VPN-Anbieter im Vergleich: Wer schützt dich wirklich – und wer hat bereits kapituliert?

Praktisch jeder VPN-Anbieter verspricht dasselbe: keine Logs, maximale Anonymität, totaler Datenschutz. Das klingt gut. Die Realität sieht oft anders aus. Sobald Strafverfolgungsbehörden anklopfen, trennt sich die Spreu vom Weizen – und manche Anbieter haben dabei eine wenig schmeichelhafte Figur gemacht.

Dieser Artikel zeigt, was die großen Namen wirklich taugen, warum Marketing und Praxis auseinanderklaffen – und warum Mullvad in einer eigenen Liga spielt.

---

Das eigentliche Kriterium: Was passiert, wenn die Polizei kommt?

Ein VPN-Anbieter kann noch so schöne Datenschutzerklärungen veröffentlichen. Die einzige Frage, die zählt: Was passiert, wenn ein Gericht oder eine Behörde Daten anfordert?

Die ehrliche Antwort: Die meisten Anbieter liefern das, was sie haben. Und was sie haben, ist mehr als sie zugeben.

---

Mullvad – der Praxistest, den kein anderer bestanden hat

Im April 2023 klopfte die schwedische Polizei an die Tür von Mullvad VPN in Göteborg. Nicht mit einer freundlichen Anfrage, sondern mit einem gerichtlich angeordneten Durchsuchungsbefehl – ausgestellt auf Initiative der deutschen Strafverfolgungsbehörden im Rahmen eines Ermittlungsverfahrens wegen eines Cyberangriffs auf kommunale Einrichtungen in Mecklenburg-Vorpommern.

Mindestens sechs Polizeibeamte der Nationalen Einsatzabteilung (NOA) der schwedischen Polizei erschienen mit dem Ziel, Computer mit Kundendaten zu beschlagnahmen. Was sie vorfanden: nichts. Mullvad zeigte den Beamten, dass der Dienst tatsächlich so funktioniert wie beschrieben – woraufhin die Polizei den Staatsanwalt konsultierte und anschließend ohne etwas mitzunehmen abzog.

Mullvad argumentierte, die Beamten hätten keinen Grund gehabt zu erwarten, fündig zu werden – und eine Beschlagnahmung wäre daher nach schwedischem Recht illegal gewesen.

Das ist kein Marketing. Das ist ein realer Praxistest unter juristischem Druck – und Mullvad hat ihn bestanden.

→ Offizielle Stellungnahme von Mullvad: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised

Was Mullvad außerdem auszeichnet

• Kein Konto, keine E-Mail: Bei der Registrierung wird lediglich eine zufällige Account-Nummer generiert. Kein Name, keine E-Mail-Adresse, keine persönlichen Daten erforderlich.
• Anonyme Bezahlung: Mullvad akzeptiert Bargeld per Post, Monero und Bitcoin über Lightning – damit lässt sich das Abonnement vollständig anonym und ohne Drittbeteiligung bezahlen.
• Flat-Rate-Preismodell: 5 Euro pro Monat, keine Rabattfallen bei Langzeitabos, keine versteckten Bindungen.
• Open Source: Client-Apps sind öffentlich einsehbar.
• RAM-only-Server: Kein persistenter Speicher auf den Servern – ein Neustart löscht alles.
• Regelmäßige unabhängige Audits: Die No-Logs-Politik wurde mehrfach extern überprüft.

---

NordVPN – Marketingweltmeister mit fragwürdiger Bilanz

NordVPN ist der meistbeworbene VPN-Anbieter der Welt. Das Unternehmen mit Sitz in Panama betreibt ein aggressives Affiliate-Marketing und findet sich in fast jeder „Top 10″-Liste – häufig bezahlt.

Was NordVPN weniger gerne kommuniziert: In einer überarbeiteten Datenschutzerklärung räumte NordVPN ein, die verarbeiteten Kundendaten ab dem 1. Juli 2020 an Behörden weiterzugeben, sofern die Identifikation eines Straftäters möglich sei.

