Jeder VPN-Anbieter verspricht dir vollständige Anonymität, lückenlose Privatsphäre und eine strikte No-Logs-Politik. Doch zwischen Marketingversprechen und technischer Realität klafft oft eine gefährliche Lücke – und diese Lücke kann im schlimmsten Fall deine Identität kosten. Wer wirklich nichts speichert, muss das beweisen können: durch unabhängige Audits, transparente Infrastruktur und im Zweifelsfall durch Gerichtsverfahren, die zeigen, was ein Anbieter tatsächlich herausgeben kann. Dieser Vergleich durchleuchtet die wichtigsten Anbieter technisch und zeigt dir, welche Versprechen substanziell sind – und welche nur leere Werbefloskeln.
No-Logs-Versprechen vs. Realität
Das Problem beginnt bereits bei der Definition. Was genau bedeutet „keine Logs“? Viele Anbieter speichern keine Verbindungsinhalte, wohl aber Metadaten: Verbindungszeitpunkte, verwendete Serverstandorte oder aggregierte Bandbreitendaten. Technisch gesehen sind das ebenfalls Logs – nur keine, die der Anbieter so nennt. Dieses semantische Spiel ist im VPN-Markt weit verbreitet und für normale Nutzer kaum zu durchschauen.
Besonders lehrreich sind historische Fälle, in denen Anbieter trotz gegenteiliger Beteuerungen Daten lieferten. IPVanish – damals noch unter anderem Eigentümer – übergab 2016 dem FBI detaillierte Verbindungsprotokolle eines Nutzers, obwohl das Unternehmen eine strikte No-Logs-Politik beworben hatte. HideMyAss lieferte 2011 Daten an britische Behörden, die zur Verhaftung eines LulzSec-Mitglieds führten. PureVPN kooperierte 2017 mit dem FBI und übergab Zeitstempel sowie IP-Adressen – trotz öffentlichem No-Logs-Versprechen. Diese Fälle zeigen: Ohne technische Überprüfung ist jedes Versprechen wertlos.
Was ein unabhängiges Audit wirklich prüft
Nicht jedes Audit ist gleich. Du musst verstehen, was eine Prüfung tatsächlich abdeckt, um ihren Wert einschätzen zu können. Code-Audits untersuchen den Quellcode des VPN-Clients auf Sicherheitslücken, Backdoors und unsichere Implementierungen. Sie sagen jedoch nichts darüber aus, was auf den Servern des Anbieters passiert. Infrastruktur-Audits gehen tiefer: Prüfer verifizieren physisch oder remote die Serverumgebung und prüfen, ob die beschriebenen No-Logs-Konfigurationen tatsächlich implementiert sind. Penetrationstests simulieren Angriffe auf die Systeme und prüfen, ob ein externer Angreifer an Nutzerdaten gelangen könnte.
Unter den renommierten Prüfunternehmen sticht Cure53 hervor – das Berliner Sicherheitsunternehmen hat Audits für Mozilla, ProtonVPN und Mullvad durchgeführt und veröffentlicht seine Berichte in der Regel vollständig. Deloitte prüfte ExpressVPN und NordVPN; die Berichte sind detailliert, aber teilweise nur in gekürzter Form öffentlich. KPMG auditierte Surfshark und veröffentlichte ebenfalls einen zusammenfassenden Bericht. Entscheidend für dich als Nutzer ist nicht nur, wer geprüft hat, sondern ob der vollständige Bericht einsehbar ist und wie regelmäßig die Audits wiederholt werden.
Die großen Anbieter unter der Lupe
ExpressVPN
ExpressVPN hat mehrere Audits durch Cure53 und PwC durchführen lassen. Der Infrastruktur-Audit von PwC aus dem Jahr 2019 bestätigte die No-Logs-Politik, allerdings war der Bericht nur auszugsweise öffentlich. Seit der Übernahme durch Kape Technologies im Jahr 2021 ist das Vertrauen in der Community gesunken – nicht weil konkrete Verstöße bekannt wurden, sondern weil Kape zuvor Adware-Produkte vertrieben hatte. Deloitte auditierte ExpressVPN 2022 erneut und bestätigte die No-Logs-Implementierung. Die Audit-Frequenz ist solide, die Transparenz bei der Veröffentlichung der vollständigen Berichte jedoch ausbaufähig.
