NordVPN und ExpressVPN haben ihre DSGVO-Auskunftsanfragen vergeigt (So viel zum Thema Datenschutz)

7 Min. Lesezeit Enthält Affiliate-Links
vpn gdpr privacy nordvpn expressvpn protonvpn data-rights
Inhaltsverzeichnis

„Wir schützen deine Privatsphäre.” Das sagt jedes VPN. Dann hat jemand sie gebeten, es zu beweisen — und 9 von 10 sind durchgefallen.

DSGVO-Auskunftsanfrage Testergebnisse: Wer respektiert tatsächlich deine Rechte?

VPN-AnbieterAntwortzeitGesetzliche FristQualität der AntwortErgebnis
Surfshark 4 Stunden 30 Tage Detaillierter PDF-Bericht mit allen persönlichen Daten ✅ BESTANDEN
NordVPN 8+ Wochen 30 Tage Keine Daten geliefert ❌ DURCHGEFALLEN
TunnelBear 8+ Wochen 30 Tage Keine Daten geliefert ❌ DURCHGEFALLEN
Hotspot Shield 8 Wochen 30 Tage Unlesbare CSV-Dateien (keine Spaltenüberschriften) ❌ DURCHGEFALLEN
ProtonVPN Innerhalb von 30 Tagen 30 Tage Standardantwort mit Verweis auf Datenschutzerklärung ❌ DURCHGEFALLEN
ExpressVPN Unbekannt 30 Tage Problematische Antwort ❌ DURCHGEFALLEN
Andere 4 VPNs Unterschiedlich 30 Tage Standards nicht erfüllt ❌ DURCHGEFALLEN

Quelle: TechRadar exklusiver DSGVO-Auskunftsanfrage-Test, Januar 2026. Anfragen am 5. Januar 2026 gemäß DSGVO Artikel 15 (Auskunftsrecht) gesendet.

Im Januar 2026 hat TechRadar DSGVO-Artikel-15-Auskunftsanfragen an 10 große VPN-Anbieter geschickt. Das ist ein grundlegendes gesetzliches Recht nach europäischem Recht — du fragst ein Unternehmen, welche personenbezogenen Daten es über dich gespeichert hat, und es hat 30 Tage Zeit zu antworten.

Ein VPN hat korrekt geantwortet. Einer von zehn.

Der Rest? Die haben entweder die gesetzliche Frist gerissen, unlesbaren Datenmüll geschickt, auf ihre Datenschutzerklärung verwiesen statt tatsächliche Daten zu liefern, oder einfach gar nicht geantwortet.

Das sind Unternehmen, die Hunderte Millionen für Marketing ausgeben und dir erzählen, sie schützen deine Privatsphäre. Sie können nicht mal einer einfachen gesetzlichen Anfrage zu deinen eigenen Daten nachkommen.

Provisionshinweis:

  • ProtonVPN: ~$25/Verkauf
  • Mullvad: $0 (kein Partnerprogramm)
  • NordVPN, ExpressVPN, Surfshark: Keine Empfehlung trotz $60-150/Verkauf verfügbar
  • Ich kritisiere ProtonVPN trotz Partnerschaft. So läuft das auf dieser Seite.

30-Sekunden-Urteil

  • Nur Surfshark hat korrekt geantwortet — detailliertes PDF innerhalb von 4 Stunden
  • NordVPN und TunnelBear haben die 30-Tage-Frist gerissen — keine Daten nach 8 Wochen geliefert
  • Hotspot Shield hat unlesbare CSV-Dateien mit kryptischen Spaltennamen geschickt (“field_0” bis “field_32”)
  • ProtonVPN hat Standardantworten geschickt und auf die Datenschutzerklärung verwiesen, statt tatsächliche Nutzerdaten zu liefern
  • 9 von 10 VPNs sind durchgefallen bei einer gründlichen und fristgerechten DSGVO-Antwort
  • Die gesetzliche Strafe bei Nichteinhaltung: bis zu 20 Millionen € oder 4 % des weltweiten Jahresumsatzes
  • Über 70 % der VPN-Anbieter verstoßen laut umfassender Studien gegen die DSGVO

Was DSGVO Artikel 15 tatsächlich verlangt

Bevor wir darauf eingehen, wer durchgefallen ist, klären wir, was das Gesetz fordert.

