Mullvad vs ProtonVPN: Der Datenschutz-Vergleich

Zwei datenschutzfreundliche VPNs im Vergleich

Bei der Bewertung von VPN-Diensten für datenschutzbewusste Nutzer stechen zwei Namen konsistent hervor: Mullvad und ProtonVPN. Beide Dienste haben sich einen Ruf auf Transparenz, No-Logs-Richtlinien und Open-Source-Prinzipien aufgebaut – aber sie verfolgen Datenschutz unterschiedlich, und diese Unterschiede zu verstehen ist wichtig, bevor Sie sich festlegen.

Mullvad verfolgt einen fast anarchistischen Ansatz bei Anonymität. Der Dienst lehnt das Konzept von Benutzerkonten vollständig ab und generiert stattdessen zufällige Kontonummern für jede Verbindung. Sie können Mullvad verwenden, ohne eine E-Mail-Adresse, Namen, Telefonnummer oder Zahlungsmethode anzugeben, die an Ihre Identität gebunden ist. Sie akzeptieren Bargeld per Post, Bitcoin, Monero und andere datenschutzfreundliche Zahlungsmethoden. Wenn Sie deinstallieren, gibt es keinen Wiederherstellungsprozess, da es nichts wiederherzustellen gibt – Ihr Konto existiert nicht im traditionellen Sinne.

ProtonVPN operiert dagegen innerhalb eines konventionelleren Rahmens. Sie erstellen ein Konto mit einer E-Mail-Adresse, verwalten ein Abonnement und können bei Bedarf den Zugriff wiederherstellen. ProtonVPN ist Eigentum von Proton AG, dem gleichen Unternehmen hinter ProtonMail, und profitiert von dieser Ökosystem-Integration. Ihr VPN-Abonnement kann mit verschlüsselter E-Mail, Kalender und Drive-Diensten kombiniert werden. Das Unternehmen war in der Öffentlichkeit aggressiver bei der Benutzerverteidigung, veröffentlicht Transparenzberichte und beauftragt regelmäßig Sicherheitsprüfungen.

Der philosophische Unterschied ist entscheidend: Mullvad fragt „wie minimieren wir die Datenerfassung insgesamt?" während ProtonVPN fragt „wie verschlüsseln und schützen wir die Daten, die wir erfassen?" Beide sind gültige Datenschutz-Frameworks, aber sie passen zu unterschiedlichen Bedrohungsmodellen.

Für Journalisten, Aktivisten und Nutzer in unterdrückerischen Regimen entfernt Mullvads ephemeres Kontomodell Reibung aus der Anonymität. Für Remote-Worker, kleine Geschäftsinhaber und alltägliche Datenschutz-Befürworter, die verschlüsselte E-Mail neben VPN-Schutz wünschen, bietet ProtonVPNs Ökosystem integrierte Convenience.

Dieser Vergleich untersucht beide Dienste anhand von Kontosicherheit, Rechtsprechung, Audit-Verlauf, Performance und Preisgestaltung, um Ihnen bei der Entscheidung zu helfen, welcher zu Ihren Datenschutzanforderungen passt. Wir blicken über Marketing-Aussagen hinaus auf praktische Implementierungsdetails, die Ihre Sicherheit tatsächlich beeinflussen.

Kontomodell

Mullvads Kontostruktur ist auf dem VPN-Markt wirklich ungewöhnlich. Wenn Sie die Anwendung starten, generiert sie eine zufällige 44-Bit-Kontonummer (angezeigt als eine Zeichenfolge wie 1234567890123456). Diese Nummer ist Ihr gesamtes Konto – nicht an E-Mail gebunden, nicht an Identität gebunden, nicht wiederherstellbar. Jede Sitzung verwenden Sie diese Nummer, bis Sie sich entscheiden, eine neue zu generieren. Wenn Sie Ihre Kontonummer löschen, löschen Sie Ihr Konto. Es gibt kein Passwort-Reset, keine Kontowiederherstellung, keine Unterstützung für vergessene Anmeldedaten – weil das Konto nie im persönlichen Sinne existierte.

Dieses Design hat tiefgreifende Auswirkungen. Mullvads Server wissen nicht, wer Sie sind. Sie speichern keine E-Mails, Zahlungsgeschichten indiziert nach Konten, Verbindungsprotokolle oder Wiederherstellungsinformationen. Wenn Sie für einen Dienst bezahlen, akzeptiert Mullvad Bitcoin (zu Legacy- und Taproot-Adressen), Monero, Bargeld per Post und Banküberweisungen. Das Unternehmen erklärt ausdrücklich, dass sie nicht identifizieren können, welche Zahlung welcher Kontonummer entspricht, weil Zahlungen absichtlich von Kontoaufzeichnungen getrennt sind.

