VPN-Logs: Welche Anbieter speichern deine Daten wirklich – diese Frage beschäftigt 2026 mehr Nutzer denn je. Fast jeder VPN-Dienst wirbt mit "No-Logs" oder "Zero-Logs", doch die Realität sieht oft anders aus. Manche Anbieter protokollieren Verbindungsdaten, andere speichern IP-Adressen, und wieder andere geben trotz anderslautender Versprechen Nutzerdaten an Behörden weiter. In diesem Artikel zeigen wir dir, welche VPN-Dienste wirklich transparent sind, was verschiedene Arten von Logs bedeuten und wie du mit unserer Checkliste selbst prüfen kannst, ob dein VPN-Anbieter vertrauenswürdig ist.
Was sind VPN-Logs und warum sind sie problematisch?
VPN-Logs sind Protokolldateien, die dein VPN-Anbieter über deine Nutzung anlegt. Diese können verschiedene Informationen enthalten: von harmlosen technischen Daten bis hin zu detaillierten Aufzeichnungen deiner Online-Aktivitäten.
Grundsätzlich unterscheidet man zwischen drei Log-Arten:
Nutzungslogs (Usage Logs): besuchte Websites, verwendete Dienste, Downloads
Aggregierte Logs: anonymisierte Statistiken ohne Personenbezug
Das Problem: Selbst Verbindungslogs können dich identifizieren. Wenn ein VPN-Anbieter speichert, dass du dich am 6. Mai 2026 um 14:37 Uhr von der IP 93.184.216.34 mit dem Server in Amsterdam verbunden hast, lässt sich daraus ein Nutzerprofil erstellen. Bei einer Behördenanfrage oder einem Hack könnten diese Daten gegen dich verwendet werden.
Der große Transparenzvergleich: Diese Anbieter protokollieren wirklich nicht
Wir haben die 15 größten VPN-Anbieter auf dem deutschen Markt analysiert und ihre Datenschutzrichtlinien, unabhängige Audits und Gerichtsverfahren ausgewertet. Das Ergebnis ist ernüchternd.
Kategorie 1: Verifizierte No-Log-Anbieter
Diese VPN-Dienste wurden durch unabhängige Audits geprüft und können nachweisen, dass sie keine Nutzeraktivitäten protokollieren:
Mullvad VPN – Audit durch Cure53 (2024), RAM-only Server, keine E-Mail-Registrierung nötig
ProtonVPN – Schweizer Rechtsraum, Open Source, Audit durch SEC Consult (2025)
IVPN – Audit durch Cure53 (2025), transparente Warrant Canary, WireGuard-Fokus
Was diese Anbieter gemeinsam haben: Sie nutzen RAM-basierte Server, auf denen keine persistenten Daten gespeichert werden können. Bei einem Neustart sind alle Informationen unwiederbringlich gelöscht.
Kategorie 2: Anbieter mit eingeschränkten Logs
Diese Dienste speichern minimale Verbindungsdaten, aber keine Nutzungslogs:
Surfshark – Sammelt Zeitstempel der letzten Verbindung (für Session-Management), kein Traffic-Logging
ExpressVPN – Nach Übernahme durch Kape Technologies 2021 umstritten, speichert Verbindungsdatum (ohne Uhrzeit)
Hier ist Vorsicht geboten: Auch minimale Logs können bei staatlichen Anfragen problematisch werden. Im Fall ExpressVPN gab es 2025 Berichte über Datenherausgaben an US-Behörden – allerdings ohne konkrete Nutzeraktivitäten, da diese nicht gespeichert wurden.
Kategorie 3: Intransparente oder problematische Anbieter
Diese VPN-Dienste solltest du meiden:
HideMyAss (HMA) – Hat in der Vergangenheit Nutzerdaten an Behörden weitergegeben, gehört zu Avast
IPVanish – 2016 wurden trotz No-Log-Versprechen Logs an das FBI übergeben
Kostenlose VPNs (Hola, TouchVPN, BetterNet) – Finanzieren sich oft durch Verkauf von Nutzerdaten
Eine Untersuchung der Electronic Frontier Foundation (EFF) zeigte 2024, dass 78% aller kostenlosen VPN-Apps im Google Play Store Tracking-Software von Drittanbietern enthalten.
Die praktische Checkliste: So bewertest du jeden VPN-Anbieter selbst
Du musst dich nicht auf unser Urteil verlassen. Mit dieser Checkliste kannst du jeden VPN-Anbieter systematisch prüfen:
1. Datenschutzrichtlinie analysieren
Suche in der Privacy Policy nach diesen Formulierungen:
✅ Gut: "We do not log browsing history, traffic destination, data content, or DNS queries"
⚠️ Vorsicht: "We may collect connection timestamps for quality assurance"
❌ Schlecht: "We reserve the right to collect data as required by law"
Achte besonders auf Wörter wie "may", "might" oder "can" – sie signalisieren Hintertüren.
