Wie wirken sich VPN-Gerichtsbarkeiten aus?

Die “Gerichtsbarkeit” eines VPN-Anbieters ist das Land, in dem er rechtlich ansässig ist oder gegründet wurde. Das Rechtssystem dieses Landes hat Einfluss auf die Gesetze und Datenschutzbestimmungen, denen der VPN-Dienst unterliegt.

Das Ausmaß der Überwachung und der Kontrolle, die Regierungen über die Internetnutzung haben, ist von Land zu Land unterschiedlich. Eine eingreifende oder gefährliche Gerichtsbarkeit kann einen VPN-Dienst dazu zwingen, Daten über seine Nutzer zu überwachen, zu sammeln oder weiterzugeben.

VPN-Server unterliegen der Gerichtsbarkeit des Landes, in dem sie sich physisch befinden. Die Behörden in diesem Land sind rechtlich befugt, den Server zu beschlagnahmen, um ihn auf Daten zu untersuchen.

Während diese Behörden jedoch den Server selbst beschlagnahmen können, sind sie nicht in der Lage, das VPN-Unternehmen zur Weitergabe von Informationen zu zwingen, da es seinen Sitz in einem anderen Land hat. Deshalb ist die Logging-Politik eines VPNs genauso wichtig wie eine gute Rechtsprechung.

Je nachdem, wie stark Ihr eigenes Land das Internet reguliert, sollten Sie einen VPN-Dienst außerhalb Ihres Wohnsitzlandes wählen.

Es ist auch sinnvoll, eine Gerichtsbarkeit zu wählen, die strenge Datenschutzgesetze hat und nicht an internationalen Datenaustauschabkommen beteiligt ist.

Wenn Sie ein VPN für den Schutz Ihrer Privatsphäre nutzen, glauben Sie bereits, dass Sie bestimmten Parteien nicht vertrauen können – sei es den Websites, die Sie besuchen, oder Ihrer Regierung.

Die Verwendung eines VPN, das in einem invasiven Land ansässig ist, fügt einfach eine weitere nicht vertrauenswürdige Partei hinzu. Es könnte gezwungen sein, den Behörden Nutzerdaten zu übermitteln, die dann im Rahmen von Abkommen zum Austausch von Informationen an andere Länder weitergegeben werden können.

Wenn einer dieser Orte invasiven Gesetzen unterliegt, könnten sie ungerechtfertigten Durchsuchungen und Beeinträchtigungen der Privatsphäre im Namen der “Sicherheit” ausgesetzt sein.

Die Gerichtsbarkeit ist zwar wichtig, aber nur einer von vielen Faktoren, die bei der Auswahl eines VPNs zu berücksichtigen sind. Wie sehr es darauf ankommt, hängt davon ab, wie viel Schutz Sie benötigen.

Wenn Sie Schutz vor gezielter Überwachung suchen, reicht die Wahl eines VPNs in einem sicheren Land wahrscheinlich nicht aus, um Sie zu schützen. Nationale Nachrichtendienste haben Zugang zu enormen Ressourcen – wenn Sie herausgegriffen werden, müssen Sie sich über mehr als nur die Zuständigkeit Ihres VPNs Gedanken machen.

Auch das Vertrauen ist ein wichtiger Faktor. Ein VPN kann seine Kunden immer noch anlügen und mit den Behörden kooperieren, selbst wenn es in einem “sicheren” Land operiert.

Wenn Sie Ihre Online-Privatsphäre schützen wollen, sind der Standort der Server, mit denen Sie sich verbinden, und die Praktiken des Unternehmens, das sie kontrolliert, wahrscheinlich wichtiger als der Sitz des Unternehmens.

Dennoch sind VPN-Zuständigkeiten wichtig, wenn Ihnen Ihre Privatsphäre wirklich am Herzen liegt. Sie könnten durch die folgenden Probleme gefährdet sein:

Überwachung und Datenspeicherung

Neben ihrer üblichen Überwachungsinfrastruktur haben nationale Nachrichtendienste wie die NSA und das GCHQ die Macht, inländische Organisationen zu zwingen, private Informationen zu protokollieren, weiterzugeben und zu entschlüsseln.