ProtonVPN verwendet ein konventionelles Kontomodell. Sie registrieren sich mit einer E-Mail-Adresse, erstellen ein Passwort und verbinden Zahlungsinformationen. Dies erstellt ein persistentes, wiederherstellbares Konto. Wenn Sie Ihr Passwort vergessen, können Sie es zurücksetzen. Wenn Sie den Zugriff verlieren, kann Proton Ihre Identität überprüfen und Ihr Konto wiederherstellen. Das Unternehmen speichert E-Mail-Adressen, Zahlungsaufzeichnungen und Kontoerstellungs-/Zugriffsprotokolle – obwohl sie behaupten, dass diese auf Weise verschlüsselt oder gespeichert sind, die ihre Nützlichkeit für die Strafverfolgung minimiert.

Der Kompromiss ist klar: Mullvads Ansatz bietet stärkeren Widerstand gegen erzwungene Offenlegung. Wenn die Strafverfolgung Mullvad mit einer IP-Adresse vorlegt, kann das Unternehmen nicht identifizieren, welcher Benutzer sich mit dieser IP verbunden hat, weil diese Information nie in verknüpfbarer Form gespeichert wurde. ProtonVPN könnte theoretisch gezwungen werden, die E-Mail-Adresse bereitzustellen, die mit einem VPN-Konto verbunden ist, obwohl sie sich gegen solche Anfragen wehren würden.

ProtonVPN reagiert mit Transparenz. Sie veröffentlichen Canary-Erklärungen und verpflichten sich öffentlich, gegen rechtliche Anfragen zu kämpfen. Ihre Schweizer Rechtsprechung (mehr dazu später) macht US-Haftbefehle schwerer durchsetzbar. Aber die strukturelle Realität bleibt: ProtonVPN führt Aufzeichnungen, die theoretisch erhalten werden könnten; Mullvad führt viel weniger.

Für Zahlungen akzeptiert ProtonVPN Kreditkarten, PayPal und Kryptowährung (Bitcoin). Ihre gestaffelte Preisgestaltung umfasst bezahlte Pläne auf verschiedenen Ebenen, daher variieren Zahlungsbeträge. Mullvads flache €5/Monat-Rate bedeutet, dass alle Zahlungstransaktionen ähnlich aussehen und weiter verschleiert, welche Zahlung welchem Nutzungszeitraum entspricht.

Wenn Ihr Bedrohungsmodell ausgefeilte Gegner mit rechtlicher Autorität umfasst, bietet Mullvads ephemeres Modell stärkeren Schutz. Wenn sich Ihre Bedenken auf kommerzielle Datenerfassung und allgemeinen Datenschutz konzentrieren (mit Vertrauen in Jurisdiktionsschutzmaßnahmen), können ProtonVPNs integriertes Ökosystem und Kontowiederherstellungsoptionen vorzuziehen sein.

Rechtsprechung

Mullvad wird von Schweden aus betrieben, während ProtonVPN aus der Schweiz operiert. Beide Länder haben starke Datenschutzvorkehrungen, aber sie sind für verschiedene Druckvektor anfällig.

Schweden ist ein Mitglied der 14-Eyes-Geheimdienstallianz, zusammen mit dem Vereinigten Königreich, den USA, Kanada, Australien und anderen. Die 14-Eyes-Vereinbarung ermöglicht umfangreiche Signalaufklärungsfreigaben zwischen alliierten Nationen. Auf dem Papier sieht das schlechter aus als Schweiz Non-Allianz-Status. Jedoch ist Schwedens tatsächliches Datenschutzgesetz – insbesondere die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und Schwedens eigene verfassungsrechtliche Schutzmaßnahmen – reif und rechtlich streng. Schwedische Gerichte haben eine starke Erfolgsbilanz beim Widerstand gegen Übergriffe. Mullvad operiert seit Jahren transparent in Schweden ohne Serverzugriff oder erzwungene Compliance mit Anfragen, die Benutzerdatenschutz kompromittieren würden.

Die 14-Eyes-Mitgliedschaft ist wichtiger für Signalaufklärung (Massenerfassung von Kommunikationsverkehr) als für gezielte VPN-Vorladungen. Mullvads Architektur begrenzt, was erfasst werden könnte: Sie protokollieren keinen Verkehr und führen keine Benutzer-Konto-Verknüpfungen. Die schwedische Strafverfolgung müsste Mullvad mit Anfragen dienen, die durch schwedisches Recht gestützt werden, was richterliche Genehmigung erfordert. Das Unternehmen hat durchweg Anfragen abgelehnt, die Datenschutz kompromittieren würden.

Die Schweiz operiert außerhalb der EU, was eine Isolierung von DSGVO-Compliance-Anforderungen bietet, die rechtliche Haftung schaffen könnten und Offenlegung erzwingen. Die Schweiz hat strenge Bankgeheimnis-Traditionen und datenschutzfreundliches Datenschutzgesetz. Allerdings ist die Schweiz nicht Teil der Geheimdienstallianz, daher erfolgt der Geheimdienstsaustausch durch verschiedene rechtliche Frameworks – hauptsächlich gegenseitige Rechtshilfeverträge (MLATs). Diese erfordern formalere rechtliche Prozesse als Geheimdienstallianz-Vereinbarungen.