DSGVO Artikel 15 — das „Auskunftsrecht” — besagt, dass du jedes Unternehmen, das deine personenbezogenen Daten verarbeitet, fragen kannst:

  • Welche personenbezogenen Daten sie über dich gespeichert haben
  • Warum sie diese verarbeiten
  • Mit wem sie diese teilen
  • Wie lange sie diese aufbewahren
  • Deine Rechte auf Berichtigung oder Löschung

Das Unternehmen hat 30 Tage Zeit zu antworten. Ist die Anfrage komplex, kann die Frist um zwei Monate verlängert werden — aber sie müssen dich innerhalb des ersten Monats informieren, dass sie mehr Zeit brauchen.

Das ist kein Vorschlag. Das ist EU-Recht. Die Strafe bei Nichteinhaltung beträgt bis zu 20 Millionen € oder 4 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist.

Für NordVPN (geschätzter Umsatz $500M+) sind das potenziell $20 Millionen an Bußgeldern.

Die Testergebnisse

Surfshark: Der Einzige, der bestanden hat

Antwortzeit: 4 Stunden.

Nicht 4 Tage. Nicht 4 Wochen. Vier Stunden.

Surfshark hat einen detaillierten, professionellen PDF-Bericht mit allen gespeicherten personenbezogenen Daten geschickt, formatiert in einem lesbaren, übersichtlichen Layout. Sie haben die DSGVO-Anfrage als ernsthafte gesetzliche Pflicht behandelt — weil sie eine ist.

Die Ironie? Surfshark gehört Nord Security — dem gleichen Unternehmen, dem auch NordVPN gehört. Gleicher Mutterkonzern, völlig unterschiedliche Compliance-Standards.

Ich habe über dieses Problem mit dem Scheinwettbewerb schon geschrieben. Jetzt erstreckt es sich auch auf die gesetzliche Compliance.

NordVPN: Das Datenschutz-Unternehmen, das deine Datenschutzrechte nicht respektiert

Antwortzeit: 8+ Wochen. Keine Daten geliefert.

NordVPN — das Unternehmen, das wahrscheinlich mehr für YouTube-Sponsorings ausgibt als jedes andere VPN — konnte auf eine einfache Auskunftsanfrage nicht innerhalb der gesetzlich vorgeschriebenen 30 Tage antworten. Oder 60 Tage. Oder auch nur 8 Wochen.

Ihre Ausrede? Sie behaupteten Probleme mit der „Identitätsprüfung”.

Das ist das gleiche Unternehmen, das sich mit Datenschutz und Transparenzberichten vermarktet. Das gleiche Unternehmen, das heimlich seine „werden nicht kooperieren”-Policy in „werden nur kooperieren” geändert hat. Das gleiche Unternehmen, das gehackt wurde und darüber gelogen hat.

Jetzt können sie nicht mal deinem grundlegenden gesetzlichen Recht nachkommen, zu sehen, welche Daten sie über dich gespeichert haben.

TunnelBear: Gleiches Versagen, weniger Ausreden

Antwortzeit: 8+ Wochen. Keine Daten geliefert.

TunnelBear hat ein Privacy Center, in dem Nutzer angeblich die vom Dienst gesammelten Daten einsehen können. Aber bei einer tatsächlichen formellen DSGVO-Anfrage? Nichts. Gleiches Versagen wie bei NordVPN — über die gesetzliche Frist hinaus ohne gelieferte Daten.

Hotspot Shield: Die unlesbare Antwort

Antwortzeit: 8 Wochen. Daten geliefert — aber unlesbar.

Hotspot Shield hat schließlich sieben CSV-Dateien geschickt. Das Problem? Keine Spaltenüberschriften. Datenpunkte kryptisch als “field_0” bis “field_32” beschriftet. Ohne zu wissen, was jedes Feld bedeutet, sind die Daten nutzlos. Man hätte sie genauso gut verschlüsseln können.

