Was ist ein No-Logs-VPN? Auditierte Anbieter, unabhängige Berichte und wie man eine echte Aussage von Marketing unterscheidet
Ein No-Logs-VPN ist ein Dienst, der weder Datenverkehr noch DNS- oder Verbindungsmetadaten aufzeichnet, die einen Nutzer identifizieren könnten. Die Aussage zählt nur dann, wenn ein unabhängiger Prüfer die tatsächliche Infrastruktur untersucht hat. So erkennen Sie den Unterschied.
Was "No-Logs" tatsächlich bedeutet
Ein No-Logs-VPN ist ein Anbieter, der zusagt, weder Datenverkehr, DNS-Anfragen, IP-Adressen noch Verbindungszeitstempel aufzuzeichnen, die sich auf einen einzelnen Nutzer zurückführen ließen. Der Begriff 'No-Logs' selbst hat keine rechtliche Definition. Jede VPN-Homepage verwendet ihn. Die Aussage wird erst dann aussagekräftig, wenn ein unabhängiger Prüfer die tatsächliche Serverflotte und Konfiguration untersucht hat — und der Bericht veröffentlicht wird. Stand 2026 haben alle fünf großen kostenpflichtigen VPNs, die wir behandeln (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark), unabhängige Audits veröffentlicht.
Was die veröffentlichten Audits tatsächlich abdecken
Das jüngste Audit von Mullvad stammt von Cure53 und wurde vom 3. bis 14. Juni 2024 durchgeführt (das vierte Audit insgesamt, das zweite mit Cure53). Es handelt sich um ein Infrastruktur-Audit, das einen OpenVPN- und einen WireGuard-Server aus Mullvads Produktionsflotte abdeckt. Proton VPN hat vier aufeinanderfolgende No-Logs-Audits von Securitum bestanden (2022, 2023, 2024, 2025). NordVPN hat sechs unabhängige No-Logs-Prüfungen nach ISAE 3000 bestanden: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. Das Trust Center von ExpressVPN listet 23 veröffentlichte Audits auf, zuletzt ein drittes KPMG-No-Logs-Audit (2025) sowie Audits von Cure53/Praetorian zur Rust-Neufassung des Lightway-Protokolls (Sep–Okt 2024). Surfshark verfügt über No-Logs-Audits von Deloitte aus den Jahren 2023 und 2025 nach ISAE 3000.
Wie eine echte No-Logs-Aussage aussieht
Drei Signale unterscheiden eine echte No-Logs-Aussage von Marketing. Erstens: ein veröffentlichter Bericht eines Drittanbieters — keine Blogmeldung als Pressemitteilung, sondern ein herunterladbares PDF oder eine Trust-Center-Seite mit dem Namen und Datum des Prüfers. Zweitens: ein Prüfumfang, der die Infrastruktur einschließt (Konfiguration auf Serverebene) und nicht nur die Client-App. Drittens: idealerweise ein echter Test durch eine gerichtliche Anordnung. Die Büros von Mullvad wurden am 18. April 2023 von der schwedischen Polizei aufgrund eines Durchsuchungsbeschlusses durchsucht, der auf ein deutsches Rechtshilfeersuchen zurückging; Mullvad dokumentierte das Ereignis öffentlich, und die Polizei ging ohne Kundendaten, weil die im Beschluss verlangten Daten auf den Servern nicht existierten (laut Mullvads Blogbeitrag zum Durchsuchungsbeschluss). PureVPN hingegen lieferte 2017 im Cyberstalking-Fall Ryan Lin Verbindungsprotokolle an das FBI — trotz seines vorherigen 'No-Logs'-Marketings. Der Fall ist das kanonische Gegenbeispiel einer Marketingaussage, die durch echten rechtlichen Zwang widerlegt wurde.
Die Gerichtsbarkeit zählt weniger als das, was der Anbieter speichert
VPN-Marketing macht viel aus der Gerichtsbarkeit. Die Geheimdienst-Allianzen der 5 / 9 / 14 Eyes (USA, GB, Kanada, Australien, Neuseeland + Dänemark, Frankreich, Niederlande, Norwegen + Deutschland, Belgien, Italien, Schweden, Spanien) sind real, und ein in Schweden oder den Niederlanden registriertes VPN fällt darunter. Doch ein Anbieter in einer Nicht-Eyes-Gerichtsbarkeit, der Verbindungsprotokolle führt, ist schlechter als ein No-Logs-Anbieter an einem beliebigen Ort. Mullvad (Schweden, in den 14 Eyes) und Proton VPN (Schweiz, außerhalb der Eyes) sind beide auditiert; die Mullvad-Razzia zeigt, dass eine No-Logs-Konfiguration mehr zählt als eine Flagge auf der Landkarte.
Wie man einen Auditbericht liest
Öffnen Sie den Bericht und achten Sie auf drei Dinge. (1) Umfang — beschreibt der Bericht, was der Prüfer untersucht hat, einschließlich welcher Server, welcher Protokolle und welches Zeitraums? Allgemeine Formulierungen wie 'die Richtlinie geprüft' ohne Details sind schwächer als 'die VPN-Konfigurationsdateien und Serverkonfigurationen untersucht'. (2) Methode — die Berichte von Securitum für Proton beschreiben eine Konfigurationsprüfung vor Ort und Mitarbeitergespräche; Deloittes NordVPN-Berichte verweisen auf ISAE 3000 (den internationalen Standard für Prüfungsaufträge); die Mullvad-Berichte von Cure53 beschreiben White-Box-Sicherheitstests auf Produktionsservern. (3) Feststellungen — jedes Audit findet etwas. Das Cure53-Audit von Mullvad aus Juni 2024 fand zwei Probleme (eines niedrig, eines mittel); das Lightway-Audit von Praetorian aus 2024 fand zwei Probleme mit geringem Risiko. Das Vorhandensein von Feststellungen ist nicht schlecht — das völlige Fehlen jeglicher Feststellungen wäre verdächtig. Entscheidend sind Schweregrad und Behebung.
Was man ignorieren sollte
Ignorieren Sie allgemeine Ranglisten zum 'privatesten VPN', die ihre Methodik nicht offenlegen. Ignorieren Sie Anbieter, deren 'Audit' ein Schreiben einer kleinen Beratungsfirma ist, die die Server nie untersucht hat. Ignorieren Sie VPN-Vergleichsseiten, die den eigentlichen Bericht nicht verlinken — der Bericht hat ein Datum und eine veröffentlichende Partei; wenn eine Seite ihn nicht verlinkt, ist die Aussage nicht überprüfbar. Ignorieren Sie die Gerichtsbarkeit als primäres Signal. Das einzige verlässliche Signal ist der veröffentlichte Prüfumfang sowie, wo vorhanden, die Fallhistorie zu rechtlichem Zwang.
Quellen
Mullvad-Audit: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Mullvad-Razzia 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Proton-Audits: protonvpn.com/blog/no-logs-audit. NordVPN-Audits: nordvpn.com/blog/nordvpn-no-logs-audit-2024. ExpressVPN Trust Center: expressvpn.com/trust. Surfshark-Audit: surfshark.com/blog/deloitte-nologs-policy-verified-again. PureVPN/Lin-Fall: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Alle URLs abgerufen am 2026-04-30.