Der praktische Unterschied: Schwedens Rechtsprechung setzt Mullvad EU-Rechtsrahmen und potenzieller Intelligenzfreigabe mit Five/Nine/Fourteen-Eyes-Partnern aus. Schweizer Rechtsprechung setzt ProtonVPN internationalen Vertragsprozessen und potenzieller US-Druck durch gegenseitige Rechtshilfe aus, obwohl die Schweiz Bereitschaft gezeigt hat, solche Anfragen zu widerstehen.

In der Praxis priorisieren Gerichte beider Länder Datenschutzvorkehrungen für legitime Nutzer. Weder Schweden noch die Schweiz erleichtern Massenüberwachungsinfrastruktur wie einige Länder. Der echte Unterschied entsteht bei der Betrachtung von Massenüberwachungsrahmen: Schwedens EU-Mitgliedschaft und Geheimdienstalliancen schaffen Vektoren für Massenerfassung auf Netzwerk-Ebene. Schweizer Unabhängigkeit bietet mehr Isolierung.

Für die meisten Nutzer sind beide Jurisdiktionen vertrauenswürdig. Für Nutzer, die sich speziell um Five/Nine/Fourteen-Eyes-Intelligenzfreigabe sorgen, ist Schweiz Non-Aligned-Status technisch vorzuziehen – aber nur, wenn Sie auch ProtonVPNs behauptete No-Logs-Architektur vertrauen, da die Schweiz keinen technischen Schutz gegen Protokollierung bieten kann, die das Unternehmen durchführen möchte.

No-Logs-Behauptungen und Audits

Sowohl Mullvad als auch ProtonVPN behaupten, VPN-Dienste ohne Protokolle zu betreiben. Beide haben sich Sicherheitsprüfungen durch Dritte unterzogen. Die Details sind wichtig.

Mullvad veröffentlicht umfassende technische Dokumentation, die ihre Infrastruktur erklärt. Sie wurden von renommierten Firmen wie Cure53 geprüft, die eine vollständige Sicherheitsbewertung durchführten und Ergebnisse veröffentlichten, die keine kritischen Sicherheitslücken im Zusammenhang mit Protokollierung zeigen. Mullvads Code ist Open-Source, daher können unabhängige Forscher Behauptungen überprüfen, ohne sich auf Unternehmensaussagen zu verlassen. Sie wurden mehrfach über Jahre hinweg geprüft, nicht als einmalige Marketing-Übung.

Entscheidend ist, dass Mullvads Architektur Protokollierung technisch schwierig macht. Die Anwendung behält keine persistenten Sitzungsdaten bei, Kontoaufzeichnungen verknüpfen sich nicht mit Benutzern, und Server-Infrastruktur beinhaltet keine Funktionalität, die Verkehr pro Benutzer erfassen würde. Dies ist Design-Level-Durchsetzung der No-Logs-Behauptung, nicht Policy-Level-Versicherung.

ProtonVPN wurde ebenfalls geprüft, bemerkenswert von SEC Consult und Cure53 (der gleichen Firma, die Mullvad prüfte). Diese Audits fanden keine Protokollierungsevidenz und bestätigten, dass Verschlüsselungsimplementierungen solide sind. ProtonVPN veröffentlicht diese Audit-Berichte und regelmäßige Transparenzberichte über erhaltene rechtliche Anfragen.

Jedoch durchsetzt ProtonVPNs Architektur No-Logs auf Design-Level nicht auf die gleiche Weise. Das Unternehmen könnte theoretisch Protokollierung implementieren, ohne ein technisches Prinzip zu verletzen – sie behaupten einfach, es nicht zu tun. Dies ist der Unterschied zwischen „kann nicht protokollieren" (Mullvad) und „behauptet nicht zu protokollieren" (ProtonVPN). Beide haben Audit-Unterstützung, aber Mullvads Design macht Täuschung technisch implausibel, während ProtonVPN auf Unternehmensintegrität und Jurisdiktionsschutzmaßnahmen angewiesen ist.

Mullvad veröffentlicht Audits häufiger und behandelt sie als laufende Verifizierung. Sie haben mehrere unabhängige Audits beauftragt, ohne dazu aufgefordert zu werden durch spezifische Vorfälle. Dies deutet auf Vertrauen in ihre tatsächlichen Praktiken hin.

ProtonVPN veröffentlicht Audits reaktiv, als Marketing-Material begleitend zu Service-Ankündigungen. Beide Ansätze sind legitim, aber Mullvads proaktive Audit-Strategie zeigt höheres Augenmerk auf externe Verifizierung.

Für No-Logs-Verifizierung erfüllen beide Dienste einen hohen Standard. Mullvad übertrifft durch Architektur-Design und Audit-Häufigkeit, während ProtonVPNs Modell mehr auf Jurisdiktionsschutz und Unternehmensruf