Technisch haben sie geantwortet. Praktisch haben sie nichts erfüllt. Die DSGVO verlangt, dass Daten in einem „gängigen elektronischen Format” bereitgestellt werden, das die betroffene Person tatsächlich verstehen kann. Zufällig nummerierte Spalten erfüllen das nicht.

ProtonVPN: Die Enttäuschung

Antwortzeit: Innerhalb von 30 Tagen. Aber nicht wirklich die Anforderungen erfüllt.

ProtonVPN hat die Frist nicht gerissen. Aber anstatt tatsächliche personenbezogene Daten zu liefern, haben sie Standardantworten geschickt und den Nutzer auf die öffentliche Datenschutzerklärung verwiesen.

So funktioniert Artikel 15 nicht. Die Pflicht eines Unternehmens, deine spezifischen personenbezogenen Daten bereitzustellen, kann nicht durch den Verweis auf ein generisches öffentliches Dokument erfüllt werden. „Lies unsere Datenschutzerklärung” ist keine gültige DSGVO-Antwort.

Das ist besonders enttäuschend von Proton — einem Unternehmen, das ich tatsächlich empfehle und an dem ich verdiene. Ihre Datenschutzerklärung ist wirklich gut. Ihr VPN hat vier aufeinanderfolgende No-Logs-Audits bestanden. Aber DSGVO-Compliance ist eine separate Sache, und die haben sie schlecht gehandhabt.

Ich empfehle sie weiterhin für das VPN selbst. Aber das muss angesprochen werden.

Das größere Problem: Über 70 % der VPNs verstoßen gegen die DSGVO

Das war kein Einzeltest. Umfassendere Studien zeichnen ein noch schlechteres Bild.

Laut TechRadars Analyse verstoßen mehr als 70 % der VPN-Anbieter gegen die DSGVO. Eine separate VPN Ranks-Studie ergab, dass 46 von 83 VPN-Anbietern die Anforderungen nicht erfüllen.

Die VPN-Branche hat ein systemisches DSGVO-Problem. Diese Unternehmen vermarkten sich als Datenschutz-Tools und versagen dabei, das grundlegendste Datenschutzgesetz der Welt einzuhalten.

Was das über „No-Logs”-Behauptungen aussagt

Hier kommt die unbequeme Frage: Wenn ein VPN nicht mal eine DSGVO-Auskunftsanfrage ordentlich bearbeiten kann, was sagt das über ihre operative Reife aus?

Unternehmen, die über ihre No-Logs-Richtlinien lügen, sind ein Problem. Unternehmen, die Audits als Marketing-Requisiten nutzen, sind ein anderes. Aber Unternehmen, die einer simplen gesetzlichen Anfrage nicht nachkommen können? Das ist ein Kompetenzproblem.

Wenn NordVPNs Systeme so unorganisiert sind, dass sie deine personenbezogenen Daten nicht innerhalb von 30 Tagen finden und zusammenstellen können, welches Vertrauen solltest du dann haben, dass sie deine Verbindungsprotokolle ordentlich verwalten (oder nicht verwalten)?

VPNs, die nicht mal die DSGVO hinkriegen, kriegen wahrscheinlich auch vieles andere nicht hin. Und wenn Regierungen aktiv VPNs blockieren, werden Compliance-Versagen wie diese mehr als nur Papierkram-Probleme.

Was du tun kannst

Nutze deine Rechte

Du kannst eine DSGVO-Artikel-15-Anfrage an jedes VPN schicken, das du nutzt. Hier ist, was du angeben solltest:

  1. Erkläre, dass du eine Anfrage gemäß DSGVO Artikel 15 stellst
  2. Fordere alle personenbezogenen Daten an, die sie über dich gespeichert haben
  3. Frage nach den Zwecken der Verarbeitung
  4. Frage, mit wem sie deine Daten teilen
  5. Frage, wie lange sie deine Daten aufbewahren
  6. Schicke die Anfrage an ihren Datenschutzbeauftragten (normalerweise in der Datenschutzerklärung aufgeführt)

Sie haben 30 Tage. Wenn sie nicht antworten, kannst du eine Beschwerde bei deiner zuständigen Datenschutzbehörde einreichen.

