Wie gefährlich sind VPN-Apps?

Zuletzt aktualisiert am 1. April 2026

Google will ab November neue Verbote für VPN-Apps in die Richtlinien des Play-Stores aufnehmen. Was es damit auf sich hat und inwiefern diese Apps datenschutzrechtlich gefährlich werden können, erfahren Sie hier.

Was will Google verbieten?

Mit Wirkung zum November dieses Jahres wird Google die Richtlinien für den Play-Store ergänzen. Die Änderungen werden vor allem Auswirkungen für solche Apps haben, die damit werben, die Privatsphäre der Nutzer zu schützen.

Konkret geht es um Apps, die als Kernfunktion einen VPN-Service anbieten. Diese werben damit, über den Aufbau eines VPN-Tunnels die Privatsphäre der Nutzer nach außen zu schützen. Einige Anbieter gehen dabei aber möglicherweise betrügerisch vor, indem sie sich selbst über gezielte Werbung finanzieren oder sogar die Daten der Nutzer an Dritte verkaufen.

Solche Praktiken will Google in Zukunft verbieten. Google wird also VPN-Apps verbieten, die Werbeanzeigen manipulieren, „die sich auf die Monetarisierung von Apps auswirken können“. Außerdem dürfen die im Play-Store angebotenen Apps nicht mehr den Netzwerkverkehr anderer Apps auf dem Gerät zu Zwecken der Monetarisierung manipulieren oder umleiten.

Welche Ausnahmen gibt es?

Google will in seinem Play-Store natürlich nicht grundsätzlich alle solchen Services verbieten. Weiter angeboten werden können sollen etwa Netzwerk-Apps zur Umsetzung von Remote-Zugängen, Sicherheits-Apps, die für Firewalls oder ein Mobile-Device-Management gedacht sind oder Apps von Providern.

Damit sind die klassischen VPN-Apps, wie sie in Unternehmen häufig Anwendung finden, nicht vom Verbot umfasst.

Wie sinnvoll sind VPN-Apps zum Datenschutz überhaupt?

Golem hat bereits Anfang 2019 festgestellt: „Die meisten Nutzer brauchen kein VPN“. Immer mehr werden solche Apps aber auch unter dem Gesichtspunkt des Datenschutzes und der Datensicherheit beworben.

Ein solcher VPN-Service verschlüsselt die Daten lediglich zwischen dem Nutzer und dem Server des Anbieters. Zwischen dem VPN-Server und dem Ziel sind die Daten jedoch ungeschützt. Der mögliche Angriffspunkt verschiebt sich durch den Service also lediglich.

So stellt auch Golem letztlich fest: „VPNs nützen in Sachen Sicherheit wenig und beim Datenschutz ist der Nutzen zumindest fragwürdig.“ Viele der angebotenen Apps verschlüsseln nicht einmal ihren Datenverkehr, leiten die IPv6-Verbindung nicht über das VPN oder verschicken DNS-Anfragen nicht über das VPN. So können die VPN-Services selbst zum Sicherheitsrisiko werden.

VPN-Services für Privatpersonen bleiben damit nur für Nischenanwendungen sinnvoll. Die genannten Risiken bleiben allerdings auch dort bestehen.

Datenschutzrechtliche Risiken von VPN-Apps

Die datenschutzrechtlichen Risiken von VPN-Apps sind vielfältig und werden häufig unterschätzt. Ein zentrales Problem liegt in der Tatsache, dass der gesamte Datenverkehr über die Server des VPN-Anbieters geleitet wird. Damit hat dieser theoretisch Zugriff auf alle übertragenen Daten. Bei seriösen Anbietern werden die Daten zwar verschlüsselt und nicht gespeichert, doch bei weniger vertrauenswürdigen Diensten sieht die Realität oft anders aus.

Studien haben gezeigt, dass zahlreiche kostenlose VPN-Apps im Google Play Store und im Apple App Store Tracker und Werbebibliotheken eingebettet haben. Diese sammeln Nutzungsdaten, Standortinformationen und teilweise sogar persönliche Daten wie E-Mail-Adressen oder Telefonnummern. Die so gesammelten Daten werden dann an Werbenetzwerke oder Datenhändler verkauft, um das Geschäftsmodell der kostenlosen App zu finanzieren.

Besonders kritisch ist die Situation bei VPN-Apps mit Sitz in Ländern, deren Datenschutzgesetze weniger streng sind als die DSGVO. In solchen Fällen unterliegen die Anbieter keiner vergleichbaren Aufsicht und können die Daten weitgehend ungehindert verarbeiten und weitergeben.

