Ist SSL/HTTPS für eine Website gesetzlich vorgeschrieben?

Nicht direkt in einer Norm benannt, aber Art. 32 DSGVO verlangt 'geeignete technische Maßnahmen' zum Schutz personenbezogener Daten. Eine Website ohne HTTPS überträgt Nutzerdaten unverschlüsselt — das ist keine geeignete Maßnahme. Datenschutzbehörden werten fehlendes HTTPS als Verstoß gegen Art. 32.

Was sind HTTP-Sicherheitsheader?

Header sind Metadaten, die der Webserver bei jeder Antwort mitschickt. Sicherheitsheader wie Content-Security-Policy oder X-Frame-Options geben dem Browser Anweisungen, welche Inhalte er laden und ausführen darf. Sie schützen vor Cross-Site-Scripting (XSS), Clickjacking und anderen Angriffen.

Was passiert bei einem Datenleck wegen mangelnder Sicherheit?

Ein Datenleck muss innerhalb von 72 Stunden der zuständigen Datenschutzbehörde gemeldet werden (Art. 33 DSGVO). War der Leck auf mangelnde technische Maßnahmen zurückzuführen (z.B. fehlendes HTTPS, ungepatchte Software), erhöht das das Bußgeldrisiko erheblich.

Website-Sicherheit und DSGVO: SSL, Header und Schwachstellen

Datenschutz ist nicht nur Papierarbeit. Art. 32 DSGVO schreibt vor, dass Verantwortliche "geeignete technische und organisatorische Maßnahmen" ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.

Für Websites bedeutet das: HTTPS ist kein optionales Extra. Fehlende Sicherheitsheader sind keine Kleinigkeit. Ungepatchte Plugins in WordPress sind ein DSGVO-Risiko.

HTTPS / SSL: Die Grundvoraussetzung

Jede Website, die personenbezogene Daten überträgt — und das tut fast jede Website, allein durch Server-Logs und Formulare — muss HTTPS verwenden. Das bedeutet: ein gültiges TLS-Zertifikat, korrekt konfiguriert.

Was auf keinen Fall mehr akzeptabel ist:

HTTP ohne Weiterleitung zu HTTPS
Ein abgelaufenes SSL-Zertifikat
TLS 1.0 oder TLS 1.1 (beide als unsicher eingestuft, von allen modernen Browsern abgelehnt)
Mixed Content (HTTPS-Seite lädt HTTP-Ressourcen)

Wie Sie es prüfen:

Öffnen Sie Ihre Website in Chrome. Erscheint das Schloss-Symbol in der Adressleiste? Klicken Sie darauf und prüfen Sie: "Verbindung sicher" und keine Warnungen über abgelaufene Zertifikate oder Mixed Content.

SSL-Zertifikate sind heute kostenlos über Let's Encrypt erhältlich. Alle gängigen Hosting-Anbieter bieten automatische Let's Encrypt-Integration. Wenn Ihre Website noch kein gültiges Zertifikat hat, ist das heute kein Kosten-, sondern ein Konfigurationsproblem.

HTTP-Sicherheitsheader

Sicherheitsheader sind Metadaten, die der Webserver bei jeder Antwort mitschickt. Sie teilen dem Browser mit, was er darf und was nicht. Fehlende Header sind eine häufige Schwachstelle, die in Art.-32-DSGVO-Prüfungen auffällt.

Strict-Transport-Security (HSTS)

Strict-Transport-Security: max-age=31536000; includeSubDomains

Weist den Browser an, diese Website für 12 Monate nur über HTTPS aufzurufen — auch wenn jemand http:// eingibt. Verhindert SSL-Stripping-Angriffe.

Ohne HSTS: Ein Man-in-the-Middle-Angreifer kann den ersten HTTP-Request abfangen, bevor die Weiterleitung zu HTTPS erfolgt.

Content-Security-Policy (CSP)

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com

Kontrolliert, welche externen Ressourcen geladen werden dürfen. Schützt vor Cross-Site-Scripting (XSS) — einem der häufigsten Angriffsvektoren auf Websites.

Eine CSP zu konfigurieren ist aufwendig (alle erlaubten Quellen müssen aufgelistet werden), aber für Websites mit Nutzer-Logins oder Zahlungsformularen besonders wichtig.

X-Frame-Options

X-Frame-Options: DENY

Verhindert, dass Ihre Website in einem iframe auf einer fremden Seite eingebettet wird. Schützt vor Clickjacking — einer Angriffstechnik, bei der Nutzer auf versteckte Buttons klicken, indem Ihre Website transparent über eine andere Seite gelegt wird.

X-Content-Type-Options

X-Content-Type-Options: nosniff

Verhindert, dass Browser Dateitypen "erraten". Ohne diesen Header kann ein Browser eine hochgeladene Textdatei als ausführbares Skript interpretieren.

Referrer-Policy

Referrer-Policy: strict-origin-when-cross-origin

Steuert, welche URL-Informationen beim Klick auf Links weitergegeben werden. Relevant für Datenschutz: Ohne diese Policy kann eine externe Website sehen, von welcher internen Seite ein Besucher kam.

Permissions-Policy

Permissions-Policy: camera=(), microphone=(), geolocation=()

Deaktiviert Browser-APIs, die Sie nicht benötigen. Wenn Ihre Website keine Kamera nutzt, sollte sie auch keinen Zugriff darauf haben — Angriffe über kompromittierte Skripte können diese APIs sonst nutzen.

WordPress-Sicherheit und DSGVO

WordPress-Websites haben spezifische Risiken. Ungepatchte Plugins und Themes sind regelmäßig Einfallstor für Angriffe. Ein gehacktes WordPress kann zum Ausgangspunkt für Datendiebstahl werden — und dann greift Art. 32 und Art. 33 DSGVO.

Grundlegende Maßnahmen:

Alle Plugins, Themes und WordPress selbst aktuell halten
Nicht verwendete Plugins deaktivieren und löschen
Starke Passwörter für alle Admin-Accounts (Passwort-Manager empfehlenswert)
Zwei-Faktor-Authentifizierung für den Admin-Bereich (Plugins: Wordfence 2FA, Google Authenticator)
Regelmäßige Backups, die außerhalb des Servers gespeichert werden

Sicherheits-Plugins:

Wordfence und Sucuri bieten kostenlose Basisschutz-Plugins für WordPress. Sie scannen auf bekannte Schwachstellen und blockieren bekannte Angriffsmuster.

Datenpanne: Was zu tun ist

Wenn trotz aller Maßnahmen eine Datenpanne passiert (Hack, versehentliche Veröffentlichung, Datenverlust), greift Art. 33 DSGVO:

72 Stunden: Meldepflicht an die zuständige Datenschutzbehörde nach Bekanntwerden
Wenn Betroffene gefährdet sind: Zusätzlich direkte Information der betroffenen Personen (Art. 34 DSGVO)
Dokumentationspflicht: Alle Datenpannen intern dokumentieren, auch wenn keine Meldepflicht ausgelöst wird

Wer die 72-Stunden-Frist verpasst oder keine Dokumentation vorlegen kann, riskiert ein zusätzliches Bußgeld auf Art.-32/33-Basis.

Kurzcheckliste Website-Sicherheit

Prüfen Sie Ihre Website jetzt auf Sicherheitslücken und DSGVO-Compliance — kostenloser Scanner.