NordVPN
NordVPN ließ sich nach einem Servereinbruch im Jahr 2018 – der erst 2019 publik wurde – besonders intensiv prüfen. Seitdem hat das Unternehmen mehrere Audits durch Cure53 und Deloitte durchgeführt. Bemerkenswert: Der Deloitte-Infrastruktur-Audit von 2023 war umfangreicher als bei den meisten Wettbewerbern und überprüfte stichprobenartig mehrere Serverstandorte weltweit. NordVPN betreibt zudem ein Bug-Bounty-Programm über HackerOne, was die Sicherheitskultur positiv beeinflusst. Seit 2024 veröffentlicht NordVPN regelmäßige Transparenzberichte mit Statistiken zu behördlichen Anfragen.
Mullvad
Mullvad ist in der Sicherheits-Community für seine radikale Transparenzphilosophie bekannt. Cure53 auditierte sowohl den Client-Code als auch Teile der Serverinfrastruktur; die vollständigen Berichte sind auf der Website des Anbieters frei zugänglich. Mullvad verzichtet auf Nutzerkonten im traditionellen Sinne – du bekommst eine zufällige Kontonummer, keine E-Mail-Adresse ist erforderlich. Bezahlung ist anonym per Bargeldbrief oder Kryptowährung möglich. Das minimiert das Logging strukturell, nicht nur durch Policy. Der Preis ist bewusst einfach gehalten: 5 Euro pro Monat, keine Jahresrabatte, keine Lockangebote – was in einer Branche, die mit aggressivem Marketing arbeitet, fast schon erfrischend ist.
ProtonVPN
ProtonVPN, entwickelt vom Team hinter Proton Mail in der Schweiz, hat Cure53 mehrfach mit Audits beauftragt. Der Quellcode der Clients ist vollständig Open Source, die Audit-Berichte sind öffentlich. Proton profitiert zudem vom Schweizer Datenschutzrecht, das zu den strengsten der Welt gehört und insbesondere keinen Zwang zur Vorratsdatenspeicherung kennt. Bei einem Infrastruktur-Audit 2022 wurden keine kritischen Schwachstellen gefunden, kleinere Empfehlungen wurden nachweislich umgesetzt. ProtonVPN bietet zudem einen kostenlosen Tarif an – mit Einschränkungen, aber ohne Logs.
Technische Maßnahmen, die Logging strukturell verhindern
RAM-only-Server
Die überzeugendste Antwort auf die Frage nach dem Logging ist keine Policy, sondern Technik. RAM-only-Server – auch als diskless Server bezeichnet – speichern alle Daten ausschließlich im flüchtigen Arbeitsspeicher. Beim Neustart oder einer Beschlagnahmung sind sämtliche Daten unwiederbringlich gelöscht, weil RAM ohne Stromversorgung keine Informationen behält. ExpressVPN nennt diese Technologie „TrustedServer", NordVPN hat sie ebenfalls flächendeckend eingeführt. Der entscheidende Vorteil: Selbst wenn Behörden einen Server physisch beschlagnahmen, erhalten sie leere Hardware.
Open Source und reproduzierbare Builds
Open-Source-Clients ermöglichen es der Community, den Code auf versteckte Logging-Funktionen zu überprüfen. Mullvad und ProtonVPN veröffentlichen ihren Client-Code vollständig auf GitHub. Doch Open Source allein reicht nicht aus – du musst auch sicherstellen, dass der Code, den du herunterlädst, identisch mit dem veröffentlichten Quellcode ist. Reproduzierbare Builds lösen dieses Problem: Wenn du den Code selbst kompilierst und das Ergebnis mit dem offiziellen Download übereinstimmt, kannst du sicher sein, dass keine Manipulationen stattgefunden haben. Mullvad unterstützt reproduzierbare Builds für seinen Desktop-Client – ein Merkmal, das in der Branche noch immer selten ist.
WireGuard und Logging-Risiken
Ein Detail, das selten diskutiert wird: Das WireGuard-Protokoll – das mittlerweile von fast allen großen Anbietern als schnellste und modernste Option angeboten wird – speichert im Standard-Design die IP-Adresse des letzten verbundenen Nutzers im Arbeitsspeicher, solange die Verbindung aktiv ist. Seriöse Anbieter haben dieses Problem gelöst: NordVPN entwickelte „NordLynx" (eine WireGuard-Variante mit doppeltem NAT-System, das IP-Adressen verschleiert), Mullvad löscht die IP-Adresse nach wenigen Minuten Inaktivität automatisch. Achte darauf, ob dein Anbieter diese WireGuard-Logging-Problematik explizit adressiert – wenn nicht, ist das ein Warnsignal.
