Update Januar 2026
Zusammenfassung: Der PRIVA SCORE bewertet VPN-Dienste hinsichtlich ihrer Datenschutzfunktionen und kann maximal 294 Punkte erreichen. Proton VPN, Express VPN und CyberGhost haben das höchste Datenschutzniveau. Mullvad und SurfShark verpassen aufgrund der Jurisdiktion knapp die Bestwertung, sind aber aufgrund der No-Logs-Policy trotzdem solide Optionen.
Der PRIVA SCORE kann aufgrund der Berechnung bei der Bewertung von VPN-Diensten ein Maximum von 294 Punkten erhalten.
Wie immer gilt: Der PRIVA SCORE bewertet, wie gut Apps/Dienste die Datenschutzfunktionen erfüllen.
Was ist ein VPN und warum sollte ein VPN genutzt werden? (Klicken zum Öffnen und Schließen)
- Virtuelle private Netzwerke (VPNs) bieten eine gute Mischung aus Sicherheit und Datenschutz, indem sie den Internetverkehr durch einen sicheren „Tunnel“ leiten. Der sichere Tunnel führt zum VPN-Server des Anbieters und verschlüsselt alle Daten zwischen dem Endgerät (Smartphone, Computer, Tablet…) und diesem Server. So wird sichergestellt, dass jemand, der den Datenverkehr überwacht, keine verwertbaren, unverschlüsselten Daten findet.
- Der Datenschutz wird durch die Verwendung eines solchen Servers erhöht. Da der Datenverkehr scheinbar vom VPN-Server ausgeht, haben es Websites schwerer, Nutzer*innen zu verfolgen, Daten über sie zu sammeln und ihre Standorte zu bestimmen. Auch sollte ein VPN-Dienst immer eingesetzt werden, wenn ein öffentliches WLAN genutzt wird – zum Beispiel im Café, in der Bahn oder im Einkaufscenter. Denn der Internetanbieter des öffentlichen WLAN sieht ohne das VPN z.B. die Adressen aller aufgerufenen Seiten.
- VPNs bieten zwar mehr Datenschutz und Sicherheit, bieten aber keine vollständige Anonymität. VPNs ind keine perfekte Anonymitätslösung – auch wenn manche Anbieter es so anpreisen. Richtig ist, dass VPNs die eigene IP-Adresse und den eigenen Standort verbergen können. Das ist hilfreich für Datenschutz und Sicherheit (siehe oben) oder beim Zugriff auf gesperrte Inhalte. Dadurch, dass mit einem VPN geografische Beschränkungen umgangen werden können, kann auf diese Art auf Inhalte zugegriffen werden können, die im eigenen Land gesperrt sind. Das reicht vom Inhalt von Streaming-Diensten bis zur Umgehung von Firewalls. In manchen autokratischen Staaten werden Firewalls dazu genutzt, der Bevölkerung den Zugang zu unverfälschten Informationen zu verwehren. Diese Firewalls können mittels eines VPN umgangen werden, um an unverfälschte Informationen zu kommen.
- VPNs schützen nicht vor allen Arten der Überwachung, wie zum Beispiel Browser-Fingerprinting (ein digitaler Fingerabdruck ist im Wesentlichen eine Liste von Merkmalen, die für einzelne Benutzer*innen, ihre Browser und genutzte Geräte einzigartig sind), Malware oder physische Überwachung.
- Selbst wenn der VPN-Anbieter keine Protokolle führt, bedarf es immer noch eines gewissen Maßes an Vertrauen in den Anbieter. Denn es ist nicht absolut sicher, wie der Anbieter sich im Falle einer behördlichen Vorladung verhält. Ein weiterer Grund: Eine Anmeldung mit den Zugangsdaten auf einer Seite wie Amazon ergibt eine eindeutige Identifikation, gegen die ein VPN selbstverständlich nicht schützt.
- Vollständige Anonymität im Internet ist praktisch unmöglich zu erreichen, da es immer Möglichkeiten gibt, Nutzer*innen zu identifizieren, die über ein VPN hinausgehen. Ein VPN reduziert aber die „Angriffsfläche“.