Technische Schwachstellen und Sicherheitslücken

Neben den datenschutzrechtlichen Bedenken weisen viele VPN-Apps auch erhebliche technische Schwachstellen auf. Eine häufige Problematik ist das sogenannte DNS-Leak. Dabei werden DNS-Anfragen trotz aktiver VPN-Verbindung über den regulären Internetanbieter gesendet, wodurch die besuchten Websites für Dritte sichtbar werden. Dies untergräbt den eigentlichen Zweck der VPN-Nutzung vollständig.

Ein weiteres technisches Risiko sind sogenannte WebRTC-Leaks. Das WebRTC-Protokoll, das für Echtzeitkommunikation in Browsern genutzt wird, kann die tatsächliche IP-Adresse des Nutzers offenlegen, selbst wenn eine VPN-Verbindung aktiv ist. Nicht alle VPN-Apps schützen vor dieser Schwachstelle.

Darüber hinaus nutzen einige VPN-Anbieter veraltete oder unsichere Verschlüsselungsprotokolle. Protokolle wie PPTP gelten seit Jahren als unsicher und können von versierten Angreifern relativ leicht geknackt werden. Moderne und sichere Protokolle wie WireGuard oder OpenVPN werden nicht von allen Anbietern unterstützt.

VPN-Apps und die DSGVO: Pflichten für Unternehmen

Für Unternehmen, die VPN-Apps einsetzen oder ihren Mitarbeitern die Nutzung erlauben, ergeben sich besondere Pflichten aus der DSGVO. Nach Art. 28 DSGVO muss bei der Nutzung eines VPN-Dienstes in der Regel ein Auftragsverarbeitungsvertrag geschlossen werden, da der VPN-Anbieter personenbezogene Daten im Auftrag des Unternehmens verarbeitet.

Zudem müssen Unternehmen gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Auswahl eines VPN-Anbieters muss daher sorgfältig erfolgen. Kriterien sollten dabei unter anderem der Serverstandort, die Verschlüsselungstechnologie, die Protokollierungspolitik und die Einhaltung der DSGVO sein.

Ein weiterer wichtiger Aspekt ist die Transparenzpflicht nach Art. 13 DSGVO. Werden die Daten der Mitarbeiter oder Kunden über einen VPN-Dienst geleitet, muss darüber in den Datenschutzhinweisen informiert werden. Dies umfasst Angaben über den VPN-Anbieter, die Art der verarbeiteten Daten und die Rechtsgrundlage der Verarbeitung.

Empfehlungen für die sichere VPN-Nutzung

Wer dennoch auf VPN-Apps angewiesen ist, sollte einige grundlegende Empfehlungen beachten. Zunächst ist es ratsam, ausschließlich kostenpflichtige VPN-Dienste zu nutzen, da kostenlose Angebote häufig über den Verkauf von Nutzerdaten finanziert werden. Der Anbieter sollte eine strikte No-Log-Policy verfolgen und diese idealerweise durch unabhängige Audits belegen können.

Wichtig ist auch die Wahl eines Anbieters mit Sitz in einem Land mit strengem Datenschutzrecht, idealerweise innerhalb der EU. Zudem sollte der Dienst moderne Verschlüsselungsprotokolle wie WireGuard oder OpenVPN unterstützen und Schutz vor DNS-Leaks und WebRTC-Leaks bieten.

Für Unternehmen empfiehlt es sich, einen eigenen VPN-Server zu betreiben, anstatt auf externe Anbieter zurückzugreifen. So behalten sie die volle Kontrolle über ihre Daten und müssen sich nicht auf die Datenschutzversprechen Dritter verlassen. Die Einrichtung und Wartung eines eigenen VPN-Servers erfordert zwar technisches Know-how, bietet aber das höchste Maß an Sicherheit und Datenschutz.

Kostenlose vs. kostenpflichtige VPN-Dienste: Ein kritischer Vergleich

Der Markt für VPN-Apps ist in den letzten Jahren explosionsartig gewachsen. Besonders kostenlose VPN-Dienste erfreuen sich großer Beliebtheit, bergen jedoch erhebliche Risiken. Eine umfassende Studie der CSIRO (Commonwealth Scientific and Industrial Research Organisation) aus Australien untersuchte 283 kostenlose VPN-Apps für Android und kam zu alarmierenden Ergebnissen: 38 Prozent der untersuchten Apps enthielten Malware oder bösartige Werbekomponenten, 18 Prozent verschlüsselten den Datenverkehr nicht und 84 Prozent ließen den IPv6-Verkehr ungeschützt.

