VPN-Gerichtsbarkeit erklärt: 5 / 9 / 14 Eyes, die Mullvad-Razzia und der PureVPN-Logs-Fall
VPN-Marketing macht viel aus der Gerichtsbarkeit. Die beiden am besten dokumentierten Fälle gerichtlicher Zusammenarbeit — die Mullvad-Razzia 2023 und die PureVPN-FBI-Kooperation 2017 — zeigen, dass das, was der Anbieter speichert, mehr zählt als die Landesflagge.
Was 5 / 9 / 14 Eyes tatsächlich bedeutet
Die 5 Eyes sind eine Vereinbarung zum Austausch von Signalaufklärung zwischen den USA, GB, Kanada, Australien und Neuseeland, mit Ursprüngen im UKUSA-Abkommen nach dem Zweiten Weltkrieg. Die 9 Eyes fügen Dänemark, Frankreich, die Niederlande und Norwegen hinzu. Die 14 Eyes fügen Deutschland, Belgien, Italien, Schweden und Spanien hinzu. VPN-Marketing hat die Vorstellung populär gemacht, dass ein in einem dieser 14 Länder registriertes VPN gefährdet sei, weil seine Regierung es zur Herausgabe von Daten zwingen und diese Daten mit der breiteren Allianz teilen könnte. Die Aussage ist teilweise wahr — diese Regierungen verfügen über rechtliche Rahmen für Datenanfragen — doch sie ist nicht die ganze Geschichte.
Wo die großen auditierten VPNs ansässig sind
Mullvad: Göteborg, Schweden (in den 14 Eyes). NordVPNs Betreibergesellschaft Nordvpn S.A.: Panama (außerhalb der Eyes). Proton VPN: Plan-les-Ouates, Genf, Schweiz (außerhalb der Eyes; die Schweiz steht zudem außerhalb der EU und des US-Rechtshilferahmens). ExpressVPNs Betreibergesellschaft Express VPN International Ltd.: Britische Jungferninseln (außerhalb der Eyes). Surfshark B.V.: Niederlande (in den 9 Eyes). Zwei der fünf — Mullvad und Surfshark — befinden sich in Eyes-Gerichtsbarkeiten; drei stehen außerhalb. Alle fünf haben No-Logs-Audits veröffentlicht.
Die Mullvad-Razzia 2023: was tatsächlich geschah
Am 18. April 2023 erschienen sechs Beamte der schwedischen Nationalen Einsatzabteilung (NOA) mit einem Durchsuchungsbeschluss in Mullvads Büro in Göteborg, mit der Absicht, Computer mit Kundendaten zu beschlagnahmen. Der Beschluss war am 17. Februar 2023 im Rahmen internationaler Rechtshilfe mit deutschen Behörden ergangen. Mullvad dokumentierte das Ereignis noch am selben Tag öffentlich unter mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Laut Mullvads Darstellung und späterer Berichterstattung ging die Polizei, ohne etwas zu beschlagnahmen, weil die im Beschluss verlangten Daten auf den Servern nicht existierten. Mullvads Cure53-Audit-Historie (zuletzt: 4. Infrastruktur-Audit, Juni 2024) dokumentiert die No-Logs-Serverkonfiguration, die zu diesem Ergebnis führte. Die Konsequenz: Die Gerichtsbarkeit spielte sehr wohl eine Rolle — die Razzia fand statt — doch die operative Datenschutzhaltung war der entscheidende Faktor.
Die PureVPN-FBI-Kooperation 2017: das Gegenteil
Im Oktober 2017 nutzte das FBI VPN-Verbindungsprotokolle von PureVPN, um Ryan Lin, einen 24-jährigen Mann aus Massachusetts, in einem umfangreichen Cyberstalking-Fall zu identifizieren. PureVPNs Marketing hatte vor dem Fall eine No-Logs-Aussage betont. Die eidesstattliche Erklärung des FBI (zitiert in DoJ-Eingaben und Mainstream-Berichterstattung auf bleepingcomputer.com und anderswo) dokumentierte, dass PureVPN tatsächlich Verbindungsprotokolle aufbewahrt hatte, die die Heim-IP-Adresse des Kunden zu Sitzungsbeginn enthielten, und dass diese Protokolle ausreichten, um Lin über seine VPN-Sitzungen zu identifizieren. Der Fall ist das kanonische Gegenbeispiel: eine Marketingaussage, die durch das widerlegt wurde, was der Anbieter tatsächlich speicherte, und die Gerichtsbarkeit des Anbieters (Hongkong — außerhalb der Eyes) schützte die Daten nicht, weil die Daten existierten und einem US-Rechtsersuchen entsprachen.
Was die Gerichtsbarkeit vorhersagt und was nicht
Die Gerichtsbarkeit ist ein realer Risikofaktor, sobald eine behördliche Anfrage gestellt wird. Ein Anbieter in einer 14-Eyes-Gerichtsbarkeit mit einem Rechtshilferahmen mit dem anfragenden Land kann gezwungen werden, Daten herauszugeben, die er besitzt. Doch die Gerichtsbarkeit sagt nicht voraus, was der Anbieter besitzt. Ein No-Logs-Anbieter in den 14 Eyes (Mullvad) hat nichts herauszugeben; ein protokollführender Anbieter in einer Nicht-Eyes-Gerichtsbarkeit (PureVPN um 2017) schon. Die Ereignisse um Mullvad und PureVPN belegen zusammen, dass die vorhersagende Variable die operative Praxis ist — durch Audit überprüft — nicht die Landesflagge.
Was man 2026 abwägen sollte
Drei Faktoren sagen reale Datenschutzergebnisse zuverlässiger voraus als die Gerichtsbarkeit allein. (1) Prüfumfang und Aktualität — deckt das jüngste veröffentlichte Audit die Konfiguration auf Serverebene ab, und liegt es innerhalb der letzten 24 Monate? (2) Open-Source-Clients — werden die Desktop- und Mobil-Apps als Open Source veröffentlicht? Mullvad und Proton VPN veröffentlichen ihre Clients beide auf GitHub. (3) Dokumentierte Reaktion auf einen echten Fall rechtlichen Zwangs — Mullvad hat einen (die Razzia 2023), PureVPN hat das Gegenteil (den Fall von 2017). Die meisten Anbieter haben weder noch. Wenden Sie die Gerichtsbarkeit als Tiebreaker an, sobald die ersten drei erfüllt sind, nicht als Hauptfaktor.
Quellen
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (mit Verweisen auf das ursprüngliche UKUSA-Abkommen). Mullvad-Razzia 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Mullvad-Audit-Historie: mullvad.net/en/blog/tag/audits. PureVPN/Lin-Fall: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. NordVPN-Gerichtsbarkeit: nordvpn.com/blog/jurisdiction. Proton VPN-Gerichtsbarkeit: protonvpn.com/features/swiss-based. ExpressVPN Trust: expressvpn.com/trust. Surfshark Trust: surfshark.com/trust-center. Alle URLs abgerufen am 2026-04-30.