VPN-Logging-Richtlinien erklärt

Es gibt drei Arten von Daten, die Ihr VPN aufzeichnen kann: Aktivitäts- und Verbindungslogs sowie aggregierte Logs. Zu wissen, welche Art von Daten in diese Kategorien fällt, ist entscheidend, wenn Sie Ihre Privatsphäre effektiv schützen wollen.

1. Aktivitäts-Logs

Das Sammeln von Aktivitätsdaten ist die invasivste Art des Loggings. Sie hebt jeden Vorteil der Privatsphäre oder Anonymität auf, den ein VPN sonst bieten könnte.

Auch als “Nutzungslogs” bekannt, bezieht sich dies auf alle Daten, die sich ausdrücklich auf Ihre Online-Aktivitäten beziehen.

Die Datenschutzrichtlinie von Hola VPN ist ein gutes Beispiel für das Logging von Aktivitäten:

Kostenlose VPN-Anwendungen wie Hola VPN sind ein häufiger Übeltäter beim Sammeln von Aktivitätsdaten. Diese Daten werden oft an Dritte zu Werbezwecken weitergegeben oder verkauft, wodurch die Kosten für ein Abonnement effektiv subventioniert werden.

Einige abonnementbasierte “No-Log”-VPN-Anbieter überwachen die Nutzeraktivitäten, wenn sie einer Person gegenüber verdächtig sind oder wenn sie gesetzlich dazu gezwungen sind. Andere zeichnen die Nutzeraktivitäten in Echtzeit auf und löschen sie dann, wenn die VPN-Sitzung beendet ist.

Unsere Bewertung von SkyVPN hat zum Beispiel ergeben, dass der Dienst personenbezogene Daten wie Ihre IP-Adresse und Standortinformationen aufzeichnet:

Da die Daten so schnell gelöscht werden, ist diese Art der Aktivitätsaufzeichnung nicht allzu besorgniserregend. Dennoch ist es am besten, sie nach Möglichkeit zu vermeiden.

Andere Anbieter wie Hide.me sind aufgrund der Konfiguration ihres Netzwerks technisch nicht in der Lage, Aktivitätslogs zu sammeln. Vom Standpunkt des Datenschutzes aus gesehen sind diese Anbieter die beste Option.

Es ist unnötig zu sagen, dass jedes VPN, das Aktivitätsdaten speichert, unter allen Umständen vermieden werden sollte. Wenn Sie sich Sorgen über die Aufzeichnung von Aktivitäten machen, werfen Sie einen Blick auf die beliebtesten VPNs, die Ihre Aktivitätsdaten aufzeichnen.

2. Verbindungs-Logs

Verbindungs-Logs können auf Serverebene (z. B. die gesamte Bandbreitennutzung des Servers) oder auf Benutzerebene (z. B. Ihre ursprüngliche IP-Adresse) erfasst werden.

In der Regel werden diese Daten zur Optimierung der Netzwerkleistung und zur Fehlerbehebung bei Kundenanfragen verwendet.

Verbindungs-Logs auf Serverebene sind ein gutes Beispiel dafür, dass nicht jede Protokollierung ein Problem darstellt. Es ist für ein VPN praktisch unmöglich, die Leistung aufrechtzuerhalten, ohne irgendwelche Daten aufzuzeichnen.

Die Überwachung und Speicherung der richtigen, nicht identifizierbaren Daten trägt dazu bei, dass Sie die bestmögliche Erfahrung mit Ihrem VPN machen.

Die Speicherung der falschen Verbindungs-Logs könnte es einem VPN-Dienst jedoch ermöglichen, Sie mit Ihrer Aktivität in Verbindung zu bringen. Dies könnte dazu verwendet werden, Sie persönlich zu identifizieren, was für datenschutzbewusste Nutzer ein großes Problem darstellt.

Wenn Sie sich Sorgen über die Art der Verbindungsdaten machen, die Ihr VPN protokolliert, lesen Sie weiter, um zu erfahren, welche Art von Logging nicht akzeptabel ist.

Hier ist ein Beispiel für detaillierte Verbindungs-Logs auf Benutzerebene aus der Logging-Richtlinie von Thunder VPN:

Häufig wird behauptet, dass diese Daten nur verwendet werden, um “die bestmögliche Erfahrung zu liefern” oder “den Kundenservice zu verbessern”, aber wir wissen aus Erfahrung, dass diese Detailgenauigkeit nicht notwendig ist, um ein gut funktionierendes VPN-Netzwerk zu unterhalten.

3. Aggregated Logs

Einige der beliebtesten VPNs auf dem Markt sammeln aggregierte Logs. Das bedeutet, dass das VPN Informationen sammelt, die vermeintlich anonymisiert sind und nicht mit einem bestimmten Benutzer in Verbindung gebracht werden können.

