieser Beitrag liefert technische Hinweise und mögliche Risiken, keine Rechtsberatung. Für eine verbindliche Einschätzung deiner konkreten Situation wendest du dich an deine Datenschutzbeauftragte oder einen Fachanwalt.

Häufige Fragen

Ist HTTPS für jede Website Pflicht?
Eine ausdrückliche Pflicht für „jede“ Seite nennt das Gesetz nicht, doch spätestens beim Übertragen personenbezogener Daten — etwa über ein Kontakt-, Login- oder Bestellformular — gilt Transportverschlüsselung als Stand der Technik nach Art. 32 DSGVO. § 19 TDDDG fordert zudem ein anerkanntes Verschlüsselungsverfahren. In der Praxis ist HTTPS damit faktisch unverzichtbar.
Was kostet ein SSL-/TLS-Zertifikat?
Für die reine Verschlüsselung muss nichts bezahlt werden: Über Dienste wie Let’s Encrypt bekommst du kostenlose, automatisch ausgestellte und erneuerte DV-Zertifikate. Kostenpflichtige OV- oder EV-Zertifikate prüfen zusätzlich die Organisation, ändern an der Stärke der Verbindung aber nichts.
Was bedeutet „Mixed Content“?
Mixed Content liegt vor, wenn eine über HTTPS ausgelieferte Seite einzelne Ressourcen wie Bilder, Skripte oder Schriften weiterhin über unverschlüsseltes http:// nachlädt. Dann ist die Seite nicht vollständig verschlüsselt — Browser blockieren solche Inhalte teilweise oder warnen, und das Schloss-Symbol kann ausbleiben.
Bedeutet das Schloss-Symbol, dass meine Seite datenschutzkonform ist?
Nein. HTTPS schützt nur den Transportweg. Es sagt nichts darüber aus, welche Daten du erhebst, an welche Dritten du sie weitergibst, ob deine Datenschutzerklärung vollständig ist oder ob Tracker ohne Einwilligung laden. Verschlüsselung ist eine notwendige Grundlage, aber kein Komplettschutz.
Wie prüfe ich selbst, ob meine Seite sauber verschlüsselt ist?
Sieh in der Adressleiste nach Schloss-Symbol und https://, rufe deine Seite bewusst über http:// auf und prüfe die Weiterleitung, und öffne die Entwicklertools (F12), um in der Konsole nach Mixed-Content-Warnungen zu suchen. Denke dabei an mehrere Seitentypen, nicht nur an die Startseite.

Passende Prüfbereiche & Tools