Ist der DSGVO-Scan kostenlos?

Ja, 100% kostenlos. Keine Anmeldung, keine Kreditkarte, keine versteckten Kosten.

Was kostet ein DSGVO-Audit?

Das Komplett-Audit kostet €149 einmalig. Das Komplett-Paket mit Umsetzung aller Fixes kostet €399.

Was kostet eine professionelle Website?

Landingpages ab €990, Business-Websites ab €2.490, Web-Apps ab €4.990. Transparente Festpreise.

Ersetzt der Scanner einen Anwalt?

Nein. Der Scanner prüft technische Aspekte. Für rechtliche Bewertung empfehlen wir einen Fachanwalt.

Was ist eine Mixed-Content-Warnung und wie behebt man sie?

Mixed Content tritt auf, wenn eine HTTPS-Website Ressourcen (Bilder, CSS, JS) per HTTP lädt. Lösung: Alle http://-Links zu https:// ändern oder relative URLs verwenden.

Was tun, wenn das SSL-Zertifikat abgelaufen ist?

Let's Encrypt Zertifikate laufen nach 90 Tagen ab. Führen Sie "sudo certbot renew" aus und prüfen Sie, ob der Cronjob (certbot.timer) aktiv ist.

Was bedeutet der Fehler "Too Many Certificates"?

Let's Encrypt limitiert auf 50 Zertifikate pro Domain pro Woche. Nutzen Sie das --staging-Flag beim Testen, warten Sie 7 Tage oder verwenden Sie Wildcard-Zertifikate.

Was verursacht eine Redirect-Loop bei SSL?

Eine Redirect-Loop entsteht, wenn der Webserver HTTP zu HTTPS und wieder zurück umleitet. Prüfen Sie die Nginx/Apache-Konfiguration und stellen Sie sicher, dass nur ein Redirect von HTTP zu HTTPS existiert.

Sicherheit16. Februar 2026· 9 Min. Lesezeit

SSL-Pflicht 2026: Warum HTTPS nicht optional ist

Im Jahr 2026 ist ein SSL-Zertifikat (HTTPS) keine optionale Sicherheitsmaßnahme mehr, sondern rechtlich verpflichtend und technisch unverzichtbar. In diesem Artikel erfahren Sie, warum HTTPS Pflicht ist, welche rechtlichen Grundlagen gelten, wie Sie ein kostenloses SSL-Zertifikat einrichten und welche Probleme auftreten können.

Ohne HTTPS: Abmahnungen, Google-Penalty & Vertrauensverlust

Websites ohne HTTPS werden von Browsern als „Nicht sicher" markiert, ranken schlechter bei Google und verstoßen gegen die DSGVO, sobald Formulare genutzt werden.

Warum ist SSL/HTTPS Pflicht?

1. Rechtliche Pflicht nach DSGVO

Die DSGVO fordert in Art. 32 „geeignete technische und organisatorische Maßnahmen"zur Sicherung personenbezogener Daten. HTTPS gehört zum Stand der Technik — wer darauf verzichtet, verstößt gegen die DSGVO.

Besonders kritisch: Wenn Sie Formulare (Kontakt, Newsletter, Login) ohne HTTPS betreiben, werden Eingaben im Klartext übertragen — das ist ein schwerer DSGVO-Verstoß und kann zu Bußgeldern führen.

2. Google-Ranking-Faktor seit 2014

Google hat 2014 offiziell bestätigt: HTTPS ist ein Ranking-Faktor. Websites mit SSL-Zertifikat ranken besser als identische HTTP-Seiten. Seit 2018 markiert Chrome alle HTTP-Seiten als „Nicht sicher" — ein massiver Vertrauensverlust für Besucher.

Google-Statement (2014):
„We've seen positive results, so we're starting to use HTTPS as a ranking signal."

3. Browser warnen vor HTTP-Seiten

Moderne Browser (Chrome, Firefox, Safari, Edge) markieren HTTP-Websites prominent mit „Nicht sicher" in der Adressleiste. Viele Nutzer verlassen solche Seiten sofort, weil sie einen Sicherheitsvorfall befürchten.

