dass ein Kunde ein Formular möchte aber sich nicht im klaren ist das die Inhalte im Internet übermittelt und ggf. mitgehört werden können.

Dafür hat er ja dich damit du ihm das erklärst.

Um Daten, insbesondere sensiblen Daten wie Adresse besser schützen zu können wäre eine verschlüsselte Übermittlung über https schon mal ein Anfang. Ist das in Deutschland Pflicht?

Rechtlich Pflicht hin oder her, ich würde es als persönliche Pflicht ansehen sowas zu machen.

• Muss das PHP-Admin zur Verwaltung der Daten ebenfalls über https laufen auch wenn die Applikation in einem passwortgeschützten Bereich htacess aufgerufen wird?

Vergleiche mal: der User sollte seine persönlichen Daten verschlüsselt eingeben können. Muss dann der uneingeschränkte Zugrif auf wirklich alles wases gibt nicht erst recht verschlüsselt werden?

Juristisch gibts hier wahrscheinlich wirklich nicht viel bindendes. Ich kann dich nur ermutigen dich mit https auseinander zu setzen. Rechnest du da mit viel Aufwand oder Schwierigkeiten?
Du brauchst ein Zertifikat auf dem Server, das ist *eigentlich* schon das aufwendigste.