In den Vereinigten Staaten wurden mit dem Patriot Act neue Zuständigkeiten für die Datenerfassung auf Bundesebene durch die Verwendung von National Security Letters eingeführt. Diese Gesetze geben den Behörden die Befugnis, ein rechtmäßiges Unternehmen dazu zu zwingen, zu einem Datenerfassungsinstrument für staatliche Behörden zu werden.

Diese Anfragen können von einer Nachrichtensperre begleitet sein, die es dem Unternehmen verbietet, offenzulegen, wozu es gezwungen wird. Einige VPN-Unternehmen veröffentlichen Durchsuchungsbefehle, um dieses Problem zu lösen, auf das wir später in diesem Leitfaden eingehen.

Hierfür gibt es einen Vorläufer. Im Jahr 2013 wurde der sichere E-Mail-Dienst Lavabit vom FBI ins Visier genommen, um Informationen über Edward Snowden zu sammeln.

Lavabit forderte mit einer Nachrichtensperre die Verschlüsselungsschlüssel für die E-Mail-Inhalte seiner Nutzer an. Dies würde es dem FBI ermöglichen, in Echtzeit auf die Kommunikation aller Kunden von Lavabit zuzugreifen, nicht nur auf die von Snowden.

Der Gründer des Unternehmens, Ladar Levison, übergab die Verschlüsselungsschlüssel des Unternehmens und schaltete gleichzeitig den Dienst ab. Die US-Behörden drohten Levison daraufhin mit einer Verhaftung, weil er gegen die gerichtliche Anordnung verstoßen habe.

In ähnlicher Weise wurde der in Seattle ansässige VPN-Dienst Riseup gezwungen, Nutzerdaten für Regierungsbehörden zu sammeln, und erhielt ebenfalls eine Nachrichtensperre, um zu verhindern, dass er diese Daten an seine Nutzer weitergibt.

HideMyAss, ein VPN-Anbieter mit Sitz im Vereinigten Königreich, erhielt ebenfalls eine gerichtliche Anordnung, Daten zu sammeln und diese für eine strafrechtliche Untersuchung mit den Behörden zu teilen. Dies wurde erst nach der Anklageerhebung bekannt.

Dies sind nur Beispiele von Fällen, die der Öffentlichkeit zugänglich gemacht wurden – es ist sehr wahrscheinlich, dass es weitere Beispiele gibt, die wir noch nicht kennen.

Vereinbarungen zur gemeinsamen Datennutzung

Internationale Überwachungsabkommen wie die Allianzen Five, Nine und Fourteen Eyes ermöglichen es den Mitgliedsländern, den kleinsten gemeinsamen Nenner in Sachen Datenschutz auszunutzen, wie es die EFF ausdrückt.

Mit anderen Worten: Jedes teilnehmende Land profitiert von den umfangreichen Überwachungsdaten, die die anderen Mitglieder einbringen.

Die Praktiken dieser Länder zum Austausch von Geheimdienstinformationen haben weitreichende Auswirkungen auf Internetnutzer und insbesondere auf VPNs. Es ist davon auszugehen, dass, wenn eines dieser Länder Zugang zu Ihren Daten erhält, diese auch an andere Länder weitergegeben werden können.

Wenn in einem dieser Länder ein Gesetz zur Ausweitung der elektronischen Überwachung verabschiedet wird, ist das so, als ob in jedem Land, das an dem Abkommen beteiligt ist, das gleiche Gesetz verabschiedet wird.

Die Wahrscheinlichkeit, dass Ihre Aktivitäten erfasst und an einen Geheimdienst weitergegeben werden, ist also groß, egal wo auf der Welt Sie sich befinden.

Virtuelle Serverstandorte und gemietete Server

Einige VPN-Anbieter mieten ihre Server von Rechenzentren, um die Betriebskosten zu senken. Dadurch wird der Betrieb eines internationalen Servernetzwerks deutlich billiger als der direkte Besitz der Server.

Dies kann zwar die Gemeinkosten eines VPN-Anbieters reduzieren, ist aber im Hinblick auf den Datenschutz problematisch.

Gemietete VPN-Server gehören dem Rechenzentrum, das sie vermietet. Es ist möglich, dass das Datenzentrum Ihre Aktivitäten protokolliert, unabhängig von den Protokollierungsrichtlinien des VPN-Unternehmens.