Bei diesem Update gelten strengere Ampel-Schwellenwerte:
- Grün (Uneingeschränkt empfehlenswert): 294 Punkte – Nur VPN-Dienste, die alle Kriterien perfekt erfüllen
- Gelb (Mit Vorbehalt empfehlenswert): 273-259 Punkte – VPN-Dienste mit einzelnen Schwächen bei Jurisdiktion, Audits oder Tracking
- Rot (Nicht empfehlenswert): <135 Punkte – Fundamentale Datenschutzmängel
Diese strenge Auslegung reflektiert die Realität, dass selbst kleine Datenschutzlücken in der heutigen Überwachungslandschaft problematisch sein können.
Die Perfekten: Nur drei VPN-Dienste erfüllen alle Anforderungen (GRÜN)
ExpressVPN ist einer von nur drei VPN-Diensten, die bei strenger Bewertung die Bestnote erreichen. Die Jurisdiktion auf den Britischen Jungferninseln liegt außerhalb aller Überwachungsallianzen (5/9/14-Eyes) und schreibt keine Vorratsdatenspeicherung vor. Die No-Logs-Policy wurde durch 23 unabhängige Audits verifiziert, darunter drei KPMG-Prüfungen (zuletzt Februar 2025). Die TrustedServer-Technologie nutzt ausschließlich RAM-basierte Server ohne Festplatten. Der reale Beweis: Bei der Server-Beschlagnahmung durch türkische Behörden 2017 konnten keine Nutzerdaten gefunden werden.
CyberGhost mit Sitz in Rumänien profitiert von EU-Datenschutzgesetzen ohne Vorratsdatenspeicherungspflicht. Das Unternehmen unterzog sich 2022 und 2024 unabhängigen Audits durch Deloitte Rumänien, die bestätigten, dass keine Nutzeraktivitäten protokolliert werden. Der Kill Switch ist permanent aktiv und kann aus Sicherheitsgründen nicht deaktiviert werden. Die Transparenzberichte sind exemplarisch: Im Q2 2024 gingen 534.449 rechtliche Anfragen ein, die alle abgelehnt werden mussten, da keine Nutzerdaten existieren.
Proton VPN nutzt die strengen Schweizer Datenschutzgesetze optimal aus. Die Schweiz liegt außerhalb aller Überwachungsallianzen und gilt als eine der datenschutzfreundlichsten Jurisdiktionen weltweit. Aufeinanderfolgende Audits durch Securitum (2022-2024) bestätigten die No-Logs-Policy durch Inspektion der Server-Konfigurationen und Verwaltungssysteme. Der Transparenzbericht dokumentiert, dass alle behördlichen Anfragen nach Nutzeraktivitäten abgelehnt werden mussten.
Die Guten mit Vorbehalten: Acht VPN-Dienste mit einzelnen Schwächen (GELB)
NORD VPN: Warum nur GELB trotz Panama-Sitz und Deloitte-Audits? Eine Untersuchung von IT-Sicherheitsforscher Mike Kuketz (Oktober 2025) deckte auf, dass die NordVPN-App unmittelbar nach dem Start Datenverbindungen zu Google Firebase, Firebase Crashlytics und AppsFlyer aufbaut – noch vor der Nutzereinwilligung. Dies verstößt gegen deutsches Datenschutzrecht und DSGVO-Prinzipien.
Positiv: Panama liegt außerhalb der Eyes-Allianzen, die No-Logs-Policy für VPN-Verkehr wurde durch fünf Audits (PwC, Deloitte) bestätigt. Aber das App-Tracking disqualifiziert NordVPN für eine grüne Bewertung bei strenger Auslegung des Kriteriums „Keine Datenweitergabe„.
SurfShark: Warum nur GELB? Surfshark zog 2021 von den Britischen Jungferninseln in die Niederlande um. Die Niederlande sind Teil der Nine-Eyes-Allianz, was theoretische Überwachungsrisiken birgt. Bei strenger Bewertung reicht die Tatsache, dass keine Vorratsdatenspeicherungspflicht besteht, nicht aus, um die Eyes-Mitgliedschaft zu kompensieren.
Positiv: Deloitte-Audit Januar 2023 bestätigte die No-Logs-Policy, alle Server laufen im RAM-only-Modus. Aber die Jurisdiktion verhindert eine grüne Bewertung.
Mullvad: Warum nur GELB trotz legendärem Polizei-Raid? Mullvad ist in Schweden ansässig, einem 14-Eyes-Mitglied. Bei strenger Bewertung wiegt die Zugehörigkeit zu einer Überwachungsallianz schwer, auch wenn schwedisches Recht Mullvad nicht zur Datenspeicherung verpflichtet.
