SEO Glossar: SSL-Zertifikat

Was ist ein SSL-Zertifikat?

SSL steht für "Secure Sockets Layer" und bezeichnet ein Sicherheitsprotokoll, das die Daten zwischen dem Browser eines Besuchers und dem Webserver verschlüsselt. Technisch wird heute TLS (Transport Layer Security) verwendet, aber der Begriff SSL hat sich im allgemeinen Sprachgebrauch gehalten. Eine Website mit SSL-Zertifikat erkennen Sie am "https://" in der Adresszeile und am Schloss-Symbol im Browser.

Warum braucht jede Praxis-Website ein SSL-Zertifikat?

Die Antwort ist dreifach: Datenschutz, Vertrauen und Sichtbarkeit.

Datenschutz und DSGVO. Sobald Ihre Website personenbezogene Daten erhebt — und dazu zaehlt bereits ein Kontaktformular mit Name und E-Mail-Adresse — sind Sie nach DSGVO verpflichtet, diese Daten bei der Übertragung zu verschlüsseln. Für Arztpraxen gilt das in besonderem Masse: Wenn Patienten über Ihre Website Symptome beschreiben, Terminwuensche mit Behandlungsgrund senden oder Dokumente hochladen, handelt es sich um besonders schuetzenswerte Gesundheitsdaten. Ohne SSL-Verschlüsselung ist das ein klarer Datenschutzverstoss. Mehr dazu lesen Sie in unserem Beitrag DSGVO und Patientendaten auf der Website.

Patientenvertrauen. Browser wie Chrome und Firefox warnen Besucher aktiv vor Websites ohne SSL-Zertifikat. Die Meldung "Nicht sicher" in der Adresszeile schreckt Patienten ab — besonders wenn es um eine Arztpraxis geht, der sie ihre Gesundheitsdaten anvertrauen sollen. Das Schloss-Symbol hingegen signalisiert: Diese Verbindung ist geschuetzt.

Google-Ranking. Google hat bereits 2014 bestaetigt, dass HTTPS ein Ranking-Signal ist. Websites ohne SSL-Zertifikat werden in den Suchergebnissen tendenziell schlechter platziert. In Kombination mit guten Core Web Vitals gehört HTTPS zum technischen Mindeststandard.

Wie funktioniert SSL technisch?

Wenn ein Patient Ihre Website aufruft, wird zunächst eine verschlüsselte Verbindung aufgebaut. Der Browser prüft dabei das SSL-Zertifikat: Ist es gueltig? Wurde es von einer vertrauenswürdigen Stelle ausgestellt? Stimmt die Domain überein? Erst wenn alles geprüft ist, werden Daten übertragen. Dieser Vorgang dauert Millisekunden und ist für den Besucher unsichtbar.

Die Verschlüsselung schuetzt vor sogenannten Man-in-the-Middle-Angriffen: Niemand kann die Daten auf dem Weg zwischen Browser und Server mitlesen oder manipulieren. Das ist besonders in öffentlichen WLAN-Netzwerken relevant — etwa wenn ein Patient im Wartezimmer einer anderen Praxis auf Ihrem Smartphone Ihre Website aufruft.

Welche Arten von SSL-Zertifikaten gibt es?

Für die meisten Praxis-Websites reicht ein Domain-Validated-Zertifikat (DV) voellig aus. Viele Hosting-Anbieter stellen diese kostenlos über Let's Encrypt bereit. Größere Einrichtungen wie MVZ oder Kliniken mit Patientenportalen können ein Organization-Validated-Zertifikat (OV) in Betracht ziehen, das zusätzlich die Organisation verifiziert.

Wichtig ist weniger die Art des Zertifikats, sondern dass es korrekt eingerichtet ist: Alle Seiten müssen über HTTPS erreichbar sein, und HTTP-Aufrufe sollten automatisch auf HTTPS umgeleitet werden. Gemischte Inhalte — also HTTPS-Seiten, die Bilder oder Scripte über HTTP laden — müssen vermieden werden.

SSL allein reicht nicht

Ein SSL-Zertifikat ist ein wichtiger Baustein, aber nur ein Teil des Datenschutz-Puzzles. Wie Sie Patientendaten auf Ihrer Website umfassend schuetzen, erklären wir in Patientendaten auf der Website schuetzen. Und dass ein gutes Content Management System dabei eine zentrale Rolle spielt, wird oft unterschätzt.

Fazit

Ein SSL-Zertifikat ist für Praxis-Websites nicht verhandelbar — ohne HTTPS-Verschlüsselung verstoßen Sie gegen die DSGVO, verlieren das Vertrauen Ihrer Patienten und werden von Google schlechter platziert. Stellen Sie sicher, dass alle Seiten über HTTPS erreichbar sind und HTTP-Aufrufe automatisch umgeleitet werden.

Passende Fachartikel

• DSGVO und Patientendaten: Was auf Ihrer Praxis-Website erlaubt ist
• Patientendaten auf der Website schützen