Warum die meisten VPN-Rankings nicht zu trauen ist
Auf Seiten wie CHIP, COMPUTER BILD oder dutzenden englischsprachigen "Review-Portalen" tauchen immer dieselben Namen an der Spitze auf: NordVPN, Surfshark, ExpressVPN, CyberGhost. Der Grund ist selten Qualität — es ist Geld. Diese Anbieter zahlen Affiliate-Provisionen von bis zu 40 % auf jeden vermittelten Abschluss. Wer bei NordVPN kauft, bringt dem Empfehlungsportal bis zu 30 $ Provision.
Mullvad, IVPN und AirVPN betreiben kein aktives Affiliate-Programm. Sie tauchen deshalb selten in YouTube-Sponsorings oder in den oberen Plätzen von Vergleichsseiten auf — nicht weil sie schlechter sind, sondern weil sie schlechter bezahlen.
Keine Affiliate-Links, keine Provisionen. Alle Angaben zu Preisen, Audits, Datenweitergabe und Eigentümern sind mit öffentlich zugänglichen Quellen belegt. Stand: März 2026.
Das Konzernproblem: Wem gehören welche VPNs?
Der VPN-Markt sieht vielfältiger aus als er ist. Hinter scheinbar unabhängigen Anbietern stecken oft dieselben Konzerne — mit allen Konsequenzen für Vertrauen und Datenschutz.
Ein VPN funktioniert ausschließlich durch Vertrauen. Du leitest deinen gesamten unverschlüsselten Internetverkehr durch die Server eines Unternehmens. Dieses Unternehmen sieht — technisch gesehen — alles, was dein Browser, deine Apps und dein Betriebssystem ins Internet schicken. Du vertraust darauf, dass es nichts davon speichert, weiterverkauft oder auf behördliche Anfragen herausgibt.
Audits können prüfen, ob heute etwas gespeichert wird. Sie können nicht garantieren, was morgen passiert. Was ein Audit nie prüfen kann: ob der Eigentümer des Unternehmens ein Geschäftsinteresse daran hat, deine Daten zu monetarisieren.
Kape Technologies hat sein Geld ursprünglich damit verdient, Browser-Erweiterungen zu entwickeln, die Nutzer mit Werbung überhäufen — ohne deren Wissen. Das Geschäftsmodell war: Nutzerverhalten beobachten und ausnutzen. 2018 wurde das Unternehmen umbenannt. Die Führungsriege ist dieselbe geblieben. Nun gehören ihnen vier der meistgenutzten VPN-Dienste weltweit — und die Portale, auf denen du diese VPNs bewertet findest. Das ist kein technisches Problem. Es ist ein strukturelles Vertrauensproblem. Und das lässt sich durch kein Audit der Welt wegzertifizieren.
NordVPN und Surfshark fusionierten im Februar 2022 unter der gemeinsamen Holdinggesellschaft "Cyberspace B.V." mit Sitz in den Niederlanden. Beide Marken operieren technisch unabhängig, gehören aber demselben Konzern. Quelle: NordVPN Blog
Unabhängige Anbieter ohne Konzernmutter sind nach aktuellem Stand: Mullvad, ProtonVPN, IVPN, Windscribe und AirVPN.
Vergleichstabelle: Alle 9 Anbieter
Alle Angaben recherchiert und mit Quellen belegt, Stand März 2026. Preise beziehen sich auf Monatsbetrag bei Jahresabo, sofern nicht anders angegeben.