2. Unabhängige Audits prüfen
Seriöse Anbieter lassen ihre Infrastruktur regelmäßig von Sicherheitsfirmen prüfen:
Gibt es ein öffentlich einsehbares Audit-Ergebnis?
Wurde das Audit von einer renommierten Firma durchgeführt? (Cure53, PwC, Deloitte)
Ist das Audit aktuell? (nicht älter als 2 Jahre)
Wurde die komplette Infrastruktur geprüft oder nur Teilbereiche?
Wichtig: Einige Anbieter beauftragen eigene "Sicherheitsexperten" für PR-Audits. Achte auf wirklich unabhängige Prüfungen.
3. Jurisdiktion und Firmensitz
Der Standort des Unternehmens bestimmt, welchen Gesetzen es unterliegt:
Rechtsraum
Bewertung
Begründung
Schweiz, Island, Rumänien
✅ Sehr gut
Strikte Datenschutzgesetze, außerhalb 14-Eyes
Deutschland, Österreich
⚠️ Akzeptabel
DSGVO-Schutz, aber EU-Vorratsdatenspeicherung möglich
USA, UK, Australien
❌ Kritisch
Teil der 5/9/14-Eyes-Allianz, weitreichende Überwachungsbefugnisse
ExpressVPN sitzt beispielsweise auf den Britischen Jungferninseln – formal außerhalb der 14-Eyes, aber die Muttergesellschaft Kape ist in UK registriert.
4. Technische Implementierung checken
Die Technik verrät viel über die tatsächliche Privatsphäre:
RAM-only Server: Keine Festplatten, bei Neustart sind alle Daten weg
Diskless-Infrastruktur: Server booten von verschlüsselten Images
Eigene DNS-Server: Keine Leaks an Google/Cloudflare
Perfect Forward Secrecy: Jede Session nutzt neue Verschlüsselungsschlüssel
Warrant Canary: Öffentliche Erklärung, dass keine Behördenanfragen vorliegen (wird entfernt bei Anfrage)
Mullvad ist hier Vorreiter: Alle Server laufen ohne Festplatten, und die Warrant Canary wird monatlich aktualisiert.
5. Gerichtsverfahren und Transparenzberichte
Hat der Anbieter jemals Daten herausgegeben? Prüfe:
Veröffentlicht der Anbieter Transparenzberichte über Behördenanfragen?
Gab es Gerichtsverfahren, die zeigen, dass tatsächlich keine Daten existierten?
Wie reagiert das Unternehmen auf staatlichen Druck?
ProtonVPN veröffentlicht quartalsweise detaillierte Transparenzberichte. 2025 erhielten sie 847 Behördenanfragen – in keinem Fall konnten Nutzerdaten übergeben werden, da sie nicht existierten.
6. Zahlungsmethoden und Registrierung
Je anonymer du bezahlen kannst, desto besser:
✅ Optimal: Bitcoin, Monero, Bargeld per Post (Mullvad akzeptiert beides)
⚠️ Akzeptabel: PayPal, Kreditkarte mit Pseudonym
❌ Problematisch: Nur Kreditkarte mit Klarnamen-Pflicht
Prüfe auch: Ist eine E-Mail-Adresse zur Registrierung nötig? Mullvad vergibt einfach eine Kontonummer – ohne Name, E-Mail oder andere Daten.
Der Begriff "No-Logs" ist rechtlich nicht geschützt und wird von vielen Anbietern großzügig ausgelegt. Hier die Unterschiede:
Echte No-Logs-Policy:
Keine IP-Adressen (weder deine echte noch die VPN-Server-IP)
Keine Zeitstempel von Verbindungen
Keine Bandbreiten-Daten mit Personenbezug
Keine DNS-Anfragen
Keine besuchten Websites oder genutzten Dienste
Marketing-No-Logs-Policy:
"Wir speichern keine Aktivitätslogs" – aber Verbindungslogs werden gespeichert
"Anonymisierte Statistiken" – oft mit indirektem Personenbezug
"Nur für Support-Zwecke" – rechtlich trotzdem speicherbar
Ein Beispiel: Ein Anbieter speichert "nur" die Information, dass du dich heute 3-mal verbunden hast, jeweils für durchschnittlich 45 Minuten. Das klingt harmlos, aber kombiniert mit deiner Zahlungsinformation und dem Verbindungszeitpunkt entsteht ein Nutzerprofil.
Laut Datenschutzkonferenz des Bundes und der Länder gilt: Sobald gespeicherte Daten theoretisch einer Person zuordenbar sind, unterliegen sie der DSGVO – auch wenn der Anbieter behauptet, sie seien "anonymisiert".
