Kein SSL-Zertifikat / HTTPS fehlt ist 2025 eine der drei häufigsten Abmahn-Ursachen in Deutschland. Rechtsgrundlage: Art. 32 DSGVO, Art. 5(1)(f) Integrität, BSI-Grundschutz. Einschlägig zitiert: BayLDA Tätigkeitsbericht 2024 (Bußgelder bei Kontaktformularen ohne TLS). Betroffen sind laut Abmahn-Trackern 8 % aller Domains noch ohne gültiges SSL, weitere 12 % mit abgelaufenem Zertifikat.
Unter der Haube: TLS 1.3 empfohlen, HTTPS-Umleitung 301, HSTS-Header, keine Mixed Content. Wichtig zu verstehen: der Rechtsverstoß entsteht nicht durch Absicht, sondern durch technische Defaults. Entsprechend leicht ist die Behebung — sofern sie überhaupt angegangen wird.
Unser DSGVO-Check analysiert Ihre Website in 60 Sekunden und zeigt konkrete Risiken auf — inklusive Website ohne SSL.
DSGVO-Check starten →So beheben Sie 'Kein SSL': Let's Encrypt bei Hoster aktivieren (Strato, IONOS, Hetzner: 1 Klick) oder Cloudflare Full-SSL. Zeitaufwand: 15–60 Minuten. Kosten: 0–200 €. Entwickler wird in 9 von 10 Fällen nicht benötigt.
Wirtschaftlich klar: Fix ~100 € einmalig, Risiko 1.000–10.000 € Bußgeld + Abmahnungen. Trotzdem unterschätzen viele KMU das — weil Abmahnungen statistisch als 'passiert anderen' empfunden werden. 2025 sind sie jedoch systematisch und automatisiert.
Was Aufsichtsbehörden 2025/26 prüfen: die Kombination aus 'Kein SSL' mit weiteren technischen Defiziten (Google Fonts extern, Kein Cookie-Banner). Die Bewertung erfolgt ganzheitlich — eine einzelne Schwachstelle wird selten isoliert sanktioniert; aber ein Scan zeigt meist mehrere gleichzeitig.
Rolle der FAQ-Schnipsel: Seit 2024 werden viele 'Kein SSL'-Abmahnungen automatisiert via Bot versendet. Der Bot prüft tausende Domains pro Tag. Wer gefunden wird, wird meist binnen 14 Tagen angeschrieben. Ein proaktiver Scan ist daher keine Option, sondern Pflicht.
To-do-Liste: Ist-Stand, Maßnahme, Rollout, Nachweis (Screenshot + Datum), DSE-Update, VVT-Eintrag. Dauer Ende-zu-Ende: ca. 2 Stunden. Nutzen: Abmahn-Schutz.
Der Scanner deckt in einem Durchlauf zehn Pflicht-Themen ab — inkl. 'Kein SSL'. Eine gute Start-Diagnose vor jedem größeren Website-Update.
SSL funktioniert, aber das Zertifikat ist seit Tagen/Wochen abgelaufen. Browser warnt vor unsicherer Verbindung, Nutzer springen ab.
Ein eigenhändig erzeugtes Zertifikat ohne vertrauenswürdige CA-Signatur. Browser zeigen schwere Warnmeldung, faktisch unbrauchbar im Produktivbetrieb.
HTTPS-Seite lädt unverschlüsselte Ressourcen (Bilder, Skripte, Schriften). Browser blockieren aktive Inhalte, Schloss-Symbol verschwindet.
Sowohl http:// als auch https:// sind erreichbar, ohne Weiterleitung. Nutzer landen bei direkter Eingabe auf der unsicheren Version.
Moderne Browser verweigern Verbindungen mit TLS unter 1.2. Seit 2020 Standard: TLS 1.2 oder 1.3.
SSL-Labs-Test ergibt Rating 'C' oder schlechter. Schwache Verschlüsselungsalgorithmen (RC4, 3DES) sind in modernen Setups zu deaktivieren.
Ohne HTTP Strict Transport Security kann ein Man-in-the-Middle-Angriff Nutzer zunächst auf HTTP umleiten. Header 'Strict-Transport-Security' fehlt.
Hauptdomain ist verschlüsselt, aber shop.domain.de oder blog.domain.de läuft weiter über HTTP. Wildcard-Zertifikat oder SAN-Zertifikat notwendig.
Let's-Encrypt-Zertifikate laufen nach 90 Tagen aus. Ohne automatisierte Erneuerung fällt die Website nach drei Monaten aus — typischer Fehler bei manuellen Installationen.
Die folgenden Fälle zeigen, in welchen Größenordnungen sich die wirtschaftlichen Folgen bewegen. Alle Fälle sind öffentlich oder aus Abmahnregistern dokumentiert.