Noch bemerkenswerter: NordVPN hatte einen Blogbeitrag aus dem Jahr 2017 in aller Stille geändert und dabei eingeräumt, dass man die VPN-Aktivitäten der Kunden protokollieren kann – wenn auch angeblich nur auf gerichtliche Anordnung. Der alte Beitrag hatte noch versprochen, behördlichen Anfragen grundsätzlich nicht nachzukommen.

Hinzu kommt: NordVPN teilt Kundendaten mit Drittanbietern wie Google und anderen Analysefirmen für Zahlungsabwicklung, E-Mail-Automatisierung und Website-Diagnosen.

Die No-Logs-Versprechen wurden durch externe Audits von PwC und Deloitte bestätigt – was für technische Aktivitätslogs gilt. Dass NordVPN jedoch Kontodaten (E-Mail, Zahlungsinformationen) speichert und unter bestimmten Umständen weitergibt, bleibt eine Tatsache.

→ Schlagzeile: NordVPN räumt Strafverfolgungsbehörden Datenweitergabe ein

→ Schlagzeile: NordVPN: Wir erfüllen die Datenanfragen der Strafverfolgungsbehörden

---

ProtonVPN – schweizer Datenschutz mit Ablaufdatum

Proton wirbt intensiv mit dem Schweizer Datenschutz als Alleinstellungsmerkmal. Das Versprechen ist nicht vollständig falsch – aber es hat klare Grenzen.

2021 gab ProtonMail auf Anordnung von Europol IP-Adressen von Nutzern an französische Behörden weiter. Betroffen waren Aktivisten der Klimagruppe „Youth for Climate". ProtonVPN und ProtonMail teilen sich die zugrundeliegende Infrastruktur und das Unternehmen.

2024 folgte ein weiterer Fall: ProtonMail gab die Wiederherstellungs-E-Mail-Adresse eines Nutzers an spanische Behörden weiter, was zur Verhaftung eines Mitglieds der katalanischen Unabhängigkeitsbewegung führte.

Im Jahr 2024 gab Proton in über 10.000 Fällen Nutzerdaten an Behörden weiter – und wehrte sich nur in weniger als sechs Prozent dieser Fälle rechtlich gegen die Anordnungen.

Der entscheidende Punkt: Was Proton liefern kann, hängt davon ab, wie man bezahlt. Wer per Kreditkarte zahlt, hinterlässt über den Zahlungsdienstleister Chargebee Spuren, die zur Identifikation führen können. Wer anonym mit Kryptowährung bezahlt, reduziert dieses Risiko erheblich.

ProtonVPN selbst hat keine dokumentierten Fälle von weitergegebenen VPN-Verbindungsdaten. Die Verbindung zum ProtonMail-Ökosystem und die steigende Bereitschaft zur Behördenkooperation sind jedoch Faktoren, die man kennen sollte.

→ Schlagzeile: ProtonMail gab IP-Adressen von Nutzer:innen heraus

→ Schlagzeile: Proton: Nutzeridentifizierung durchs FBI bringt Schweizer Datenschutz ins Wanken

→ Schlagzeile: Proton erhielt 72 % mehr behördliche Anfragen für Nutzerdaten im Jahr 2024

---

ExpressVPN – solide Technik, problematischer Eigentümer

ExpressVPN ist technisch gut aufgestellt: RAM-only-Server, unabhängige Audits durch KPMG und PwC, Sitz auf den Britischen Jungferninseln außerhalb der 14-Eyes-Allianz. 2017 beschlagnahmten türkische Behörden einen ExpressVPN-Server – die Beamten fanden keine verwertbaren Nutzerdaten.

Das Problem liegt woanders: Seit September 2021 gehört ExpressVPN zum Firmenkonglomerat KAPE Technologies, das früher unter dem Namen Crossrider bekannt war – einem Framework, das für die Entwicklung von Adware durch Dritte genutzt wurde.

ExpressVPN beteuert, dass der VPN-Betrieb weiterhin unabhängig läuft. Das mag stimmen. Die Eigentümerstruktur bleibt dennoch ein Vertrauensproblem – insbesondere für Nutzer, bei denen Datenschutz nicht nur ein Feature, sondern ein Grundprinzip ist.

Wer ExpressVPN nutzt, bekommt ein technisch gutes Produkt. Wer wissen will, wessen Hände letztlich am Steuer sind, sollte das einkalkulieren.