| Anbieter | Sitz / Jurisdiktion | Eyes-Zugehörigkeit | Eigentümer | Preis/Monat | No-Log Audit | RAM-Server | Open Source | Anon. Zahlung | Datenweitergabe |
|---|---|---|---|---|---|---|---|---|---|
| Mullvad | Schweden 🇸🇪 | 14-Eyes | Unabhängig | 5 € | ✓ Mehrfach | ✓ Ja | ✓ Ja | ✓ Bargeld, Monero | Keine (Razzia 2023 erfolglos) |
| ProtonVPN | Schweiz 🇨🇭 | Außerhalb | Proton AG (non-profit) | ab 3,99 €/Monat (Jahresabo) | ✓ Jährlich | ✓ Ja | ✓ Ja | Bitcoin (mit Proton-Konto) | IP-Logging auf Anordnung (2021, ProtonMail-Fall) |
| IVPN | Gibraltar 🇬🇮 | Außerhalb | Privat (offen kommuniziert) | ab 5 €/Monat (Jahresabo) | ✓ Jährlich (Cure53) | Teils | ✓ Ja | ✓ Bitcoin, Monero, Bargeld | Keine bekannt |
| Windscribe | Kanada 🇨🇦 | 5-Eyes | Privat (unabhängig) | ab 5,75 €/Monat (Jahresabo) | Begrenzt | ✓ Seit 2021 | ✓ Ja | Bitcoin | Servervorfall 2021 (Schlüssel exponiert, behoben) |
| AirVPN | Italien 🇮🇹 | 14-Eyes | Privat, Aktivisten-geführt | ab 4,08 €/Monat (Jahresabo) | Begrenzt | Nicht explizit | ✓ Ja (Eddie-Client) | ✓ Bitcoin, Monero, 20+ Kryptowährungen | Keine bekannt |
| NordVPN | Panama 🇵🇦 (Nord Security: NL) | Außerhalb | Nord Security (fusioniert mit Surfshark) | ab 3,09 €/Monat (2-Jahresabo) | ✓ Deloitte, jährlich | ✓ Ja (7.800+ Server) | Nein | Kreditkarte / begrenzt | Servercompromiss 2018 (bekannt gegeben 2019) · Warrant 2024: nur Kontodaten übermittelt |
| Surfshark | Niederlande 🇳🇱 | 9-Eyes | Nord Security (fusioniert 2022) | ab 1,99 €/Monat (2-Jahresabo) | ✓ Cure53 (2022, 2023) | ✓ Ja | Nein | Begrenzt | TunnelCrack-Schwachstelle 2023 (gepatcht) |
| ExpressVPN | Britische Jungferninseln 🇻🇬 | Außerhalb | Kape Technologies | ab 3,49 €/Monat (Jahresabo) | ✓ 18 Audits | ✓ TrustedServer | Teils (Lightway) | Kreditkarte / begrenzt | Serverrazzia Türkei 2017 (keine Daten gefunden) · Ex-Mitarbeiter 2021 in UAESG-Affäre verwickelt |
| CyberGhost | Rumänien 🇷🇴 | Außerhalb | Kape Technologies | ab 2,19 €/Monat (2-Jahresabo) | Deloitte 2022 (veraltet) | ✓ Ja | Nein | Begrenzt | Kape-Konzernstruktur (früher Crossrider/Adware) |
Quellen: Mullvad Logging Policy · NordVPN Transparency Report · Kape Technologies Wikipedia · Nord/Surfshark Fusion · Kape VPN-Besitz
Anbieter im Detail
Mullvad ist das privateste VPN auf dem Markt. Kein Konto mit E-Mail-Adresse — nur eine zufällig generierte 16-stellige Kontonummer. Kein Jahres-Lockangebot, kein Upselling. Einziger Preis: 5 € pro Monat, seit 2009 unverändert. Zahlung per Bargeld (im Umschlag per Post), Monero, Bitcoin oder Kreditkarte möglich.
ProtonVPN kommt von denselben CERN-Wissenschaftlern wie ProtonMail — einer der stärksten Datenschutzmarken Europas. Schweizer Recht, kein US-Einfluss, jährliche Audits durch Securitum. Kostenloser Tarif ohne Datenlimit verfügbar (mit Einschränkungen).
Kostenloser Tarif verfügbar
IVPN ist weniger bekannt als Mullvad, verfolgt aber dieselbe Philosophie: kein E-Mail-Konto nötig, anonyme Zahlung, jährliche Sicherheitsaudits durch Cure53, transparente Eigentümerschaft. Besonderheit: Multi-Hop-Verbindungen durch mehrere Server für zusätzliche Anonymität (im Pro-Tarif).
Windscribe ist ein unabhängiger kanadischer Anbieter mit großzügigem Gratisplan (10 GB/Monat), unlimitierten gleichzeitigen Verbindungen und einer ungewöhnlich transparenten Kommunikation. Das größte Problem: Kanada ist 5-Eyes-Mitglied. 2021 kam es zu einem Servervorfall, der aber offen kommuniziert und vollständig behoben wurde.
Kostenloser Tarif (10 GB/Monat)
AirVPN wird seit 2010 von Aktivisten und Hacktivisten betrieben, die Netzneutralität und Zensurfreiheit als Kernmission verstehen. Der Open-Source-Client "Eddie" bietet extreme Anpassbarkeit — für Fortgeschrittene. Keine Streaming-Optimierung, kein Anfänger-Interface, aber keine bekannten Datenweitergaben und 20+ Kryptowährungen als Zahlungsmethode.
NordVPN ist technisch solide — regelmäßige Deloitte-Audits, RAM-only-Server, Panama-Jurisdiktion. Das Problem: 2018 wurde ein finnischer Server kompromittiert (bekanntgegeben erst 2019). 2024 gab NordVPN auf Anordnung panamaischer Staatsanwaltschaft Kontodaten heraus. Seit der Fusion mit Surfshark 2022 sind beide unter Nord Security vereint. Kein Open-Source-Client.