Behördenanfragen und VPN-Anbieter: Die Realität
Was passiert, wenn Polizei oder Geheimdienste bei deinem VPN-Anbieter anklopfen? Die Antwort hängt stark vom Rechtsraum ab.
Situation in Deutschland
Deutsche VPN-Anbieter können nach § 100a StPO zur Herausgabe von Verbindungsdaten verpflichtet werden. Die Vorratsdatenspeicherung wurde zwar 2023 vom BVerfG erneut gekippt, aber bei konkretem Tatverdacht müssen Unternehmen kooperieren.
Das bedeutet: Wenn Logs existieren, müssen sie herausgegeben werden. Nur wenn technisch keine Daten gespeichert werden, kann auch nichts übergeben werden.
Situation in den USA
Der CLOUD Act von 2018 verpflichtet US-Unternehmen (und deren Tochterfirmen weltweit), auf Anfrage Daten herauszugeben – unabhängig vom Serverstandort. Das betrifft auch VPN-Anbieter mit US-Mutterfirmen.
Zusätzlich können National Security Letters (NSL) verhängt werden, die Gag Orders enthalten – das Unternehmen darf nicht einmal mitteilen, dass eine Anfrage existiert. Warrant Canaries sind hier die einzige legale Warnung.
Situation in Drittstaaten
Anbieter in Panama, Seychellen oder Britischen Jungferninseln werben mit "jurisdiktioneller Freiheit". Die Realität:
Diese Staaten haben oft MLAT-Abkommen (Mutual Legal Assistance Treaty) mit EU und USA
Bei schweren Straftaten wird kooperiert
Wirtschaftlicher Druck kann zur Herausgabe führen
Die einzige echte Sicherheit: Es dürfen gar keine Daten existieren.
So testest du deinen VPN-Anbieter auf versteckte Logs
Du willst wissen, ob dein VPN wirklich keine Logs speichert? Diese Tests helfen:
Test 1: Kundensupport-Anfrage
Schreibe den Support an und bitte um Auskunft nach Art. 15 DSGVO über alle gespeicherten Daten. Ein seriöser No-Log-Anbieter kann dir nur deine Zahlungsinformation und Kontodetails nennen – keine Verbindungsdaten.
Mullvad liefert auf diese Anfrage eine simple Antwort: Kontonummer, Ablaufdatum, Zahlungsmethode. Das war's.
Test 2: Mehrfachverbindung mit verschiedenen Protokollen
Verbinde dich innerhalb einer Stunde mehrfach mit verschiedenen Servern und Protokollen (OpenVPN, WireGuard, IKEv2). Frage dann den Support, wann du zuletzt verbunden warst.
Ein echter No-Log-Anbieter kann dir diese Information nicht geben – er hat sie nicht.
Test 3: IP-Leak-Tests kombiniert mit Timing-Analyse
Nutze Tools wie IPLeak.net oder dnsleaktest.com während der Verbindung. Teste mehrfach zu verschiedenen Tageszeiten und prüfe, ob sich Server-IPs ändern (Load Balancing) oder statisch bleiben.
Statische IPs erleichtern Tracking – bei echten No-Log-Anbietern rotieren die Exit-IPs regelmäßig.
Die größten Mythen über VPN-Logs – aufgeklärt
Mythos 1: "Offshore-VPNs sind automatisch sicherer"
Falsch. Der Serverstandort ist weniger wichtig als der Firmensitz. Ein VPN-Server in Rumänien hilft nichts, wenn die Firma in den USA sitzt.
Mythos 2: "Bezahlte VPNs sind immer besser als kostenlose"
Bezahl-VPNs sind in der Regel vertrauenswürdiger, aber auch hier gibt es schwarze Schafe. ProtonVPN bietet z.B. eine echte kostenlose Version ohne Logs – finanziert durch die Premium-Nutzer.
Mythos 3: "Audits garantieren absolute Sicherheit"
Audits sind Momentaufnahmen. Ein Audit von 2023 sagt nichts über die Situation 2026 aus. Achte auf regelmäßige, wiederkehrende Prüfungen.
Mythos 4: "Ich habe nichts zu verbergen, Logs sind egal"
Auch legale Aktivitäten verdienen Privatsphäre. Logs können bei Hacks, Erpressung oder autoritären Regierungen missbraucht werden – selbst Jahre später.
Handlungsempfehlungen: So wechselst du zu einem No-Log-VPN
Du hast erkannt, dass dein aktueller VPN-Anbieter problematisch ist? So gehst du vor:
Schritt 1: Aktuellen Anbieter kündigen
Nutze dein Kündigungsrecht. Viele VPNs haben 30-Tage-Geld-zurück-Garantien. Begründe die Kündigung explizit mit Datenschutzbedenken – das sendet ein Signal.
