SSL.de SSL.de

Ist ein SSL-Zertifikat heute Pflicht?

RapidSSL SSL Zertifikate
Sectigo SSL Zertifikate
Thawte SSL Zertifikate
GeoTrust SSL Zertifikate
DigiCert SSL Zertifikate

Ist ein SSL-Zertifikat heute Pflicht?

Ein SSL-Zertifikat ist nicht durch ein einzelnes Gesetz vorgeschrieben, in der Praxis aber faktisch Pflicht — sobald eine Website personenbezogene Daten verarbeitet, ein Kontaktformular einbindet, Logins anbietet oder Zahlungen entgegennimmt. Rechtlich ergibt sich diese Pflicht aus Art. 32 DSGVO in Verbindung mit § 19 TDDDG (vormals § 13 Abs. 7 TMG).

Art. 32 DSGVO verlangt Verschlüsselung „nach dem Stand der Technik" bei der Übertragung personenbezogener Daten. Schon der Aufruf einer Website überträgt mit der IP-Adresse ein personenbezogenes Datum — TLS-Verschlüsselung ist damit der heute übliche Mindeststandard.

Wo eine Pflicht oder ein faktischer Zwang zur TLS-Verschlüsselung besteht:

Bereich Grundlage Praxis
Personenbezogene Daten Art. 32 DSGVO, § 19 TDDDG Verschlüsselung nach Stand der Technik — TLS gilt als Mindestanforderung
Kontaktformulare, Newsletter, Logins Art. 32 DSGVO Datenschutzbehörden mahnen unverschlüsselte Formulare regelmäßig ab
Onlineshops und Zahlungsabwicklung PCI DSS TLS 1.2 oder höher mit starken Cipher Suites verbindlich
Banken, Versicherungen, Finanzdienstleister BAIT, MaRisk, DORA TLS Pflicht, oft kombiniert mit zusätzlichen Anforderungen an Schlüssellängen und Zertifikatsverwaltung
Behörden und öffentliche Stellen BSI TR-03116 verbindliche Vorgaben zu TLS-Versionen und Cipher Suites
Gesundheitsdaten, Telematikinfrastruktur § 75b SGB V, gematik-Vorgaben TLS verpflichtend, oft mit zusätzlichen Anforderungen an Client-Zertifikate

Zur Pflicht kommen die technischen Realitäten, die kaum eine Website ignorieren kann:

  • Browser markieren HTTP-Seiten als „Nicht sicher". Chrome tut das seit 2018 für alle Seiten mit Eingabefeldern, seit 2020 generell. Firefox, Safari und Edge handhaben es ähnlich.
  • HTTP/2 und HTTP/3 setzen TLS voraus. Ohne Zertifikat kein moderner Web-Stack — und damit messbar schlechtere Ladezeiten.
  • Google nutzt HTTPS als Ranking-Signal. Bestätigt offiziell seit 2014, in der Praxis längst Standard.
  • Single Sign-On, OAuth und Webhooks bei Zahlungsdienstleistern, Cloud-Plattformen und APIs verlangen ein öffentlich vertrautes TLS-Zertifikat.
  • Cookies mit dem Attribut Secure — bei modernen Tracking- und Session-Mechanismen nicht mehr wegzudenken — funktionieren ausschließlich über HTTPS.

Welche Konsequenzen drohen, wenn Sie ohne Zertifikat betreiben:

  • Bußgelder nach Art. 83 DSGVO: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes — je nachdem, was höher ist.
  • Abmahnungen durch Mitbewerber oder Verbraucherschutzverbände wegen unverschlüsselter Formulare.
  • Vertragsstrafen aus AVV-Verträgen mit Geschäftspartnern, die TLS voraussetzen.
  • Sichtbare Browserwarnungen mit messbaren Absprungraten — laut Google führen sie bei Shops zu zweistelligen Conversion-Verlusten.

Eine reine Visitenkartenseite ohne Formulare, Logins oder Tracking-Skripte wäre rechtlich noch der Grenzfall. Praktisch trifft das aber auf kaum eine Website zu — sobald ein Kontaktformular, ein Newsletter, ein Analytics-Skript oder eine Schriftart von einem CDN eingebunden wird, fließen personenbezogene Daten, und TLS ist Pflicht.

Kurz zusammengefasst: Es gibt keine direkte gesetzliche Vorschrift „jede Website muss SSL haben", wohl aber ein dichtes Netz aus DSGVO, branchenspezifischen Vorgaben und technischen Anforderungen, das ohne TLS-Zertifikat in der Praxis nicht erfüllbar ist.

SSL-Zertifikate

Weitere Fragen und Antworten »

SSL Zertifikate

SSL Check

SSL Verschlüsselung

Hilfe und Support

Rechtliches

© 2016-2026 by Gerwan GmbH. Alle Angaben ohne Gewähr.

Alle Preise inkl. MwSt.