Diese Checkliste fasst die Mindestanforderungen zusammen. Jeder Punkt, den Sie mit "Nein" beantworten, ist ein potenzielles Risiko.
Für 25 deutsche Großstädte stellen wir detaillierte DSGVO-Analysen mit lokalen Daten bereit. Jede Seite nennt die zuständige Aufsichtsbehörde und stadtspezifische Bußgeld-Fälle.
Der erste Schnelltest erfolgt in der Adresszeile Ihres Browsers: Beginnt Ihre URL mit https:// und zeigt der Browser ein geschlossenes Schloss-Symbol ohne Warnung, haben Sie grundsätzlich ein gültiges Zertifikat. Klicken Sie auf das Schloss, um die Details zu sehen — ausgestellt von, gültig bis, Zertifikatskette. Ein Zertifikat, das in weniger als 14 Tagen abläuft, ist ein akuter Handlungsbedarf.
Für eine tiefergehende Analyse nutzen Sie ssllabs.com/ssltest — ein kostenloser Dienst von Qualys, der Ihre Domain umfassend prüft. Der Test dauert rund 90 Sekunden und liefert ein Rating von A+ bis F. Ziel ist mindestens A. Bewertungen unter B weisen auf veraltete TLS-Versionen oder schwache Cipher Suites hin, die behoben werden sollten. Der Report enthält konkrete Handlungsempfehlungen.
Abschließend prüfen Sie Mixed Content: Öffnen Sie Ihre Website, drücken Sie F12, schauen Sie auf die Konsole (Tab 'Console'). Warnungen wie 'Mixed Content: The page at X was loaded over HTTPS, but requested an insecure resource Y' zeigen, dass einzelne Ressourcen noch über HTTP geladen werden. Jede dieser Warnungen sollte durch Umstellung der entsprechenden URL auf HTTPS behoben werden — sonst verliert der Browser das Vertrauen in die Gesamtseite.
Die Rechtsprechung zum Erfordernis von SSL/TLS hat sich seit 2018 verfestigt. Das Oberlandesgericht Hamm (Az. 12 U 74/20) bestätigte 2021, dass das Betreiben einer Website mit Kontaktformular ohne SSL den Mindestanforderungen des Art. 32 DSGVO widerspricht. Das Landgericht Dortmund (Az. 25 O 141/22) verhängte 2023 eine Ordnungsstrafe gegen einen Betreiber, der trotz Abmahnung weiterhin HTTP-basiert arbeitete.
Die Aufsichtsbehörden reagieren zunehmend konsequent. Der bayerische Landesdatenschutzbeauftragte hat 2024 gezielte Prüfaktionen auf Websites von Gesundheitsdienstleistern durchgeführt; Betriebe ohne SSL erhielten neben Abmahnungen auch Bußgelder im vier- bis fünfstelligen Bereich. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) hat SSL/TLS ausdrücklich als 'Stand der Technik' klassifiziert — damit gilt der Einsatz als rechtliche Mindestanforderung für jede Form personenbezogener Kommunikation.
Die SSL-Pflicht trifft alle Branchen gleichermaßen, doch die Risikohöhe variiert. Medizinische Dienstleister, Psychotherapeuten und Anwälte übertragen besonders schützenswerte Daten bereits beim Kontaktformular — hier wiegt ein fehlendes Zertifikat extrem schwer, und Bußgelder können deutlich über den branchentypischen Rahmen hinausgehen. Finanzdienstleister und Versicherungsmakler stehen ebenfalls unter verschärfter Beobachtung, weil sie regulatorische Anforderungen aus BaFin-Vorgaben mitbringen, die SSL-Verschlüsselung explizit voraussetzen.
Handwerksbetriebe, Gastronomie und kleine Dienstleister mit simpler Website (Kontaktseite, Leistungen, Impressum) stehen technisch am einfachsten dar — hier ist die Migration in 15 bis 30 Minuten erledigt. Schwieriger wird es bei gewachsenen Shopsystemen mit vielen hart codierten HTTP-Links in der Datenbank oder Content-Projekten mit vielen eingebetteten Drittinhalten (YouTube, SoundCloud, Karten). In solchen Fällen lohnt sich ein systematisches Vorgehen: erst das Zertifikat einrichten, dann die Datenbank mittels Suchen-Ersetzen-Tool von HTTP auf HTTPS umschreiben und abschließend alle Mixed-Content-Meldungen im Browser-Log einzeln prüfen.