Conversion-Killer: Studien zeigen, dass die „Nicht sicher"-Warnung die Conversion-Rate um bis zu 30% senkt.

4. Technische Voraussetzung für moderne Features

Viele moderne Web-Features funktionieren nur mit HTTPS:

• Service Workers (Progressive Web Apps)
• Geolocation API (Standortabfrage)
• HTTP/2 & HTTP/3 (schnellere Ladezeiten)
• Payment Request API (Online-Zahlungen)
• WebRTC (Video-/Audio-Calls)

Was ist SSL / TLS / HTTPS?

Die Begriffe werden oft synonym verwendet, bedeuten aber technisch unterschiedliche Dinge:

•SSL (Secure Sockets Layer): Veraltetes Verschlüsselungsprotokoll (1995–2015). Wird heute nicht mehr verwendet, aber der Begriff „SSL-Zertifikat" ist geblieben.
•TLS (Transport Layer Security): Nachfolger von SSL. Aktuelle Version: TLS 1.3 (2018). Das ist die eigentliche Verschlüsselung.
•HTTPS (HTTP Secure): HTTP-Protokoll über TLS-Verschlüsselung. Das grüne Schloss in der Adressleiste.

Fazit: Wenn jemand „SSL-Zertifikat" sagt, meint er ein TLS-Zertifikat, das HTTPS ermöglicht.

Kostenloses SSL-Zertifikat: Let's Encrypt

Let's Encrypt ist eine gemeinnützige Zertifizierungsstelle, die seit 2015 kostenlose SSL-Zertifikate ausstellt. Über 90% aller SSL-Zertifikate weltweit stammen von Let's Encrypt.

Vorteile von Let's Encrypt

✓ 100% kostenlos (keine versteckten Gebühren)
✓ Automatische Verlängerung alle 90 Tage
✓ Vertraut von allen gängigen Browsern
✓ Wildcard-Zertifikate möglich (*.example.com)
✓ Von den meisten Hostern vorinstalliert

Anleitung: Let's Encrypt mit Certbot installieren

Certbot ist das offizielle Tool zur Verwaltung von Let's Encrypt Zertifikaten. Installation auf einem Ubuntu/Debian-Server:

Schritt 1: Certbot installieren

sudo apt update
sudo apt install certbot python3-certbot-nginx

Schritt 2: Zertifikat für Ihre Domain ausstellen

sudo certbot --nginx -d example.com -d www.example.com

Certbot konfiguriert automatisch Nginx und leitet HTTP zu HTTPS um.

Schritt 3: Automatische Verlängerung aktivieren

sudo certbot renew --dry-run

Certbot richtet automatisch einen Cronjob ein, der Zertifikate alle 90 Tage verlängert.

Alternative: SSL bei Hoster-Anbietern

Die meisten modernen Hosting-Anbieter bieten 1-Klick-SSL in ihrem Control Panel:

• ALL-INKL, IONOS, Hetzner, HostEurope: Let's Encrypt vorinstalliert, Aktivierung per Klick
• WordPress.com, Wix, Squarespace: HTTPS automatisch aktiviert
• Cloudflare: Kostenloser SSL-Proxy (Flexible SSL / Full SSL)

Häufige SSL-Probleme lösen

Problem 1: „Mixed Content"-Warnung

Symptom: Website lädt per HTTPS, aber Browser zeigt Warnung „Nicht vollständig sicher".
Ursache: Ihre Seite bindet Ressourcen (Bilder, CSS, JS) per http:// statthttps:// ein.

Lösung:

1. Öffnen Sie Browser-DevTools (F12) → Console-Tab
2. Suchen Sie nach „Mixed Content"-Warnungen
3. Ändern Sie alle http://-Links zu https://
4. Nutzen Sie relative URLs (/images/logo.png) statt absoluter

Problem 2: Zertifikat abgelaufen

Symptom: Browser zeigt „Ihre Verbindung ist nicht privat" / „NET::ERR_CERT_DATE_INVALID".
Ursache: Let's Encrypt Zertifikate laufen nach 90 Tagen ab. Automatische Verlängerung fehlgeschlagen.