---

Surfshark – günstig, mit Niederlanden-Problem

Surfshark ist einer der günstigsten ernstzunehmenden VPN-Anbieter, technisch solide (RAM-only-Server, WireGuard, No-Logs-Audit durch Deloitte 2025) und bietet unbegrenzte gleichzeitige Verbindungen.

Surfshark hat seinen Sitz in den Niederlanden, einem Land, das der 14-Eyes-Allianz angehört. Das bedeutet theoretisch, dass niederländische Behörden Daten mit Geheimdienst-Partnerländern teilen können. Praktisch schützt eine konsequente No-Logs-Policy davor – aber das Vertrauen hängt stärker von der Technik als von der Jurisdiktion ab.

Surfshark veröffentlicht einen „Warrant Canary", der über behördliche Anfragen informiert. Bislang keine bekannten Vorfälle mit weitergegebenen Nutzerdaten.

---

CyberGhost – Transparenz als Marketingmittel

CyberGhost ist seit 2011 aktiv und veröffentlicht als einer der ersten VPN-Anbieter überhaupt quartalsweise Transparenzberichte. Das klingt vorbildlich.

Weniger vorbildlich ist die Eigentümerstruktur: CyberGhost gehört wie ExpressVPN zu KAPE Technologies. Analysen der AGB zeigen, dass CyberGhost nach eigenem Ermessen mit öffentlichen oder privaten Behörden kooperieren kann – was in der englischsprachigen Version der Nutzungsbedingungen explizit eingeräumt wird.

Dass CyberGhost und ExpressVPN denselben Eigentümer haben, ist für sich genommen kein Beweis für Fehlverhalten. Es ist aber ein Grund, genauer hinzuschauen als bei unabhängig betriebenen Diensten.

---

Brave VPN – Browser-VPN mit US-Jurisdiktion

Brave VPN wird in Kooperation mit Guardian betrieben, einem amerikanischen Unternehmen. Brave führt keine Logs und speichert keine Aufzeichnungen über Benutzeraktivitäten – das schließt Traffic, DNS-Anfragen, Verbindungsdaten, IP-Adressen und Bandbreite ein.

Das technische Konzept ist durchdacht: Aufgrund des Systemdesigns ist es für Brave unmöglich, etwas über die VPN-Nutzung herauszufinden – außer der Tatsache, dass eine bestimmte E-Mail-Adresse ein Abonnement gekauft hat.

Das strukturelle Problem: Sowohl Brave als auch Guardian sind US-amerikanische Unternehmen, die zur Zusammenarbeit mit US-Behörden verpflichtet sind. US-Geheimdienste operieren unter einer anderen Rechtslage als europäische Strafverfolgungsbehörden – mit weitreichenderen Befugnissen und weniger Transparenzpflichten gegenüber Betroffenen.

Für gelegentlichen Datenschutz im Browser: brauchbar. Als primäres Datenschutz-Tool für sensible Anwendungsfälle: zu viele Fragezeichen.

---

IVPN – die unterschätzte Alternative

Kaum bekannt, aber von Datenschutz-Experten regelmäßig empfohlen: IVPN aus Gibraltar. Keine Logs, keine persönlichen Daten bei der Registrierung erforderlich – nicht einmal eine E-Mail-Adresse. IVPN akzeptiert außerdem Bargeld, Monero und Bitcoin.

IVPN betreibt ausschließlich selbst verwaltete Server, hat kein Affiliate-Programm und zahlt nicht für Testberichte – was erklärt, warum der Dienst in keiner „Top 10″-Liste auftaucht. Wer unabhängige Empfehlungen sucht (z.B. von privacyguides.org), wird IVPN dort finden.

---

nadanada – der Bitcoin-native Ansatz

nadanada (früher LNVPN) ist kein klassischer VPN-Anbieter im üblichen Sinne, sondern ein anonymer Connectivity-Service aus der Bitcoin-Community. Neben WireGuard-VPN bietet die Plattform anonyme eSIM-Datentarife und Wegwerf-Telefonnummern an.