Je nach Gerichtsbarkeit des Rechenzentrums könnten die örtlichen Behörden den Server-Host auch dazu zwingen, Nutzerdaten aufzubewahren oder weiterzugeben.

In diesem Fall ist die Gerichtsbarkeit und die Protokollierungspolitik des VPN-Unternehmens nutzlos. Lokale Behörden können sich direkt an den Server-Host wenden, um die benötigten Informationen zu beschlagnahmen. Mehr über gemietete VPN-Server erfahren Sie in unserem Leitfaden zu virtuellen Serverstandorten.

Wenn Ihnen Ihre Privatsphäre wichtig ist, empfehlen wir Ihnen, einen VPN-Dienst außerhalb der Five, Nine oder Fourteen Eyes Alliances zu wählen.

Die Länder, die an diesen Bündnissen beteiligt sind, beteiligen sich mit sehr viel größerer Wahrscheinlichkeit an invasiven Überwachungs-, Vorratsdatenspeicherungs- und Geheimdienstprogrammen.

Es ist auch wahrscheinlich, dass die mächtigsten Nationen in diesen Bündnissen in der Lage sein werden, andere Mitglieder zur Protokollierung oder zu anderen Formen der Zusammenarbeit zu zwingen.

Was ist ein Datenschutzparadies?

Im Allgemeinen wird empfohlen, ein VPN zu wählen, das in einem Land ansässig ist, das als “Datenschutzparadies” gilt.

Ein Datenschutzparadies ist ein Land mit einem rechtlichen und politischen Umfeld, das der Idee des Online-Datenschutzes freundlich gesinnt ist. Diese Länder beteiligen sich nur selten an obligatorischen Überwachungs-, Vorratsdatenspeicherungs- oder Datenaustauschvereinbarungen und verfügen oft über einige der strengsten Datenschutzgesetze der Welt.

Diese Länder sind zwar nicht verpflichtet, Nutzerdaten an internationale Behörden weiterzugeben, aber sie verfügen oft auch nicht über die notwendigen Vorschriften, um einen angemessenen Schutz der Nutzerdaten zu gewährleisten. Das bedeutet, dass Sie Ihre Sicherheit für die Privatsphäre aufs Spiel setzen könnten.

Länder wie die Britischen Jungferninseln, Panama, die Seychellen, die Kaimaninseln und Malaysia werden häufig als Datenschutzparadiese bezeichnet.

Viele VPN-Anbieter entscheiden sich dafür, ihr Unternehmen in diesen Ländern zu registrieren, um sicherzustellen, dass ihr Service so privat und sicher wie möglich bleibt. Beispiele hierfür sind ExpressVPN, NordVPN und Astrill.

Es gibt auch einige VPN-Anbieter, die sich als vertrauenswürdig erwiesen haben, obwohl sie in einem “gefährlichen” Rechtsraum tätig sind. Private Internet Access (PIA) zum Beispiel konnte der US-Regierung in einem offiziellen Gerichtsverfahren trotz einer Vorladung keine Daten zur Verfügung stellen.

Es gibt nur wenige wirklich protokollfreie VPN-Anbieter, die Praxistests bestanden haben oder von Dritten geprüft wurden. Ein VPN in einer sicheren Offshore-Jurisdiktion bietet einfach zusätzlichen Schutz, da die Wahrscheinlichkeit geringer ist, dass es gezwungen werden kann, Daten an Behörden weiterzugeben.

Brauchen VPN-Anbieter einen Warrant Canary?

Ein Warrant Canary ist ein umgangssprachlicher Begriff für eine regelmäßig veröffentlichte Erklärung, die beweisen soll, dass ein Dienstanbieter nicht von einer Regierungsbehörde kontaktiert oder zur Weitergabe von Nutzerdaten gezwungen wurde.

Datenanfragen wie ein “US National Security Letter” (NSL) sind in der Regel mit einer Nachrichtensperre verbunden, die das Zielunternehmen daran hindert, die Tatsache, dass es kompromittiert wurde, offenzulegen.

Das Ziel eines Warrant Canary ist es, diese rechtlichen Beschränkungen zu umgehen und die Nutzer zu warnen, dass ihre Daten möglicherweise nicht mehr sicher sind, ohne technisch gegen die gerichtliche Anordnung zu verstoßen, dies nicht zu tun.