Lösung:

# Manuell verlängern:
sudo certbot renew

# Cronjob prüfen:
sudo systemctl status certbot.timer

Problem 3: „Too Many Certificates" (Rate Limit)

Symptom: Certbot gibt Fehler „too many certificates already issued".
Ursache: Let's Encrypt limitiert auf 50 Zertifikate pro Domain pro Woche.

Lösung:

• Nutzen Sie --staging-Flag beim Testen
• Warten Sie 7 Tage, bis das Limit zurückgesetzt wird
• Nutzen Sie Wildcard-Zertifikate für mehrere Subdomains

Problem 4: Redirect-Loop (unendliche Weiterleitung)

Symptom: Website lädt nicht, Browser zeigt „ERR_TOO_MANY_REDIRECTS".
Ursache: Webserver leitet HTTP → HTTPS → HTTP → HTTPS um (Schleife).

Lösung (Nginx):

# In /etc/nginx/sites-available/example.com:
server {
    listen 80;
    server_name example.com www.example.com;
    return 301 https://$server_name$request_uri;
}

server {
    listen 443 ssl http2;
    server_name example.com www.example.com;
    # ... SSL-Konfiguration
}

SSL-Zertifikat prüfen

Testen Sie Ihre SSL-Konfiguration mit diesen Tools:

•SSL Labs Server Test (ssllabs.com/ssltest) — Note A+ anstreben
•Why No Padlock? (whynopadlock.com) — Mixed Content finden
•Unser DSGVO-Scanner — prüft SSL + 7 weitere Kriterien

SSL-Checkliste: Ist meine Website sicher?

✓ HTTPS-Verbindung aktiv (grünes Schloss in der Adressleiste)?
✓ Automatische HTTP → HTTPS Weiterleitung eingerichtet?
✓ Kein Mixed Content (alle Ressourcen per HTTPS geladen)?
✓ Zertifikat gültig und nicht abgelaufen?
✓ Automatische Verlängerung aktiviert (Cronjob)?
✓ SSL Labs Test = Note A oder besser?

Häufig gestellte Fragen (FAQ)

Ist ein SSL-Zertifikat für reine Informationsseiten ohne Formulare Pflicht?

Streng genommen greift die DSGVO-Pflicht nach Art. 32 vor allem bei der Verarbeitung personenbezogener Daten (Formulare, Login, Newsletter). Allerdings übertragen alle Webserver IP-Adressen — das sind personenbezogene Daten. Zudem markieren Browser Ihre Seite als „Nicht sicher“, was Besucher abschreckt. Kurzum: Ja, HTTPS ist auch für reine Infoseiten dringend empfohlen und de facto Standard.

Was kostet ein SSL-Zertifikat?

Mit Let's Encrypt ist ein SSL-Zertifikat komplett kostenlos. Die meisten Hoster (ALL-INKL, IONOS, Hetzner) bieten 1-Klick-Aktivierung. Kostenpflichtige Zertifikate (ab ca. 50 €/Jahr) bieten erweiterte Validierung (EV) mit Unternehmensname in der Adressleiste — das ist aber nur für Banken und große E-Commerce-Shops relevant.

Wie erkenne ich, ob meine Website HTTPS nutzt?

Öffnen Sie Ihre Website im Browser und schauen Sie in die Adressleiste: Ein Schloss-Symbol und „https://“ bedeuten, dass SSL aktiv ist. Fehlt das Schloss oder steht „Nicht sicher“, ist kein gültiges Zertifikat eingerichtet. Unser kostenloser DSGVO-Scanner prüft Ihre SSL-Konfiguration automatisch.

Weiterführende Artikel

Ist Ihre Website wirklich sicher?

Unser kostenloser Scanner prüft SSL, Mixed Content, DSGVO-Verstöße und 5 weitere Sicherheitskriterien.

Jetzt Website scannen