Wähle VPNs, die deine Rechte tatsächlich respektieren

Die VPNs, die ich empfehle:

Mullvad VPN — €5/mo (Commission: $0)
  • Vor Gericht bewiesen — können keine Daten herausgeben, die sie nicht haben
  • Kontonummern-System — keine E-Mail, kein Name, keine personenbezogenen Daten zum Anfordern
  • Die DSGVO-Frage ist kaum relevant, weil sie kaum Daten erheben
  • Provision: $0 (kein Partnerprogramm)
ProtonVPN — From $4.99/mo (Commission: ~$25)
  • Vier aufeinanderfolgende No-Logs-Audits (Securitum)
  • Schweizer Gerichtsbarkeit mit starken Datenschutzgesetzen
  • Hat die DSGVO-Anfrage schlecht gehandhabt (Standardantwort) — aber das VPN selbst ist solide
  • Provision: ~$25/Verkauf (offengelegt)

Warum nicht Surfshark? Die haben den DSGVO-Test mit Bravour bestanden, aber sie gehören Nord Security — dem gleichen Unternehmen, dessen anderes Produkt (NordVPN) kläglich gescheitert ist. Lies unseren Surfshark-Test für das vollständige Bild.

Das Fazit

Neun von zehn VPN-Unternehmen haben einen einfachen gesetzlichen Datenschutztest nicht bestanden.

Das sind Unternehmen, die Hunderte Millionen für Marketing ausgeben und dir erzählen, sie schützen deine Privatsphäre. Sie kaufen YouTube-Sponsorings. Sie bezahlen Influencer. Sie schalten angsteinflößende Werbung über Hacker im öffentlichen WLAN. Sie versprechen militärische Verschlüsselung und No-Logs-Richtlinien.

Dann fragt jemand sie, ob sie deine Datenrechte respektieren — eine gesetzliche Pflicht, kein Gefallen — und 90 % von ihnen schaffen es nicht.

NordVPN konnte in 8 Wochen nicht antworten. Hotspot Shield hat unlesbaren Müll geschickt. ProtonVPN hat auf die Datenschutzerklärung verwiesen. Nur Surfshark — ironischerweise im Besitz des gleichen Unternehmens wie NordVPN — hat es als die gesetzliche Pflicht behandelt, die es ist.

Wenn sie die DSGVO nicht hinkriegen, brauchst du wirklich ein VPN von solchen Unternehmen? Vielleicht ist die Antwort kostenlose Datenschutz-Tools, die tatsächlich funktionieren — für $0.

Vertrau mir nicht — überprüfe alles selbst

Vollständige Offenlegung: Ich verdiene an ProtonVPN (~$25/Verkauf) und $0 an Mullvad. Ich habe ProtonVPNs DSGVO-Versagen in diesem Artikel kritisiert, obwohl ich ihr Partner bin. NordVPN, ExpressVPN und Surfshark bieten $60-150/Verkauf — ich empfehle sie nicht.

The Angry Dev

Vertrauen Sie KEINER Review-Seite. Affiliate-Provisionen bestimmen deren Rankings. Dies ist auch eine Affiliate-Seite, aber ich bin ehrlich darüber, was ich verdiene, und ich bewerte nach Qualität statt nach Auszahlung. Selbst wenn das bedeutet, dass ich 0 $ bezahlt werde. Lesen Sie über meinen Ansatz und warum ich aufgehört habe zu lügen. Hier sind die Rohdaten, damit Sie alles selbst überprüfen können.

VPNs | Hosting | Speicher | Tools

Verwandte Beiträge

Brauchen Sie ein vertrauenswürdiges VPN?

MullvadKeine Logs, kein Konto, kein Unsinn
ProtonVPNSchweizer Datenschutz, Open-Source-Apps
NordVPNSchnell, geprüft, 6 gleichzeitige Geräte
Affiliate-Links — Ich erhalte ggf. eine Provision