Drei Entwicklungen laufen gerade parallel, und zusammen verändern sie die Frage, ob ein VPN sinnvoll ist, grundlegend. Erstens: Die Bundesregierung arbeitet an einem Gesetzentwurf zur Vorratsdatenspeicherung, der Internetanbieter verpflichten soll, IP-Adressen aller Nutzer drei Monate lang zu speichern. Zweitens: Die EU-Mitgliedstaaten fordern ein noch weitergehendes Gesetz, das die Speicherpflicht auf Messenger, VPN-Anbieter, Cloud-Dienste und Zahlungsdienstleister ausdehnen soll. Drittens: Öffentliches WLAN breitet sich in Rathäusern, Bibliotheken, Cafés und Verkehrsmitteln weiter aus, ohne dass die Sicherheit der Verbindungen Schritt hält.
Wer angesichts dieser Lage nach einem passenden Dienst sucht, findet bei 01net einen aktuellen Vergleich der beste VPN-Dienste, der Anbieter nach Geschwindigkeit, Datenschutzrichtlinien und Protokollen bewertet. Das ist ein brauchbarer Ausgangspunkt, bevor man sich durch das Marketing der einzelnen Anbieter arbeitet.
Jede dieser drei Entwicklungen wäre für sich genommen schon ein Argument, sich mit dem Thema VPN zu beschäftigen. Zusammen ergeben sie ein Bild, das ich für ziemlich eindeutig halte.
Der Gesetzentwurf zur IP-Speicherung: Was konkret geplant ist
Das Bundesjustizministerium unter Ministerin Stefanie Hubig (SPD) hat im Dezember 2025 einen Referentenentwurf vorgelegt, der Internetzugangsanbieter verpflichten soll, öffentliche IP-Adressen, Portnummern und Zeitstempel der Zuweisung für drei Monate zu speichern. Zweck: Strafverfolgungsbehörden sollen anhand einer IP-Adresse den zugehörigen Anschlussinhaber identifizieren können. Inhalte der Kommunikation sollen nicht gespeichert werden, Standortdaten ebenfalls nicht.
So weit die Theorie. In der Praxis bedeutet das: Jeder Internetanschluss in Deutschland wird drei Monate lang protokolliert. Der Deutsche Anwaltverein (DAV) hat in seiner Stellungnahme darauf hingewiesen, dass auch eine auf IP-Adressen beschränkte Speicherung eine anlasslose, flächendeckende Überwachung aller Internetnutzer darstellt. Die Bundesrechtsanwaltskammer sieht den Entwurf „mit erheblicher Skepsis“. Und das Bundeskriminalamt hatte selbst erklärt, dass eine Speicherfrist von zwei bis drei Wochen für die meisten Ermittlungen ausreichend wäre. Drei Monate sind also nicht technisch begründet, sondern politisch gewählt.
Ich halte das für einen wichtigen Punkt. Die Speicherfrist orientiert sich nicht an der tatsächlichen Ermittlungspraxis, sondern an dem, was politisch durchsetzbar erscheint.
Die EU will noch weiter gehen
Parallel zum deutschen Gesetzentwurf arbeiten die EU-Mitgliedstaaten an einem europaweiten Rahmen für die Vorratsdatenspeicherung. Ein internes Ratsdokument, das Netzpolitik.org im Dezember 2025 veröffentlichte, zeigt, wie weit die Pläne reichen. Die Speicherpflicht soll nicht nur für Telekommunikationsanbieter gelten, sondern ausdrücklich auch für VPN-Dienste, Hosting-Anbieter, Messenger wie WhatsApp und Signal, Cloud-Speicherdienste, Zahlungsdienstleister und sogar Gaming-Plattformen.
Die meisten Mitgliedstaaten fordern eine Speicherdauer von mindestens einem Jahr. Einige wollen, dass die EU nur eine Mindestfrist festlegt, damit nationale Gesetze längere Fristen beibehalten können. Die EU-Kommission plant, bis Mitte 2026 einen Gesetzesvorschlag vorzulegen.
Wenn VPN-Anbieter mit Sitz in der EU zur Datenspeicherung verpflichtet werden, verändert das die Bewertung grundlegend. Die Jurisdiktion des Anbieters wird dann zum entscheidenden Kriterium. Ein VPN-Dienst mit Sitz in Panama, der Schweiz oder auf den Britischen Jungferninseln unterliegt keiner solchen Pflicht. Ein Dienst mit Sitz in Deutschland, Frankreich oder den Niederlanden potenziell schon.
