Wie wirken sich VPN-Gerichtsbarkeiten aus?

Die mächtigsten Nationen der Welt sind Mitglieder von geheimen Geheimdienstabkommen, den sogenannten Five Eyes, Nine Eyes und Fourteen Eyes Allianzen.

Diese Länder arbeiten zusammen, um massenhaft Überwachungsdaten zu sammeln und auszutauschen, einschließlich Ihrer Internetaktivitäten, Telefonanrufe, Textnachrichten, elektronischen Dokumente, Standortdaten und vieles mehr.

Daher sind dies die schlechtesten Orte, um ein VPN-Unternehmen anzusiedeln, denn Dienste, die in diesen Ländern angesiedelt sind, könnten aufdringlichen Überwachungs-, Vorratsdatenspeicherungs- und Datenweitergabegesetzen unterliegen und möglicherweise sogar gezwungen sein, Ihre Daten an die Behörden herauszugeben.

Dieser Leitfaden erklärt was eine VPN-Jurisdiktion ist, ihre Auswirkungen auf Ihre Privatsphäre, und die Details der die Fünf-, Neun- und Vierzehn-Augen-Allianzen im Detail, die bei der Wahl eines VPNs entscheidend sind.

In unserer VPN-Jurisdiction-Vergleichstabelle erfahren Sie außerdem, wo genau die beliebtesten VPN-Dienste ihren Sitz haben.

Die „Gerichtsbarkeit“ eines VPNs ist das Land, in dem der Dienstanbieter legal ansässig ist oder seinen Sitz hat und dessen Rechtssystem daher die Gesetze und Datenschutzbestimmungen bestimmt, denen er unterliegt.

Das Ausmaß der staatlichen Überwachung und Kontrolle des Internets variiert von Land zu Land. Die aufdringlichsten Länder können VPN-Dienste dazu zwingen, Daten über ihre Nutzer zu überwachen, zu sammeln oder weiterzugeben.

VPN-Server unterliegen den Gesetzen des Landes, in dem sie sich physisch befinden.

Die Behörden können einzelne Server rechtmäßig beschlagnahmen und auf Daten untersuchen. Sie sind jedoch nicht in der Lage, den VPN-Dienst zur Herausgabe von Informationen zu zwingen, weil das Unternehmen in einem anderen Land ansässig ist, außerhalb der Reichweite ihrer rechtlichen Befugnisse. Deshalb ist die Protokollierungspolitik eines VPN-Dienstes genauso wichtig wie seine Rechtsprechung.

Je nach den Internetvorschriften Ihres Landes sollten Sie sich für einen VPN-Dienst entscheiden, der in einem anderen Land ansässig ist, in dem strenge Datenschutzgesetze gelten und das nicht an internationalen Abkommen zur Datenweitergabe beteiligt ist.

Wenn Sie versuchen, Ihre Internetaktivitäten zu verbergen, sollten Sie es unbedingt vermeiden, ein VPN mit Sitz in einer invasiven Gerichtsbarkeit zu verwenden, da es gezwungen werden könnte, seine Nutzerdaten herauszugeben, die dann international mit Geheimdienstverbündeten geteilt werden können.

Das ist jedoch nicht die einzige Gerichtsbarkeit, über die Sie sich Gedanken machen sollten.

Wenn einer dieser Standorte einschneidenden Gesetzen unterliegt, könnten sie anfällig für Razzien und andere Beeinträchtigungen der Privatsphäre im Namen der „Sicherheit“ sein.

Die Rechtsprechung ist zwar wichtig, aber nur ein Faktor, den Sie bei der Auswahl eines VPNs berücksichtigen sollten. Das Schutzniveau, das Sie benötigen, bestimmt, wie sehr die Rechtsprechung eine Rolle spielt.

Wenn Sie Schutz vor gezielter Überwachung suchen, ist die Wahl eines VPNs in einem sicheren Land wahrscheinlich nicht ausreichend. Nationale Nachrichtendienste verfügen über enorme Ressourcen, und wenn Sie herausgegriffen werden, müssen Sie sich um mehr als nur die Gerichtsbarkeit Ihres VPNs kümmern.

Auch das Vertrauen ist ein wichtiger Faktor. Ein VPN kann seine Kunden immer noch belügen und mit den Behörden zusammenarbeiten, selbst wenn es in einem „sicheren“ Land operiert.

Letztendlich sind der Standort der Server, mit denen Sie sich verbinden, und die Praktiken des Unternehmens, das sie kontrolliert, wahrscheinlich wichtiger als der Sitz des Unternehmens.

Dennoch sind VPN-Gerichtsbarkeiten wichtig, wenn Ihnen Ihre Privatsphäre wirklich am Herzen liegt. Sie könnten durch die folgenden Probleme gefährdet sein:

Überwachung und Vorratsdatenspeicherung

Nationale Geheimdienste wie die NSA und der GCHQ haben die Macht, inländische Organisationen zu zwingen, private Informationen zu protokollieren, weiterzugeben und zu entschlüsseln.