Warrant Canaries funktionieren in der Regel so, dass sie die Nutzer darüber informieren, dass ab einem bestimmten Datum kein Haftbefehl, keine Nachrichtensperre oder keine Vorladung mehr vorliegt.

Wenn der Canary nicht aktualisiert oder ganz entfernt wird, müssen die Nutzer davon ausgehen, dass ein Redeverbot in Kraft getreten ist und der Gastgeber eine rechtliche Aufforderung erhalten hat..

Viele VPN-Anbieter bieten einen Warrant Canary an, um die Nutzer davon zu überzeugen, dass sie vertrauenswürdig sind.

Doch nur weil ein VPN-Dienst einen Warrant Canary unterhält, bedeutet das nicht, dass der Dienst privat oder sicher ist. Auch viele zuverlässige und seriöse Dienste verzichten aus Prinzip auf einen Warrant Canary, da ihre Wirksamkeit unter Experten noch umstritten ist.

Einige Experten behaupten, dass Regierungen Unternehmen dazu zwingen können, einen Canary aufrechtzuerhalten, selbst wenn sie kompromittiert wurden, wodurch der Canary nutzlos wird.

Es ist auch möglich, dass ein kompromittierter Dienst seinen Warrant Canary nicht ändern würde, um keine Kunden zu verlieren. In diesem Sinne sind viele Warrant Canaries nichts weiter als Marketing-Theater von Unternehmen, die sich nicht wirklich um die Privatsphäre der Nutzer kümmern.

Leider gibt es keine Möglichkeit, mit Sicherheit zu erkennen, ob ein veränderter Canary ein echter Hinweis auf eine gerichtliche Anordnung ist. Die Nutzer sind gezwungen, sich auf Spekulationen zu verlassen, um zu entscheiden, welche Bedeutung ein fehlender oder veränderter Canary hat.

Wir empfehlen, Warrant Canaries als zusätzliche Funktion zu betrachten, wenn Sie einen ansonsten vertrauenswürdigen VPN-Dienst gefunden haben, und nicht speziell nach einem VPN zu suchen, das über eine solche Funktion verfügt.

Die meisten Menschen denken bei Massenüberwachung an die NSA. Tatsächlich hat aber fast jedes Land seinen eigenen Nachrichtendienst für Signale (SIGINT).

Diese Agenturen konzentrieren sich auf Strafverfolgung, Datenerfassung und Spionageabwehr, indem sie elektronische Signale und Online-Kommunikation abfangen. Darüber hinaus arbeiten sie oft zusammen.

Die Five-, Nine- und Fourteen-Eyes-Allianzen sind drei der wichtigsten internationalen Geheimdienstabkommen, die diese Art der koordinierten Überwachung durchführen. Sie sind auch die schlechtesten VPN-Gerichtsbarkeiten in Bezug auf den Datenschutz.

Im Folgenden finden Sie eine Liste der wichtigsten globalen Überwachungsstellen, die Sie kennen sollten:

1. Die Five Eyes Allianz

Zu den Five Eyes gehören die USA, das Vereinigte Königreich, Kanada, Australien und Neuseeland.

Dieses Abkommen über den Austausch nachrichtendienstlicher Erkenntnisse geht auf den Zweiten Weltkrieg und das UKUSA-Abkommen zurück, das ursprünglich als Partnerschaft zwischen den Vereinigten Staaten und dem Vereinigten Königreich konzipiert war.

In den letzten Jahrzehnten hat der Vertrag sowohl an Mitgliedern als auch an Reichweite zugenommen. Die Mitgliedsstaaten, die als Five Eyes Allianz bekannt sind, arbeiten nun zusammen, um nachrichtendienstliche Informationen sowohl im Inland als auch international zu sammeln, zu analysieren und auszutauschen.

Die Five-Eyes-Länder haben sich zwar darauf geeinigt, einander nicht als Gegner auszuspionieren, doch die von Edward Snowden veröffentlichten Dokumente enthüllen, dass die Länder die Bürger der jeweils anderen Länder überwachen und diese Informationen untereinander austauschen.