Ein VPN-Dienst kann die von Ihnen besuchten Websites, die von Ihnen genutzte Bandbreite oder die Daten und Zeiten, zu denen Sie sich mit einem Server verbinden, erfassen. Diese Informationen werden dann von allen identifizierenden Faktoren befreit und einer größeren Datenbank hinzugefügt.

Es ist wichtig, sich darüber im Klaren zu sein, dass einige VPNs behaupten, sie würden keine Protokolle aufbewahren, obwohl sie in Wirklichkeit aggregierte Logs aufbewahren. Die Datenschutzrichtlinie von Anchorfree ist ein gutes Beispiel dafür, worauf Sie achten sollten:

Letztlich sind aggregierte und anonymisierte Daten nicht immer das Wundermittel, das die Marketingteams Ihnen weismachen wollen.

Ob diese Art des Loggings akzeptabel ist oder nicht, hängt von der Art der aggregierten Daten und der Effizienz des Anonymisierungsprozesses ab. Sie müssen einfach darauf vertrauen, dass Ihr VPN-Dienst Ihre Daten wirksam anonymisiert.

Wenn Ihnen dieser Vertrauensvorschuss unangenehm ist, sollten Sie sich lieber für einen echten No-Log VPN-Dienst entscheiden.

Was ist ein No-Log VPN?

Ein No-Log VPN-Dienst sammelt oder speichert keine Aktivitäts- oder Verbindungsdaten, die dazu verwendet werden könnten, Sie persönlich zu identifizieren. Vor allem werden keinerlei Informationen, die durch den VPN-Tunnel übertragen werden, erfasst oder gespeichert.

So wird sichergestellt, dass kein Benutzer mit einer bestimmten Aktivität oder Verbindung im VPN-Netzwerk in Verbindung gebracht werden kann. Jeder Nutzer ist privat, anonym und selbst dem VPN-Anbieter unbekannt.

Die einzigen identifizierenden Informationen, die ein No-Logs-VPN hat, sind Ihre E-Mail-Adresse (für die Registrierung Ihres Kontos) und die Rechnungsadresse (für den Fall, dass Sie eine Rückerstattung wünschen).

No Log VPNs können nicht gezwungen werden, Nutzerdaten an Behörden oder Dritte weiterzugeben, da die Daten einfach nicht existieren.

Auf diese Weise kann eine strikte Logging-Richtlinie das Problem einer ungesicherten VPN-Gerichtsbarkeit ausgleichen.

Es ist wichtig zu wissen, dass “No Logs” nicht unbedingt bedeutet, dass überhaupt keine Daten gespeichert werden. Eine echte “No-Logging”-Lösung ist praktisch unmöglich zu implementieren, wenn gleichzeitig ein starkes Netzwerk aufrechterhalten oder Einschränkungen wie Gerätebeschränkungen durchgesetzt werden sollen.

Die meisten VPNs speichern sehr grundlegende Daten wie Informationen über die gesamte Serverauslastung (die Anzahl der Nutzer oder die genutzte Bandbreite pro Server). Dies ist ein berechtigterweise minimaler Ansatz für das Logging, der absolut keine identifizierenden Informationen beinhaltet. Dies wird immer noch als ein No-Log VPN eingestuft.

Die folgenden VPN-Anbieter zeichnen Ihren Browserverlauf und Ihre Aktivitätsdaten auf. Dies ist die unerhörteste Form der Aufzeichnung und sollte unter allen Umständen vermieden werden.

Dies ist keineswegs eine vollständige Liste aller VPNs, die Aktivitäts-Logs aufbewahren. Sie sollten sich immer persönlich über die Richtlinien Ihres Anbieters informieren, bevor Sie ihm Ihre Daten anvertrauen.

Provider Name	Aufgezeichnete Daten	Aufbewahrungszeit
Hola Free VPN	Besuchte URLs Zeit auf Webseiten Datum und Uhrzeit des Zugriffs Ursprüngliche IP-Adresse Browser-Typ	“So lange wie nötig”
McAfee Safe Connect	Besuchte URLs Zeit auf Webseiten Zeitstempel der Verbindung Ursprüngliche IP-Adresse Eindeutige Geräte-ID Browser-Typ Informationen zum Standort Dateidaten (E-Mails, Anhänge usw.)	“So lange wie nötig”
Psiphon	Besuchte Domänen Verwendetes VPN-Protokoll Zeit der VPN-Sitzung Bandbreitennutzung Standortdaten ISP	60 Tage
VPN99	Besuchte URLs Eindeutige Geräte-ID Ursprüngliche IP-Adresse Zeitstempel der Verbindung OS-Version Browser-Typ	5 Jahre

*Wird standardmäßig über die Funktion “Betriebsfehler melden” innerhalb der Anwendung erfasst.