Oktober 2024: Panamaische Staatsanwaltschaft stellte einen bindenden Beschluss aus. NordVPN übergab ausschließlich Kontodaten (E-Mail, Zahlungsbestätigung) — keine Traffic-Logs, da diese nicht existieren. (Quelle: NordVPN Transparenzbericht)
Surfshark ist das günstigste Premium-VPN auf dem Markt und bietet unbegrenzte Gerätezahl. Seit Februar 2022 Teil von Nord Security — derselbe Konzern wie NordVPN. Sitz in den Niederlanden (9-Eyes-Mitglied). 2023 wurde die TunnelCrack-Schwachstelle entdeckt, die schnell gepatcht wurde.
ExpressVPN war jahrelang das Platzhirsch-VPN — technisch gut, mit eigenem "TrustedServer"-RAM-System und 18 unabhängigen Audits. Seit 2021 gehört es für 936 Millionen Dollar zu Kape Technologies (früher Crossrider). Das Kernproblem: Du vertraust einem VPN deinen gesamten Internetverkehr an. Kape hat sein Geld ursprünglich damit verdient, Nutzerverhalten ohne deren Wissen auszuwerten und mit Werbung zu monetarisieren. Heute besitzen sie vier VPN-Dienste und die "unabhängigen" Bewertungsportale, die diese empfehlen. Kein Audit kann das strukturelle Vertrauensproblem lösen, das sich daraus ergibt.
2017: Türkische Behörden beschlagnahmten Server — keine Nutzerdaten gefunden (positiv).
2021: Ein ehemaliger ExpressVPN-Manager wurde als UAESG-Agent identifiziert, der für die Vereinigten Arabischen Emirate Überwachungstätigkeiten ausgeführt hatte — kein direkter Bezug zur VPN-Infrastruktur, aber ein Warnsignal für die Unternehmenskultur. (Quelle: The Register)
CyberGhost ist das günstigste Kape-VPN, richtet sich an Einsteiger und hat mit 11.600+ Servern eines der größten Netze überhaupt. Technisch funktioniert es. Aber: Wer CyberGhost nutzt, vertraut Kape Technologies seinen gesamten Internetverkehr an — demselben Unternehmen, das unter dem Namen Crossrider mit Adware und Browser-Manipulation Geld verdient hat, das die eigenen "Test"-Portale VPNMentor und Wizcase besitzt, und das nun vier VPN-Marken unter einem Dach hält. Dazu: Das letzte No-Log-Audit durch Deloitte ist von 2022 — in der Branche gilt 24 Monate als Verfallsdatum.
Veraltetes Audit: Letztes No-Log-Audit durch Deloitte von 2022 — in der Branche gilt 24 Monate als Verfallsdatum für Auditaussagen.
2023: Sicherheitsforscher entdeckten eine Schwachstelle im CyberGhost-Client, hatten aber erhebliche Schwierigkeiten, das Kape-Sicherheitsteam zu erreichen. Schließlich wurde still gepatcht. (Quelle: Windscribe Blog über Kape)
Redaktionelle Einschätzung
Für maximale Anonymität: Mullvad. Kein anderer Anbieter hat eine vergleichbare Kombination aus anonymer Kontoerstellung, Bargeld-Zahlung, RAM-only-Servern, mehrfach verifizierten Audits und einem realen Belastungstest durch eine Polizeirazzia (2023, ohne Ergebnis).
Für die meisten Nutzer: ProtonVPN. Schweizer Jurisdiktion, Gratisplan ohne Datenlimit, Open Source, jährliche Audits, vertrauenswürdige Marke mit langer Geschichte. Wer etwas mehr Komfort und Streaming braucht als Mullvad bietet, ist hier richtig.
Für Fortgeschrittene mit Fokus auf Anonymität: IVPN. Ähnliche Philosophie wie Mullvad, mit Multi-Hop-Option für zusätzliche Sicherheitsschichten. Etwas teurer, kleineres Netz.
Für Einsteiger mit kleinem Budget: Windscribe (mit Wissen um die 5-Eyes-Problematik) oder bedingt NordVPN (bekannte Incident-Geschichte, aber transparenter Umgang damit).
Nicht empfohlen bei Datenschutzbedürfnis: ExpressVPN und CyberGhost wegen der Kape-Technologies-Eigentümerschaft und der Crossrider-Vergangenheit. Technisch funktionieren beide — aber wer einem VPN seine Internetverbindung anvertraut, sollte wissen, wem das Unternehmen gehört.
Ein VPN verbirgt deine IP-Adresse und verschlüsselt den Datenverkehr zwischen dir und dem VPN-Server. Es macht dich nicht anonym gegenüber Websites, die dich über Cookies, Browser-Fingerprinting oder eingeloggte Konten identifizieren. Es schützt nicht vor Malware. Es macht illegale Aktivitäten nicht legal. Es ist ein Werkzeug — kein Allheilmittel.