Welche Daten koennen VPNs protokollieren?
Eine No-Logs-Richtlinie ist eines der wichtigsten Merkmale, die es bei der Wahl eines VPN-Anbieters zu bewerten gilt. Im Wesentlichen bedeutet sie, dass das VPN-Unternehmen Ihre Online-Aktivitaeten waehrend der Nutzung des Dienstes weder aufzeichnet, speichert noch ueberwacht. Der Begriff wurde jedoch im Marketing vielfach missbraucht, und nicht alle No-Logs-Versprechen sind gleichwertig. Zu verstehen, welche Datentypen protokolliert werden koennen und wie man die Aussagen eines Anbieters ueberpruefen kann, ist entscheidend fuer eine wirklich datenschutzorientierte Wahl.
Was "No-Logs" wirklich bedeutet
VPN-Anbieter koennen potenziell verschiedene Datentypen erfassen. Verbindungsprotokolle umfassen Zeitstempel Ihrer Verbindungen und Trennungen, die Dauer Ihrer Sitzung und die uebertragene Datenmenge. Nutzungsprotokolle (auch Aktivitaetsprotokolle genannt) sind weitaus eingreifender und umfassen die von Ihnen besuchten Websites, heruntergeladenen Dateien und genutzten Dienste. Einige Anbieter zeichnen zudem Ihre urspruengliche IP-Adresse, die Ihnen zugewiesene VPN-Server-IP und Ihre DNS-Anfragen auf. Ein echter No-Logs-Anbieter sollte keine dieser Datenpunkte ueber das fuer die aktive Sitzung Notwendige hinaus aufbewahren.
So ueberpruefen Sie Datenschutzversprechen
Der Begriff "No-Logs" sollte idealerweise null dauerhafte Aufzeichnungen Ihrer Aktivitaeten oder Verbindungsmetadaten bedeuten. Einige Anbieter, die eine No-Logs-Richtlinie beanspruchen, sammeln jedoch weiterhin anonymisierte Verbindungsdaten oder aggregierte Bandbreitenstatistiken. Die datenschutzfreundlichsten Anbieter erklaeren ausdruecklich, dass sie weder urspruengliche IP-Adressen noch Browsing-Aktivitaeten, DNS-Anfragen oder Daten protokollieren, die einen bestimmten Nutzer mit einer bestimmten Online-Aktion verknuepfen koennten. Lesen Sie die Datenschutzrichtlinie sorgfaeltig und achten Sie auf klare, eindeutige Formulierungen statt vager Zusicherungen.
Unabhaengige Audits und ihre Bedeutung
Unabhaengige Sicherheitsaudits sind der zuverlaessigste Weg, um die No-Logs-Versprechen eines Anbieters zu ueberpruefen. Serioese VPN-Unternehmen beauftragen Firmen wie PricewaterhouseCoopers, Deloitte, Cure53 oder KPMG, um ihre Serverinfrastruktur, ihren Code und ihre Datenverarbeitungspraktiken zu untersuchen. Diese Audits bestaetigen, ob die Systeme des Anbieters technisch in der Lage sind, Daten zu protokollieren, und ob tatsaechlich Daten gespeichert werden. Anbieter wie Mullvad, ProtonVPN, NordVPN und ExpressVPN haben Audit-Ergebnisse veroeffentlicht, die ihre No-Logs-Verpflichtungen bestaetigen.
Gerichtsbarkeit und rechtliche Aspekte
Die Gerichtsbarkeit spielt eine wichtige Rolle fuer die Vertrauenswuerdigkeit einer No-Logs-Richtlinie. VPN-Anbieter mit Sitz in Laendern der Geheimdienstallianzen Five Eyes, Nine Eyes oder Fourteen Eyes koennen gesetzlich zur Erhebung und Weitergabe von Nutzerdaten verpflichtet werden. Anbieter in datenschutzfreundlichen Rechtsgebieten wie Panama, den Britischen Jungferninseln, der Schweiz oder Schweden unterliegen rechtlichen Rahmenbedingungen, die keine Vorratsdatenspeicherung fuer VPN-Dienste vorschreiben. Allerdings garantiert die Gerichtsbarkeit allein keinen Datenschutz; sie sollte zusammen mit Audit-Ergebnissen und der technischen Architektur betrachtet werden.
Reale Vorfaelle liefern den staerksten Beweis fuer das Datenschutzengagement eines VPN. Faelle, in denen Strafverfolgungsbehoerden Nutzerdaten von VPN-Anbietern angefordert haben und der Anbieter nichts Verwertbares herausgeben konnte (weil tatsaechlich nichts protokolliert wurde), stellen den Goldstandard des Vertrauens dar. Wenn das No-Logs-Versprechen eines Anbieters vor Gericht oder durch behoerdliche Serverbeschlagnahmung getestet wurde und keine verwertbaren Daten gefunden wurden, ist das ein starkes Zeugnis fuer seine Datenschutzpraktiken.