Nichtsahnende VPN-Benutzer werden häufig durch vage, falsche oder bewusst verwirrende Logging-Richtlinien in die Irre geführt, die den Anschein von Privatsphäre erwecken sollen.

Wenn Sie nicht wissen, worauf Sie achten müssen, kann es passieren, dass Sie einen VPN-Dienst nutzen, der Sie in Gefahr bringt.

Wenn Sie die Datenschutzrichtlinien eines VPNs prüfen oder in ein Abonnement investieren, sollten Sie sich der folgenden häufigen Probleme bewusst sein.

Wenn Sie mit diesen Problemen bereits vertraut sind, können Sie direkt zu “Wie Sie sich schützen” übergehen.

1. Falsche Werbung

Mit Ausnahme unabhängiger Audits ist es fast unmöglich, die Logging-Politik eines VPNs wirklich zu überprüfen, bis es zu spät ist.

Um dies zu beweisen, gibt es mehrere Beispiele von angeblich “privaten” oder “nicht protokollierenden” VPN-Anbietern, die dabei erwischt wurden, detaillierte Logs mit Behörden zu teilen.

Im Jahr 2011 spielte der in London ansässige VPN-Dienst HideMyAss (HMA) eine Schlüsselrolle bei der Verhaftung von Cody Kretsinger, einem 23-jährigen Einwohner von Phoenix. Kretsinger war ein Mitglied von LulzSec, einer Abspaltung der Hacker-Aktivistengruppe Anonymous.

HMA behauptete, ein Dienst zu sein, bei dem die Privatsphäre an erster Stelle steht und der es den Nutzern ermöglicht, “in völliger Privatsphäre anonym online zu surfen”:

Das FBI verfolgte Kretsingers Hack zu einer IP-Adresse, die HMA gehörte, und forderte per Gerichtsbeschluss aus dem Vereinigten Königreich Logs an. HMA kam dem nach und übermittelte die Verbindungslogs, die Kretsinger schließlich identifizierten.

Obwohl es klar ist, dass illegale Aktivitäten unter keinen Umständen geduldet werden sollten, ist dieser Vorfall nur ein Beispiel für einen ernsthaften Fehler im VPN-Ökosystem. Ein Produkt zu verkaufen, das ausdrücklich behauptet, die Identität eines Nutzers zu schützen, und dann das Gegenteil zu tun, ist unbestreitbar trügerisch.

HideMyAss ist nicht das einzige VPN mit einer Geschichte falscher Werbung – auch IPVanish hat eine unruhige Vergangenheit, wenn es um Daten-Logging geht.

Im Jahr 2016 kooperierte IPVanish mit dem FBI, um bei einer strafrechtlichen Untersuchung zu helfen. Trotz einer Datenschutzrichtlinie, die ausdrücklich auf die Zero-Logging-Praktiken des Unternehmens hinwies, gab IPVanish schließlich gerichtlichen Anfragen nach und stellte den Behörden detaillierte Verbindungsdaten zur Verfügung.

Obwohl dies natürlich besorgniserregend ist, ist es wichtig zu wissen, dass dieser Vorfall stattfand, als das Unternehmen noch unter einer völlig anderen Eigentümerschaft und Leitung stand. Weitere Informationen zu diesem Fall finden Sie in unserem vollständigen Bericht über IPVanish.

Wahrscheinlich gibt es noch viele weitere Beispiele für vermeintlich “no-log” VPNs, die Daten mit Behörden teilen oder falsche Behauptungen aufstellen, von denen wir einfach nie erfahren werden. So wie es aussieht, ist es wichtig, sich mit der Geschichte Ihres Anbieters zu befassen, bevor Sie eine Entscheidung treffen.

2. Bewusste Zweideutigkeit

In einer perfekten Welt würden alle VPN-Logging-Richtlinien klar erklären, welche Daten während und nach einer VPN-Sitzung gespeichert werden. Leider verlassen sich viele Anbieter auf Zweideutigkeiten, um ein falsches Gefühl der Sicherheit zu vermitteln.

Den meisten Nutzern ist nicht klar, dass allgemeine Formulierungen wie “no-logs” nicht immer das sind, was sie zu sein scheinen. Einige VPN-Anbieter machen sich die Tatsache zunutze, dass es in der gesamten Branche keine einheitliche Definition von “Logs” gibt.

Durch dieses Schlupfloch können VPN-Anbieter vermeiden, ausdrücklich anzugeben, auf welche Art von Daten sich ihre Behauptung “no logging” bezieht.

Ein Anbieter könnte rechtmäßig damit werben, keine Aktivitätsdaten zu loggen, aber weiterhin persönlich identifizierbare Verbindungsdaten aufzeichnen.