Im Gegensatz dazu bieten seriöse kostenpflichtige VPN-Anbieter in der Regel ein deutlich höheres Sicherheitsniveau. Sie finanzieren sich über Abonnementgebühren und sind daher nicht auf den Verkauf von Nutzerdaten angewiesen. Renommierte Anbieter lassen ihre Systeme regelmäßig von unabhängigen Sicherheitsfirmen überprüfen und veröffentlichen die Ergebnisse transparent.

Für Unternehmen ist die Entscheidung zwischen einem kostenlosen und einem kostenpflichtigen VPN-Dienst keine Frage der Kosten, sondern der Haftung. Setzt ein Unternehmen einen unsicheren VPN-Dienst ein und kommt es dadurch zu einer Datenschutzverletzung, drohen empfindliche Bußgelder nach Art. 83 DSGVO. Die Investition in einen vertrauenswürdigen VPN-Anbieter ist daher nicht nur aus Sicherheits-, sondern auch aus wirtschaftlicher Sicht geboten.

VPN und die internationale Datenübermittlung

Ein häufig übersehener Aspekt bei der Nutzung von VPN-Apps betrifft die internationale Datenübermittlung. Wenn der VPN-Server in einem Land außerhalb der EU steht, findet eine Übermittlung personenbezogener Daten in ein Drittland statt. Dies ist nach Art. 44 ff. DSGVO nur unter bestimmten Voraussetzungen zulässig, etwa wenn ein Angemessenheitsbeschluss der EU-Kommission vorliegt oder geeignete Garantien wie Standardvertragsklauseln vereinbart wurden.

Viele VPN-Anbieter betreiben Server in zahlreichen Ländern weltweit. Nutzer sollten sich bewusst sein, dass die Wahl des Serverstandorts direkte Auswirkungen auf den Datenschutz hat. Ein VPN-Server in den USA unterliegt anderen Datenschutzgesetzen als einer in der Schweiz oder Island. Für den geschäftlichen Einsatz empfiehlt es sich daher, ausschließlich VPN-Server innerhalb der EU oder in Ländern mit Angemessenheitsbeschluss zu verwenden.

Unternehmen sollten zudem prüfen, ob ihr VPN-Anbieter Daten an Strafverfolgungsbehörden herausgibt und unter welchen Umständen dies geschieht. Anbieter in Ländern mit strengen Datenschutzgesetzen und ohne Pflicht zur Vorratsdatenspeicherung bieten hier den besten Schutz. Die Dokumentation dieser Prüfung im Rahmen des betrieblichen Datenschutzmanagements ist dabei unerlässlich.

Aktuelle Entwicklungen und regulatorische Trends

Die Regulierung von VPN-Diensten entwickelt sich weltweit dynamisch. In der EU werden VPN-Anbieter zunehmend in den Fokus der Datenschutzaufsichtsbehörden gerückt. Die europäische Datenschutzverordnung ePrivacy, die als Nachfolgerin der E-Privacy-Richtlinie geplant ist, wird voraussichtlich auch Auswirkungen auf VPN-Dienste haben und strengere Transparenzanforderungen einführen.

Gleichzeitig verschärfen einige Länder außerhalb der EU ihre Regulierung von VPN-Diensten. China, Russland und der Iran haben den Einsatz nicht genehmigter VPN-Dienste bereits stark eingeschränkt oder verboten. Für international tätige Unternehmen ist es daher wichtig, die jeweiligen lokalen Regelungen zu kennen und zu beachten. Die Nutzung eines VPN-Dienstes, der in einem Land illegal ist, kann nicht nur zu Bußgeldern, sondern auch zu strafrechtlichen Konsequenzen für die Mitarbeiter vor Ort führen.

Zusammenfassend lässt sich festhalten, dass VPN-Apps ein zweischneidiges Schwert darstellen. Während sie in bestimmten Szenarien einen wertvollen Beitrag zum Datenschutz und zur Datensicherheit leisten können, bergen insbesondere kostenlose und unseriöse Angebote erhebliche Risiken. Unternehmen sollten die Auswahl und den Einsatz von VPN-Diensten daher stets einer sorgfältigen datenschutzrechtlichen Prüfung unterziehen und die technischen sowie rechtlichen Rahmenbedingungen kontinuierlich überwachen.

Sie brauchen kompetente Beratung in Sachen Datenschutz in Datensicherheit für Ihr Unternehmen? Wir stehen Ihnen gerne zur Seite! Mit unserem Team an Experten können Sie hier in Kontakt treten.