Verschlüsselung von Websites

geändert am 02.04.2025

Warum die Verschlüsselung von Websites Pflicht ist – und wie Sie jetzt handeln sollten

Websites sind heute mehr als digitale Visitenkarten: Sie ermöglichen Kontaktformulare, Newsletter-Anmeldungen oder sogar Vertragsabschlüsse. Doch überall dort, wo personenbezogene Daten übertragen werden, gelten strenge Regeln – insbesondere nach DSGVO und KDG. Eine zentrale Maßnahme: die Verschlüsselung der Datenübertragung.

Warum ist Verschlüsselung gesetzlich vorgeschrieben?

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Verantwortliche zur Umsetzung „geeigneter technischer und organisatorischer Maßnahmen“ (TOMs), um personenbezogene Daten zu schützen. Dazu gehört laut Art. 32 Abs. 1 lit. a DSGVO/§ 26 Abs. 1 lit. a KDG ausdrücklich die Verschlüsselung.

Das bedeutet konkret: Wer Daten per Internet überträgt (z. B. per Kontaktformular), muss sicherstellen, dass sie nicht von Dritten mitgelesen werden können.

Welche Datenbereiche auf Websites sind betroffen?

• Kontaktformulare (Name, E-Mail, Nachricht)

• Newsletter-Anmeldungen (E-Mail-Adresse)

• Online-Bestellungen (Adresse, Zahlungsdaten)

• Bewerbungsformulare

• Spendenformulare

• Online-Umfragen, Petitionen u. ä.

Wenn auf Ihrer Website personenbezogene Daten erfasst oder übermittelt werden, muss die Verbindung Ende-zu-Ende verschlüsselt sein – sonst liegt ein Datenschutzverstoß vor.

Wie funktioniert die sichere Verschlüsselung?

Standard ist heute die TLS-Verschlüsselung (Transport Layer Security), erkennbar an „https://“ in der Adresszeile.

• TLS 1.2 ist derzeit noch weit verbreitet und zulässig.

• TLS 1.3 wird vom BSI ausdrücklich empfohlen (TR-02102-2), da es moderner und sicherer ist.

Zertifikate zur Aktivierung von TLS-Verschlüsselung erhalten Sie kostenfrei z. B. über Let’s Encrypt oder über Ihren Hosting-Provider.

Was passiert bei Verstößen?

Wer unverschlüsselt Daten überträgt, riskiert Bußgelder, Abmahnungen und Vertrauensverlust. In folgenden Fällen drohen Sanktionen:

• unverschlüsselte Kontaktformulare

• fehlende TLS-Verschlüsselung trotz Dateneingabe

• Übertragung sensibler Daten per ungesicherter Verbindung

• kein Auftragsverarbeitungsvertrag mit dem Hosting-Anbieter (Art. 28 DSGVO/§ 29 KDG)

Tipp: Prüfen Sie, ob Sie mit Ihrem Hosting-Anbieter einen Vertrag zur Auftragsverarbeitung (AVV) abgeschlossen haben. Bei der Verarbeitung personenbezogener Daten durch externe Anbieter ist dies Pflicht. Wir unterstützen Sie hier gerne.

Was gilt für Berufsgeheimnisträger?

Für Berufsgruppen mit Schweigepflicht (z. B. Ärzt:innen, Anwält:innen, Beratungsstellen) gilt zusätzlich § 203 StGB. Hier ist die Verschlüsselung nicht nur datenschutzrechtlich, sondern auch strafrechtlich verpflichtend. Das betrifft:

• Kommunikation per E-Mail

• Kontaktformulare

• interne Datenweitergabe

Wir unterstützen Sie gerne

Sie sind sich unsicher, ob Ihre Website verschlüsselt ist? Oder ob ein AV-Vertrag mit dem Hosting-Anbieter vorliegt? Wir prüfen das für Sie. Wir beraten Unternehmen, Vereine und kirchliche Einrichtungen bei der Umsetzung von Datenschutz nach DSGVO und KDG – praxisnah, sicher, rechtskonform.

Jetzt Kontakt aufnehmen – wir helfen gerne weiter.