Kurz gesagt, viele VPN-Anbieter bezeichnen sich selbst nach ihren eigenen Maßstäben als “no logs”.

Während einige Verbindungs-Logs nicht unbedingt schlecht sind, tragen falsche oder widersprüchliche Aussagen nur zur Verwirrung und zum Misstrauen bei der Auswahl eines VPNs bei.

Genauso kommt es häufig vor, dass die Marketing-Behauptungen eines VPN in direktem Widerspruch zu seinen Datenschutzrichtlinien stehen. In der Regel wird auf der Homepage plakativ behauptet, dass keine Daten aufgezeichnet werden, und dann in den Allgemeinen Geschäftsbedingungen sorgfältig dargelegt, welche Daten tatsächlich gespeichert werden.

ThunderVPN ist ein gutes Beispiel für diese Taktik. Das Unternehmen wirbt auf seiner Google Play Store-Liste eindeutig mit einer “strikten” No-Logging-Politik:

Eine kurze Lektüre der Datenschutzerklärung beweist jedoch, dass dies nicht der Fall ist:

Diese Praktiken sind nicht nur unehrlich, sondern auch potenziell gefährlich für ahnungslose VPN-Nutzer, die die Richtlinien ihres Anbieters nicht vollständig gelesen haben.

Wenn Sie ein VPN finden, das widersprüchliche oder irreführende Angaben zu seinen Logging-Verfahren macht, sollten Sie sich zweimal überlegen, ob es vertrauenswürdig ist. In den meisten Fällen ist es unwahrscheinlich, dass es ein VPN ist, dem Sie Ihre sensiblen Daten anvertrauen sollten.

3. Fehlen von Details

Es ist erstaunlich häufig der Fall, dass weniger beliebte VPN-Anbieter überhaupt keine Datenschutzrichtlinien haben. Wenn es auf der Website des Anbieters keine Angaben zur Datenerfassung gibt, sollte man dem VPN natürlich nicht trauen.

Achten Sie auch auf ungewöhnlich kurze Verträge. Viele Anbieter geben einfach Folgendes an:

“Wir protokollieren keine Ihrer Aktivitäten, während Sie mit dem VPN-Dienst verbunden sind.

Diese Erklärungen sagen nichts darüber aus, wie Ihre Daten auf andere Weise erfasst werden können.

Die Datenschutzrichtlinie von Yoga VPN ist ein gutes Beispiel dafür, was man vermeiden sollte. Mit nur 371 Wörtern Länge erklärt das gesamte Dokument kaum etwas über die Funktionsweise von Yoga VPN.

Einige Dienste sind auch bedenklich vage, wenn es darum geht, wie die Nutzungsbedingungen durchgesetzt werden. Dutzende von Anbietern rühmen sich damit, keine Logs zu führen, warnen die Nutzer aber im gleichen Satz, dass sie “verdächtiges Verhalten untersuchen” oder “missbräuchliche Nutzer sperren” werden.

Es stellt sich also die Frage: Wenn ein VPN Ihre IP-Adresse oder Aktivität nicht aufzeichnet, wie können sie dann verdächtiges Verhalten untersuchen?

Wenn die Protokollierungsrichtlinien eines VPNs kurz oder vage sind, wenden Sie sich an das Support-Team des Anbieters, um weitere Einzelheiten zu erfahren. Verwenden Sie kein Produkt, das nicht bereit ist, die Zeit zu investieren, um klar und transparent über seine Praktiken zu sein.

4. Gerichtsbarkeit

Logging-Politik und Gerichtsbarkeit sind eng miteinander verwoben. Unklare Zuständigkeiten sind zwar gut für den Schutz der Privatsphäre, können aber auch Probleme in Bezug auf die Rechenschaftspflicht verursachen.

Es ist viel schwieriger, ein Unternehmen aus der Ferne für die Verletzung von Gesetzen über falsche Werbung oder die Täuschung von Kunden zur Verantwortung zu ziehen. Wenn ein VPN in Panama einen Kunden in Deutschland absichtlich in die Irre führt, kann nicht viel getan werden.

Noch wichtiger ist, dass die Gerichtsbarkeit eines VPN-Anbieters seine rechtliche Verpflichtung zum Loggen von Daten und deren Weitergabe an Behörden beeinflusst. Ein Dienst mit Sitz in den USA könnte zum Beispiel gezwungen sein, seine Nutzer heimlich zu überwachen.

Diese invasiven Gerichtsbarkeiten sind weniger ein Problem, wenn ein VPN wirklich nicht protokolliert. Allerdings kann die Wahl eines Dienstes außerhalb dieser Länder mehr Schutz bieten.

Wenn Sie mehr über den Datenaustausch zwischen den Five, Nine und 14 Eyes Allianzen erfahren möchten, lesen Sie unseren Richtlinien für VPN Gerichtsbarkeiten.