Neben dem Austausch von Überwachungsdaten untereinander arbeiten die Five-Eyes-Länder auch bei der Übermittlung und Durchsetzung von Vorratsdatenspeicherungsbescheiden zusammen. Das bedeutet, dass eine Nation eine andere zwingen kann, die Protokolle von VPN-Nutzern in ihrem Zuständigkeitsbereich herauszugeben.

Es dürfte nicht überraschen, dass viele der Five-Eyes-Länder zu den schlimmsten Missbrauchern der digitalen Privatsphäre gehören.

Wenn Sie sich Sorgen um Ihre Privatsphäre machen, während Sie ein VPN nutzen, gelten die Five Eyes-Länder als die schlechtesten VPN-Gerichtsbarkeiten überhaupt.

ECHELON Überwachungssystem

Die Five Eyes-Nationen nutzen ECHELON, ein Netz von Spionagestationen, das der weltweiten Überwachung und Datenerfassung dient.

ECHELON kann Daten abfangen, die über Telefone, Faxe und Computer gesendet werden. Die ECHELON-Stationen können Bankkonten überwachen und sogar Daten abfangen, die an und von Satellitenrelais gesendet werden. All diese Daten werden in umfangreichen Datenbanken gespeichert, die Millionen von Datensätzen über Personen enthalten können.

Obwohl sich die Beweise seit fast 30 Jahren verdichten, leugnen die USA immer noch die Existenz von Echelon, während die britische Regierung konsequent ausweicht.

Trotz dieser Dementis haben verschiedene Whistleblower die Wahrheit bestätigt, indem sie bestimmte Aspekte des Echelon-Projekts dokumentierten.

2. Die Nine Eyes Allianz

Die Nine Eyes Allianz ist eine Erweiterung der Five Eyes Allianz. Sie besteht aus einer größeren Gruppe von Ländern, die ebenfalls zusammenarbeiten, um Informationen auszutauschen. Dazu gehören alle Five-Eyes-Länder sowie Frankreich, Dänemark, Norwegen und die Niederlande.

Die Existenz der Nine Eyes Allianz wurde durch die Offenbarungen von Edward Snowden im Jahr 2013 bekannt. Sie ist im Wesentlichen eine Erweiterung des Five-Eyes-Abkommens, das bei der Sammlung und Verteilung von Massenüberwachungsdaten zusammenarbeitet.

Die vier zusätzlichen Länder haben zwar keine so umfangreichen inländischen Überwachungsprogramme wie die USA, das Vereinigte Königreich oder Australien, aber sie arbeiten dennoch untereinander und mit allen fünf Ländern der ursprünglichen Allianz zusammen.

Die Nine Eyes Allianz ist eine Vereinbarung zwischen SIGINT-Einrichtungen und wird nicht durch einen formellen Vertrag geregelt.

3. Die Fourteen Eyes Allianz

Der Fourteen Eyes Allianz gehören alle Mitglieder der Nine Eyes Allianz an, sowie Deutschland, Belgien, Italien, Schweden und Spanien.

Der offizielle Name der Fourteen Eyes Allianz ist SIGINT Seniors of Europe (SSEUR), die in verschiedenen Formen seit 1982 besteht. Ursprünglich für den Austausch von militärischen Informationen gedacht, wurde es inzwischen auf die Überwachung von Informationen über normale Bürger ausgeweitet.

Das SIGINT Seniors Meeting findet jährlich statt und wird von den Leitern von SIGINT-Agenturen wie dem BND, der NSA, der DGSE, dem GCHQ und anderen besucht. Diese Treffen bieten den führenden Vertretern der weltweiten Nachrichtendienste einen Raum, um über Zusammenarbeit und Entwicklung zu diskutieren.

Die SIGINT Seniors of the Pacific sind eine ähnliche Einrichtung, die 2005 gegründet wurde. Zu den Mitgliedern gehören alle Five-Eyes-Länder sowie Indien, Frankreich, Singapur, Thailand und Südkorea.

Es wird angenommen, dass auch andere namhafte Länder wie Israel und Japan eng mit der 14-Eyes-Allianz und der NSA zusammenarbeiten.

4. Die Europäische Union (EU)

Die Europäische Union ist ein Zusammenschluss souveräner europäischer Staaten. Sie gehört zu den größten und mächtigsten politischen und wirtschaftlichen Vereinigungen der Welt, ist aber auch problematisch in Bezug auf Überwachung und Datenschutz.