Gerichtsurteile als ultimativer Praxistest
Der härteste Test für ein No-Logs-Versprechen ist kein Audit, sondern eine staatliche Datenaufforderung. Hier zeigt sich, was ein Anbieter wirklich liefern kann – oder eben nicht.
NordVPN wurde 2018 von Behörden zur Herausgabe von Nutzerdaten aufgefordert. Das Ergebnis: Das Unternehmen konnte keine verwertbaren Informationen übergeben, weil keine gespeichert waren. Dieser Fall gilt als einer der stärksten realen Beweise für eine funktionierende No-Logs-Politik.
Der Fall IPVanish bleibt dagegen das abschreckende Gegenbeispiel. Das FBI forderte im Rahmen einer Ermittlung Verbindungsdaten an – und IPVanish lieferte detaillierte Logs, die zur Identifizierung des Verdächtigen führten. Das Unternehmen hatte zu diesem Zeitpunkt aktiv damit geworben, keinerlei Daten zu speichern. Unter neuem Eigentümer hat IPVanish seitdem Audits durchführen lassen, doch das Vertrauen vieler Nutzer ist dauerhaft beschädigt. Die Lektion: Ein Eigentümerwechsel kann die Datenschutzpolitik eines Anbieters grundlegend verändern, ohne dass du es merkst.
Mullvad wurde 2023 Ziel einer Hausdurchsuchung durch schwedische Behörden. Die Beamten verließen die Büros ohne verwertbare Daten – weil es schlicht keine gab. Dieses Ereignis bestätigte in der Praxis, was Audits theoretisch bescheinigt hatten. Es ist der bisher stärkste reale Beweis dafür, dass ein strukturell auf Datenvermeidung ausgelegtes System tatsächlich funktioniert.
Fazit: So wählst du den richtigen Anbieter
Für deine Entscheidung solltest du mehrere Kriterien systematisch prüfen. Audit-Frequenz und Transparenz sind entscheidend: Jährliche Audits durch renommierte Firmen, deren vollständige Berichte öffentlich zugänglich sind, setzen den Goldstandard. Serverarchitektur spielt eine ebenso große Rolle – RAM-only-Server sind technisch überzeugender als jedes schriftliche Versprechen. Der Rechtssitz des Anbieters bestimmt, welchen Gesetzen er unterliegt: Die Schweiz (ProtonVPN), Schweden (Mullvad) und Panama (NordVPN) bieten stärkere Datenschutzgrundlagen als US-amerikanische oder britische Jurisdiktionen, die in der Five-Eyes-Allianz zur nachrichtendienstlichen Zusammenarbeit verpflichtet sind. Prüfe außerdem, ob Transparenzberichte veröffentlicht werden, in denen behördliche Anfragen dokumentiert sind.
Für maximale Privatsphäre und Anonymität ist Mullvad derzeit die überzeugendste Wahl – konsequente Technik, vollständige Transparenz, anonyme Bezahlung und ein realer Praxistest durch Strafverfolgungsbehörden. ProtonVPN überzeugt durch Schweizer Rechtssitz und Open-Source-Philosophie und eignet sich besonders, wenn du den VPN-Dienst mit verschlüsselter E-Mail und Cloud-Speicher kombinieren möchtest. NordVPN bietet einen guten Kompromiss aus Sicherheit, Geschwindigkeit und Benutzerfreundlichkeit – inklusive umfangreicher Transparenzberichte und dem stärksten Servernetzwerk. ExpressVPN ist technisch solide, verliert aber durch den Kape-Eigentümer Punkte bei sicherheitsbewussten Nutzern. Lass dich nicht von Marketingversprechen blenden – verlange Beweise, und wähle den Anbieter, der sie liefern kann.
* Dieser Beitrag enthält Affiliate-Links. Bei einem Kauf oder Abschluss über diese Links erhalten wir eine kleine Provision – für dich entstehen keine Mehrkosten.
Affiliate-Hinweis: Dieser Beitrag enthält Affiliate-Links (mit * oder als Amazon-Partnerlink gekennzeichnet). Bei einem Kauf über diese Links erhalten wir eine kleine Provision – für dich entstehen dabei keine zusätzlichen Kosten. Wir empfehlen nur Produkte, die wir für sinnvoll halten.