Der spektakuläre Polizei-Raid im April 2023 bewies zwar praktisch die No-Logs-Policy (sechs Beamte verließen ohne Daten das Büro), und Cure53/Assured AB führten positive Audits durch. Aber die Jurisdiktion verhindert grün.
Bitdefender Premium VPN: Warum nur GELB? Bitdefender nutzt die Infrastruktur des Partners Pango. Die Audits fanden auf Infrastruktur-Ebene statt (Aon Cyber Solutions, November 2022), nicht direkt für Bitdefender selbst. Bei strenger Bewertung ist ein indirektes Audit über einen Drittanbieter unzureichend für eine grüne Bewertung.
Positiv: Rumänien-Sitz (datenschutzfreundlich), alle technischen Tests bestanden, AES-256-Verschlüsselung. Aber die fehlenden direkten Big-Four-Audits verhindern grün.
Perfect Privacy: Warum nur GELB? Perfect Privacy hat keine formalen Audits durch renommierte Prüfungsgesellschaften. Bei strenger Bewertung ist das Fehlen unabhängiger Audits ein K.O.-Kriterium für grün, selbst wenn die Server-Beschlagnahmung 2016 als „praktischer Härtetest“ diente.
Positiv: Schweizer Jurisdiktion, Server-Beschlagnahmung 2016 ergab null Daten, RAM-Disk-Betrieb. Aber ohne formales Audit nur gelb.
Norton Secure VPN: Warum nur GELB? Norton ist in den USA ansässig, einem Gründungsmitglied der Five-Eyes-Allianz. Und angesichts des Gebaren der Administrations-Big-Tech-Allianz ist die US-Jurisdiktion ein fundamentales Problem, selbst wenn die technische Implementation einwandfrei ist.
Positiv: VerSprite-Audit 2025 bestätigte No-Logs (Datenschutzrisiko: „None“), alle technischen Schutzfunktionen vorhanden. Aber USA = automatisch nur gelb bei strenger Bewertung.
Die Nicht-Empfehlenswerten: Zwei VPN-Dienste mit fundamentalen Mängeln (ROT)
Ivacy: Warum ROT? Ivacy erfüllt mehrere kritische Kriterien nur unzureichend:
- Jurisdiktion Singapur: Enge Kooperation mit Five-Eyes-Ländern
Keine unabhängigen Audits: Null Verifizierung der No-Logs-Behauptungen
Problematische Muttergesellschaft: Gaditek betreibt auch andere VPN-Dienste mit fragwürdigen Datenschutzpraktiken
Bei strenger Bewertung disqualifiziert die Kombination aus unverifizierten No-Logs-Versprechen und problematischer Unternehmensstruktur Ivacy vollständig.
Avira Phantom VPN: Warum ROT? Avira Phantom ist der schlechteste VPN-Dienst im Test:
Speichert explizit IP-Adressen: Keine echte No-Logs-Policy
Keine Audits: Null unabhängige Verifizierung
Tracking möglich: IP-Speicherung ermöglicht Nutzer-Rückverfolgung
Avira Phantom erfüllt nicht die Mindestanforderungen an einen datenschutzorientierten VPN-Dienst und ist für sicherheitsbewusste Nutzer:innen nicht empfehlenswert.
Datenschutzfunktionen
Keine Datenweitergabe
Der VPN-Anbieter darf technisch und rechtlich nicht in der Lage sein, Ihre Daten an Dritte weiterzugeben. Dies wird durch Jurisdiktion, Infrastruktur (RAM-Server) und Geschäftspraktiken bestimmt.
Keine Protokollierung
Der Anbieter speichert keine Daten über Ihre Online-Aktivitäten (besuchte Websites, Downloads, Verbindungszeiten). Selbst bei behördlichen Anfragen existieren keine Informationen.
Jurisdiktion
Der rechtliche Standort bestimmt, welchen Überwachungsgesetzen der Anbieter unterliegt. 5-Eyes (USA, UK, Kanada, Australien, Neuseeland), 9-Eyes (+Niederlande, Frankreich, Dänemark, Norwegen) und 14-Eyes (+Deutschland, Schweden, Belgien, Italien, Spanien) haben Überwachungsabkommen. Datenschutzfreundlicher: Schweiz, Panama, Britische Jungferninseln, Rumänien.
Unabhängige Audits
Externe Sicherheitsexperten (KPMG, Deloitte, Cure53, Securitum) überprüfen, ob die Versprechen eingehalten werden. Audits inspizieren Server, Code und Prozesse.