Auch wenn die Kooperationspolitik der Europäischen Union bei weitem nicht so weitreichend oder invasiv ist wie die der Five, Nine und Fourteen Eyes Allianz, haben die EU-Mitgliedsstaaten dennoch Vereinbarungen über den Datenaustausch getroffen.

Es gibt einige Ausnahmen von dieser Regel. Im Jahr 2009 entschied das rumänische Verfassungsgericht, dass die Forderungen der EU einen Verstoß gegen das Recht der rumänischen Bürger auf Privatsphäre darstellen.

Dies macht Rumänien zu einem sicheren Hafen für die Privatsphäre der Nutzer unter den EU-Ländern,
Das erklärt auch, warum VPN-Anbieter wie CyberGhost sich für diesen Standort entscheiden könnten.

Einige Länder sind privater als andere, aber es gibt viele, die mit den Five Eyes- oder SSEUR-Behörden zusammenarbeiten und in der Vergangenheit Daten ausgetauscht haben. Das sollten Sie im Hinterkopf behalten, wenn Sie ein VPN mit Sitz in einem EU-Land wählen.

5. Die Shanghaier Organisation für Zusammenarbeit (SCO)

Die Shanghaier Organisation für Zusammenarbeit (SOZ) – auch bekannt als Shanghaier Pakt – ist ein eurasisches politisches und wirtschaftliches Bündnis zwischen Russland, China, Pakistan, Indien, Kirgisistan, Kasachstan, Usbekistan und Tadschikistan.

Die SOZ konzentriert sich in erster Linie auf die nationale Sicherheit ihrer Mitglieder und setzt sich generell für die Bekämpfung des Extremismus in seinen verschiedenen Formen ein.

In den letzten Jahren haben sich die Aktivitäten der SOZ auf eine verstärkte militärische Zusammenarbeit, den Austausch von Geheimdienstinformationen und die Terrorismusbekämpfung ausgeweitet. Es ist sehr wahrscheinlich, dass die SCO-Mitgliedsländer auf ähnliche Weise Daten sammeln und austauschen wie westliche Geheimdienstbündnisse.

6. Länder mit hoher Zensurrate

Bestimmte Länder verbieten die VPN-Nutzung und verletzen die Privatsphäre ihrer Bürger ungeachtet internationaler Vereinbarungen.

Zu den schlimmsten Verstößen gegen die Internetbeschränkungen gehören China, die Vereinigten Arabischen Emirate, die Türkei, Russland, Oman, Irak und Weißrussland, wobei diese Liste bei weitem nicht vollständig ist.

Obwohl es ziemlich unwahrscheinlich ist, dass Sie ein VPN oder einen VPN-Server finden, der in einem dieser Länder ansässig ist, lohnt es sich, wachsam zu sein. Wir haben bei unserer Untersuchung der chinesischen Eigentümerschaft von kostenlosen VPN-Apps viele VPNs mit Verbindungen zu fragwürdigen chinesischen Unternehmen gefunden

Gerichtsbarkeiten mit engen Verbindungen zu diesen Regierungen – wie Hongkong – sollten ebenfalls gemieden werden, wenn Sie sich Sorgen um Ihren Datenschutz machen.

Weitere Informationen über die Rechtmäßigkeit von VPNs und die Beschränkungen ihrer Nutzung finden Sie in unserem speziellen Leitfaden zu VPN-Gesetzen.

Wir haben die Datenschutzrichtlinien der beliebtesten VPN-Anbieter auf dem Markt überprüft. Dabei haben wir festgestellt, dass eine beträchtliche Anzahl von VPN-Anbietern ihren Sitz in Ländern hat, die potenziell ein Risiko für die Nutzerdaten darstellen.

In der folgenden Tabelle sind alle 81 von uns getesteten VPN-Anbieter aufgeführt. Sie gibt Aufschluss über ihre Zuständigkeit und darüber, ob sie einen Warrant Canary führen oder nicht.

Wenn Sie nach einem bestimmten VPN suchen, verwenden Sie die Tastenkombination Strg+F, um den gewünschten Anbieter zu finden.