Schritt 2: Neuen Anbieter mit unserer Checkliste prüfen
Nutze die oben genannten 6 Checkpunkte. Investiere 30 Minuten Recherche – es geht um deine Privatsphäre.
Schritt 3: Anonym registrieren
Erstelle eine separate E-Mail-Adresse (oder verzichte ganz darauf bei Anbietern wie Mullvad). Bezahle mit Bitcoin oder Bargeld, wenn möglich.
Schritt 4: Richtig konfigurieren
Aktiviere Kill Switch, DNS-Leak-Schutz und IPv6-Blocking. Teste mit ipleak.net, ob alles funktioniert.
Schritt 5: Regelmäßig überprüfen
Prüfe halbjährlich, ob dein Anbieter noch vertrauenswürdig ist. Transparenzberichte und neue Audits sind gute Indikatoren.
Das Wichtigste auf einen Blick
Nur 3 große VPN-Anbieter haben durch unabhängige Audits nachgewiesen, dass sie wirklich keine Nutzerlogs speichern: Mullvad, ProtonVPN und IVPN
Der Firmensitz ist wichtiger als der Serverstandort – US-Unternehmen müssen nach CLOUD Act Daten herausgeben, auch wenn Server in Europa stehen
Echte No-Log-VPNs nutzen RAM-only Server, bei denen bei jedem Neustart alle Daten unwiederbringlich gelöscht werden
Kostenlose VPNs finanzieren sich oft durch Verkauf von Nutzerdaten – 78% enthalten Tracking-Software (EFF-Studie 2024)
Du kannst jeden VPN-Anbieter selbst testen: DSGVO-Auskunft anfragen, Support nach Verbindungszeiten fragen und IP-Leak-Tests durchführen
Häufig gestellte Fragen zu VPN-Logs
Kann die Polizei trotz VPN meine Aktivitäten zurückverfolgen?
Das hängt davon ab, ob der VPN-Anbieter Logs speichert. Bei echten No-Log-VPNs wie Mullvad, ProtonVPN oder IVPN ist eine Rückverfolgung technisch nicht möglich, weil keine Verbindungsdaten existieren. Speichert der Anbieter jedoch Verbindungslogs (IP-Adresse, Zeitstempel), können Behörden mit einem Gerichtsbeschluss diese Daten anfragen. Zusätzlich können andere Wege zur Identifikation genutzt werden: Browser-Fingerprinting, Zahlungsdaten oder Metadaten. Ein VPN schützt nur deinen Internetverkehr, nicht dein gesamtes digitales Verhalten. Für maximale Sicherheit solltest du zusätzlich den Tor-Browser nutzen, mit Kryptowährung bezahlen und keine persönlichen Informationen während der VPN-Nutzung preisgeben.
Was ist der Unterschied zwischen Verbindungslogs und Nutzungslogs?
Verbindungslogs (Connection Logs) speichern Metadaten über deine VPN-Verbindung: wann du dich verbunden hast, von welcher IP-Adresse, wie lange die Verbindung dauerte und wie viele Daten übertragen wurden. Sie enthalten nicht, welche Websites du besucht hast. Nutzungslogs (Usage Logs oder Activity Logs) hingegen protokollieren deine tatsächlichen Online-Aktivitäten: besuchte Websites, genutzte Dienste, Downloads, DNS-Anfragen. Nutzungslogs sind deutlich invasiver, aber auch Verbindungslogs sind problematisch: Sie können dich identifizieren und zeitlich mit bestimmten Ereignissen verknüpfen. Ein echter No-Log-VPN speichert weder das eine noch das andere. Einige Anbieter behaupten, "keine Aktivitätslogs" zu speichern, meinen damit aber nur Nutzungslogs – Verbindungslogs werden trotzdem angelegt. Achte auf diese Unterscheidung beim Lesen der Datenschutzrichtlinien.
Sind Audits von VPN-Anbietern vertrauenswürdig oder nur Marketing?
Das kommt auf den Auditor und den Umfang der Prüfung an. Seriöse Audits werden von unabhängigen Sicherheitsfirmen wie Cure53, PwC, Deloitte oder SEC Consult durchgeführt und prüfen die gesamte Infrastruktur: Serverarchitektur, Code, Datenbankstrukturen und Unternehmensprozesse. Diese Audits werden öffentlich veröffentlicht und enthalten konkrete technische Details. Marketing-Audits hingegen werden von wenig bekannten Firmen durchgeführt, prüfen nur Teilbereiche (z.B. nur die Apps, nicht die Server-Infrastruktur) oder sind nicht öffentlich einsehbar. Ein gutes Zeichen: regelmäßige Wiederholungsaudits, denn ein einmaliges Audit von 2022 sagt nichts über die Situation 2026 aus. Pro