Öffentliches WLAN wächst. Die Sicherheit nicht.
In der Lausitz investiert der Landkreis Oberspreewald-Lausitz gerade 50,7 Millionen Euro in den Glasfaserausbau, um bis 2028 rund 10.000 Haushalte anzuschließen. Baustart ist Mai 2026. Ähnliche Programme laufen in ganz Brandenburg. Schnelleres Internet bedeutet mehr Nutzung, mehr vernetzte Geräte, mehr Aktivität auf öffentlichen Netzen.
Gleichzeitig bieten immer mehr öffentliche Einrichtungen kostenloses WLAN an. Das ist grundsätzlich positiv. Aber die meisten dieser Netzwerke sind offen oder nur mit einem allgemein bekannten Passwort gesichert. Wer sich in einer Bibliothek, einem Café oder einem Rathaus ins WLAN einloggt, sendet seine DNS-Anfragen im Klartext. Der Betreiber des Netzwerks kann sehen, welche Seiten aufgerufen werden. Und jeder, der im selben Netz ein einfaches Analysetool laufen lässt, kann den Datenverkehr mitlesen.
Ein VPN verschlüsselt die gesamte Verbindung zwischen dem Gerät und einem externen Server. Der WLAN-Betreiber sieht nur verschlüsselten Datenverkehr. DNS-Anfragen laufen über die Server des VPN-Anbieters. Die besuchten Seiten bleiben unsichtbar.
Was ein VPN nicht kann (und warum das trotzdem kein Argument dagegen ist)
Ein VPN schützt nicht vor Phishing-Mails. Es verhindert nicht, dass jemand sein Passwort auf einer gefälschten Website eingibt. Es blockiert keine Schadsoftware, die über einen infizierten E-Mail-Anhang kommt. Diese Einschränkungen sind real und sollten ehrlich benannt werden.
Was ein VPN allerdings zuverlässig leistet: Es macht den Netzwerkverkehr zwischen Ihrem Gerät und dem Internet für Dritte unlesbar. In einer Zeit, in der der Staat plant, IP-Adressen aller Bürger drei Monate lang zu speichern, in der die EU über die Ausweitung auf Messenger und VPN-Dienste diskutiert, und in der öffentliches WLAN ohne Verschlüsselung zur Normalität wird, ist das keine Nebensache.
Worauf es bei der Wahl ankommt
Der Markt für VPN-Dienste ist unübersichtlich. Einige Punkte, die ich für wesentlich halte:
Die No-Log-Richtlinie sollte durch eine unabhängige Prüfung belegt sein. NordVPN wurde 2025 von Deloitte auditiert, ExpressVPN lässt regelmäßig durch Cure53 prüfen. Behauptungen ohne Audit sind wertlos. Der Standort des Anbieters bestimmt, welchen Gesetzen er unterliegt. Wenn die EU ihre Pläne umsetzt, werden Anbieter mit EU-Sitz zur Datenspeicherung verpflichtet. Panama (NordVPN), die Britischen Jungferninseln (ExpressVPN) oder die Schweiz (Proton VPN) liegen außerhalb dieses Zugriffs. Das Protokoll beeinflusst Geschwindigkeit und Sicherheit. WireGuard ist aktuell der schnellste Standard. NordVPN bietet mit NordLynx eine eigene Variante. Einige Anbieter haben bereits post-quantentaugliche Verschlüsselung implementiert, um gegen zukünftige Bedrohungen durch Quantencomputer gewappnet zu sein.
Und zuletzt: Kostenlose VPN-Dienste haben ein Geschäftsmodell. Wenn Sie nicht bezahlen, werden Ihre Daten monetarisiert. Die NordVPN-Nutzungsumfrage von 2025 zeigt, dass die Generation Z am häufigsten zu kostenlosen Diensten greift. Genau diese Gruppe hat am meisten zu verlieren, weil ihre Nutzungsdaten über Jahrzehnte relevant bleiben.
Die Frage, ob man 2026 einen VPN braucht, hat sich verändert. Es geht nicht mehr nur um Streaming oder öffentliches WLAN. Es geht um eine gesetzliche Infrastruktur, die gerade aufgebaut wird, um den Internetverkehr aller Bürger systematisch zu erfassen. Wer das für übertrieben hält, sollte den Referentenentwurf des Bundesjustizministeriums lesen. Er ist öffentlich zugänglich. 60 Seiten, kein Konjunktiv.