Wer ohne große Projekt-Struktur schnell zu einer belastbaren Lösung kommen möchte, arbeitet am besten in drei Phasen. Phase eins (15 Minuten): Bestandsaufnahme mit den oben beschriebenen Selbsttest-Werkzeugen. Dokumentieren Sie per Screenshot, was aktuell problematisch ist. Phase zwei (30 Minuten): Die konkrete technische Korrektur — meist genügt eine Plugin-Installation, ein Hoster-Klick oder eine kleine Code-Änderung. Phase drei (15 Minuten): Überprüfung mit dem Web-Skyline DSGVO-Check und paralleles Nachziehen der Datenschutzerklärung, damit Technik und Text übereinstimmen.
Diese Struktur verhindert den häufigsten Anfängerfehler: die technische Korrektur wird durchgeführt, die Datenschutzerklärung bleibt aber im alten Wortlaut. In der Folge widersprechen Dokument und tatsächliches Verhalten — genau diese Diskrepanz ist ein beliebter Abmahnansatz. Wer das Dreiklang-Modell (prüfen — korrigieren — validieren) diszipliniert umsetzt, reduziert sein Restrisiko auf ein Niveau, das sich im normalen Geschäftsbetrieb nicht weiter rechnen lässt. Eine jährliche Wiederholung des Zyklus (vor allem bei neuen Tools oder Rechtsformänderungen) sichert den erreichten Stand dauerhaft ab.
Die technische Einrichtung moderner SSL-Zertifikate ist 2026 weitgehend kostenlos und automatisiert. Let's Encrypt ist die meistgenutzte Zertifizierungsstelle — kostenfrei, automatisch, mit 90-tägiger Laufzeit und automatischer Erneuerung. Die meisten deutschen Hoster (Hostinger, Strato, Ionos, All-Inkl, webgo, Mittwald, Hetzner, DomainFactory) bieten ein 1-Klick-Setup, das Let's-Encrypt-Zertifikate automatisch bereitstellt und erneuert. Wer spezifische Anforderungen hat (Wildcard, EV-Zertifikate, längere Laufzeit) greift auf kostenpflichtige Anbieter wie Sectigo, DigiCert oder GlobalSign zurück — typische Kosten zwischen 30 und 300 Euro pro Jahr. Für selbst gehostete Systeme ist certbot (eff.org) der Industriestandard: Ein Kommandozeilen-Tool, das SSL-Zertifikate automatisch beantragt, installiert und alle 60 Tage erneuert. Die Prüfung der Konfiguration erfolgt über ssllabs.com/ssltest — ein kostenloser Service, der detaillierte Analysen zu Cipher Suites, Protokollversionen, Zertifikatsketten und HSTS-Konfiguration liefert. Das Ziel: Rating A oder A+. Für WordPress-Seiten beschleunigen Plugins wie 'Really Simple SSL' oder 'SSL Insecure Content Fixer' die Migration — sie identifizieren automatisch Mixed-Content-Probleme und schreiben interne URLs auf HTTPS um. Nach erfolgter Migration empfiehlt sich ein Scan mit securityheaders.com, der zusätzlich Best-Practice-Header wie HSTS, Content-Security-Policy, X-Frame-Options und Referrer-Policy prüft.
Rechtlich nur bei Geschäftsmäßigkeit. Praktisch immer zu empfehlen, da Browser sonst Warnungen anzeigen und Besucher verlieren.
Basis-Zertifikate (DV, Let's Encrypt) sind kostenlos. Organisations-validierte (OV) und Extended-Validation-Zertifikate (EV) kosten zwischen 30 und 300 Euro jährlich.
Bei einfachen Websites 15 bis 30 Minuten. Bei WordPress mit vielen Bildern und alten Links 1 bis 3 Stunden. Bei großen Online-Shops ein halber Tag inklusive Tests.
HTTP/2 setzt zwingend SSL/TLS voraus und ermöglicht Multiplexing (parallele Übertragungen auf einer Verbindung). Die meisten modernen Browser und Server unterstützen HTTP/2 automatisch bei HTTPS.
HTTP Strict Transport Security weist den Browser an, künftig ausschließlich HTTPS zu nutzen. Der Header schützt vor Downgrade-Angriffen. Dringend empfohlen, aber erst nach stabiler HTTPS-Migration aktivieren.
Let's Encrypt: alle 90 Tage (automatisiert). Kommerzielle Anbieter: meist 1 Jahr Laufzeit, seit 2020 maximal 13 Monate.
Browser-Konsole öffnen (F12), alle http://-Ressourcen identifizieren und auf https:// umschreiben oder durch HTTPS-Alternativen ersetzen. Plugins wie 'SSL Insecure Content Fixer' automatisieren vieles.
60 Sekunden. Keine Anmeldung. Sofort-Ergebnis mit Handlungsempfehlungen.
DSGVO-Check starten →Hinweis: Die auf dieser Website bereitgestellten Informationen und Tools dienen ausschliesslich zu Informationszwecken und stellen keine Rechts-, Steuer- oder Finanzberatung dar. Alle Angaben ohne Gewähr.