Was nadanada von anderen unterscheidet: Es gibt keinerlei Account-Erstellung, keine E-Mail-Adresse, keine Identitätsprüfung (KYC). Bezahlt wird per Bitcoin Lightning – mit 5 % Rabatt – oder mit Monero, Zcash und anderen Kryptowährungen. Tages-, Wochen- und Jahrespläne ab 0,50 Dollar täglich.

Einen unabhängigen Sicherheitsaudit wie Mullvad gibt es nicht, und der Dienst ist vergleichsweise klein und unbekannt. Für gelegentliche, strikt anonyme VPN-Nutzung – ohne jede Verknüpfung zur eigenen Identität – ist nadanada aber eine interessante Option.

→ Website: nadanada.me

---

Nym – kein VPN, sondern ein Mixnet

Nym gehört in eine eigene Kategorie und verdient dennoch eine Erwähnung: Es ist kein klassischer VPN-Dienst, sondern ein Mixnet – ein Onion-Routing-Netzwerk ähnlich wie Tor, aber mit einem entscheidenden Unterschied im Incentive-Design.

Wie bei Tor kann jeder einen Knoten betreiben. Anders als bei Tor werden Knotenbetreiber über ein Token-Ökonomie-Modell (NYM-Token) für ihre Arbeit bezahlt – was langfristig für stabilere Infrastruktur sorgen soll als das rein ehrenamtliche Tor-Netzwerk. Die Anforderungen an die Hardware sind allerdings deutlich höher als bei Tor: Ein günstiger VPS reicht nicht.

Durch das Mixnet-Prinzip werden Metadaten – wer kommuniziert mit wem, wann und wie viel – aktiv verschleiert. Das geht über das hinaus, was ein normales VPN leisten kann. Logging ist strukturell kein Thema, weil einzelne Knoten nur Fragmente des Traffics sehen.

Bezahlung als Nutzer ist anonym möglich, unter anderem mit Monero (XMR). Nach anfänglichen Kinderkrankheiten funktioniert der Dienst inzwischen zuverlässig. Die iOS-App ist aktuell noch über TestFlight verfügbar.

→ Website: nymtech.net

---

Zusammenfassung

Anbieter	Praxistest bestanden	Anonyme Registrierung	Lightning/Bitcoin	Jurisdiktion	Eigentümer
Mullvad	✅ (Razzia 2023)	✅	✅	Schweden	Unabhängig
IVPN	✅ (Audit)	✅	✅	Gibraltar	Unabhängig
NordVPN	⚠️ Datenweitergabe eingeräumt	❌	❌	Panama	Nord Security
ProtonVPN	⚠️ Schwesterunternehmen auffällig	❌	teilweise	Schweiz	Proton AG
ExpressVPN	✅ (Türkei 2017)	❌	❌	Brit. Jungferninseln	KAPE Technologies
Surfshark	✅ (bisher keine Vorfälle)	❌	❌	Niederlande (14 Eyes)	Nord Security
CyberGhost	⚠️ AGB-Klauseln	❌	❌	Rumänien	KAPE Technologies
Brave VPN	✅ (Audit)	❌	❌	USA	Brave/Guardian
nadanada	⚠️ kein ext. Audit	✅	✅	unbekannt	Unabhängig

---

Fazit

Wer ein VPN aus Datenschutzgründen nutzt – nicht zum Geoblocking, nicht zum Streaming –, braucht einen Anbieter, der bewiesen hat, dass er auch unter Druck nichts liefert. Mullvad ist der einzige Anbieter, bei dem dieser Beweis unter realen Bedingungen angetreten wurde: mit einem Durchsuchungsbefehl, sechs Polizeibeamten und dem Ergebnis, dass die Beamten unverrichteter Dinge abzogen.

Wer zusätzlich vollständig anonym bleiben will, zahlt bei Mullvad per Lightning oder schickt Bargeld per Post. Keine E-Mail, kein Konto, keine Verknüpfung zur eigenen Person.

Das ist kein Versprechen. Das ist Infrastruktur.

---

Du möchtest mehr über digitale Selbstverteidigung erfahren? Schau in unsere Workshop-Angebote – wir zeigen, wie man Mullvad und ähnliche Tools praktisch einsetzt.