Kill Switch
Notabschaltung, die bei VPN-Verbindungsabbruch das gesamte Internet blockiert, um versehentliche Datenübertragung über die ungeschützte Verbindung zu verhindern.
IP-Leckschutz
Verhindert, dass Ihre echte IP-Adresse (die Ihren Standort verrät) trotz aktiver VPN-Verbindung sichtbar wird.
DNS-Leckschutz
Verhindert, dass DNS-Anfragen (Website-Aufrufe) an die Server Ihres Internetanbieters gehen, wo sie protokolliert werden könnten. Gute VPNs nutzen eigene verschlüsselte DNS-Server.
Fazit: Strenge Bewertung für maximale Sicherheit
Bei strenger Auslegung der Datenschutzkriterien erreichen nur ExpressVPN, CyberGhost und Proton VPN die grüne Bewertung. Diese drei VPN-Dienste erfüllen ausnahmslos alle sieben Kriterien perfekt und sind für höchste Datenschutzanforderungen uneingeschränkt empfehlenswert.
Die gelb bewerteten acht VPN-Dienste (NordVPN, Surfshark, Mullvad, Bitdefender, Perfect Privacy, Norton) bieten ebenfalls guten Datenschutz, haben aber einzelne Schwächen: problematische Jurisdiktionen (Eyes-Allianzen), App-Tracking, fehlende direkte Audits oder US-Standort. Für die meisten Nutzer sind sie dennoch akzeptabel, aber nicht perfekt.
Ivacy und Avira Phantom sind bei strenger Bewertung nicht empfehlenswert: Fehlende Audits, problematische Datenprotokollierung und ungünstige Jurisdiktionen disqualifizieren diese Dienste für datenschutzbewusste Nutzer.
Empfehlung: Wählen Sie einen der drei grün bewerteten VPN-Dienste für maximalen Datenschutz. Wenn Budget oder spezifische Anforderungen eine Rolle spielen, können auch die gelb bewerteten Dienste in Betracht gezogen werden – aber informieren Sie sich über die jeweiligen Einschränkungen.
Erklärung der Datenschutzfunktionen
Unabhängige Audits: Einige VPN-Anbieter lassen ihre Systeme und Praktiken von unabhängigen Dritten überprüfen, um Transparenz und Vertrauen zu schaffen. Solche Audits bestätigen, dass die Datenschutzversprechen eingehalten werden.
Keine Protokollierung: VPN-Anbieter, die keine Protokolle ihrer Nutzer*innen führen, speichern keine Informationen über deren Aktivitäten (besuchte Seiten etc.).
Keine Datenweitergabe an Dritte: Vertrauenswürdige VPN-Anbieter geben die Daten ihrer Nutzer*innen nicht an Regierungen, Behörden oder andere Dritte weiter. Sie wahren die Privatsphäre ihrer Kundschaft.
Kill Switch: Dessen Funktion ist es, die Internetverbindung automatisch zu unterbrechen, wenn die VPN-Verbindung unerwartet abbricht. Der Kill Switch verhindert, dass die echte IP-Adresse des Geräts preisgegeben wird, wenn die VPN-Verbindung verloren geht. Dadurch wird sichergestellt, dass die Daten der Nutzer*innen weiterhin geschützt bleiben.
IP-Leckschutz: Diese Funktion verhindert, dass die echten IP-Adressen der Nutzer*innen versehentlich außerhalb des VPN-Tunnels gelangen und so ihre Identität preisgeben. Eine IP-Adresse ist eine eindeutige numerische Kennung, die jedem Gerät in einem Computernetzwerk oder im Internet zugewiesen wird, um die Kommunikation und Identifizierung zwischen den Geräten zu ermöglichen.
DNS-Leckschutz: Dieser Schutz stellt sicher, dass DNS-Anfragen nicht an den eigentlichen Internetanbieter der Nutzer*in, sondern an sichere DNS-Server des VPN-Anbieters geleitet werden. Ein DNS (Domain Name System) ist ein verteiltes Verzeichnissystem, das Domainnamen in die zugehörigen IP-Adressen übersetzt, um die Kommunikation zwischen Computern im Internet zu ermöglichen.
Jurisdiktion: Der Standort des VPN-Anbieters und die dort geltenden Gesetze sind wichtig für den Datenschutz. Anbieter in Ländern mit strikten Datenschutzgesetzen bieten mehr Sicherheit.
DE_DE 
EN