In den USA geben Gesetze wie der Patriot Act den Behörden die Macht, legitime Unternehmen mit Hilfe von National Security Letters dazu zu zwingen, zu Datensammelinstrumenten für staatliche Behörden zu werden.

Diese Anfragen können von einer Nachrichtensperre begleitet sein, die es dem Unternehmen verbietet, offenzulegen, wozu es gezwungen wird. Einige VPN-Unternehmen veröffentlichen Durchsuchungsbefehle, um dieses Problem zu lösen, worauf wir später eingehen werden.

Es gibt dafür einen Präzedenzfall. Im Jahr 2013 geriet der sichere E-Mail-Dienst Lavabit ins Visier des FBI, als es darum ging, Informationen über Edward Snowden zu sammeln.

Lavabit wurde mit einer Nachrichtensperre für die Verschlüsselungsschlüssel der E-Mail-Inhalte seiner Nutzer vorgeladen. Dies hätte es dem FBI ermöglicht, in Echtzeit auf die Kommunikation aller Lavabit-Kunden zuzugreifen, nicht nur auf die von Snowden.

Screenshot der vom FBI freigegebenen Lavabit-Akten; Snowdens E-Mail-Adresse wurde versehentlich unkenntlich gemacht.

Der Gründer des Unternehmens, Ladar Levison, übergab die Verschlüsselungsschlüssel des Unternehmens und schaltete den Dienst umgehend ab. Die US-Behörden drohten Levison mit einer Verhaftung, weil er gegen die gerichtliche Anordnung verstoßen habe.

In ähnlicher Weise wurde der in Seattle ansässige VPN-Dienst Riseup gezwungen, Nutzerdaten für die Behörden zu sammeln, und wurde ebenfalls mit einer Nachrichtensperre belegt, um zu verhindern, dass er diese Daten an seine Nutzer weitergibt.

HideMyAss, ein in Großbritannien ansässiger VPN-Anbieter, erhielt ebenfalls eine gerichtliche Anordnung zur Sammlung von Daten und deren Weitergabe an Behörden für eine strafrechtliche Untersuchung, die erst nach der Anklageerhebung bekannt wurde.

Dies sind nur Beispiele von Fällen, die an die Öffentlichkeit gelangt sind – es ist sehr wahrscheinlich, dass es noch weitere Beispiele gibt, von denen wir noch nichts wissen.

Abkommen über den Austausch von Daten

Internationale Überwachungsabkommen wie die Allianzen Five, Nine und Fourteen Eyes ermöglichen es den Mitgliedsländern, massenhaft Überwachungsdaten auszutauschen und so vom „kleinsten gemeinsamen Datenschutz-Nenner“ zu profitieren.

Sollte eine Nation nach der Ausweitung ihrer elektronischen Überwachungsmöglichkeiten Zugang zu Ihren Daten erhalten, können diese potenziell auch an andere Mitglieder der Allianz weitergegeben werden.

Die Wahrscheinlichkeit ist also groß, dass Ihre Aktivitäten gesammelt und an einen Geheimdienst weitergegeben werden, egal wo auf der Welt Sie sich befinden.

Virtuelle Serverstandorte und gemietete Server

Einige VPN-Dienste mieten Server von Rechenzentren, da dies wesentlich billiger ist, als ein ganzes internationales Netzwerk direkt zu besitzen.

Das mag zwar kosteneffizient sein, hat aber einen Nachteil für die Privatsphäre.

Die Rechenzentren behalten das Eigentum an den Servern, die sie vermieten, und können Ihre Aktivitäten protokollieren, unabhängig von den Protokollierungsrichtlinien des VPN-Anbieters.

Je nach Gerichtsbarkeit des Rechenzentrums könnten die lokalen Behörden den Server-Host auch dazu zwingen, Benutzerdaten zu speichern oder weiterzugeben.

In solchen Fällen sind die Rechtsprechung und die Protokollierungsrichtlinien des VPN-Anbieters irrelevant. Lokale Behörden können sich direkt an den Server-Host wenden, um die benötigten Informationen zu beschlagnahmen.

Erfahren Sie mehr über gemietete VPN-Server im Virtuelle-Server-Standorte Leitfaden.

Wenn Ihnen Ihre Privatsphäre wichtig ist, empfehlen wir Ihnen, einen VPN-Dienst außerhalb der Five, Nine oder Fourteen Eyes Alliances zu wählen.

Die Länder, die an diesen Bündnissen beteiligt sind, beteiligen sich mit sehr viel größerer Wahrscheinlichkeit an invasiven Überwachungs-, Vorratsdatenspeicherungs- und Geheimdienstprogrammen.

Es ist auch wahrscheinlich, dass die mächtigsten Nationen in diesen Bündnissen in der Lage sein werden, andere Mitglieder zur Protokollierung oder zu anderen Formen der Zusammenarbeit zu zwingen.

Was ist ein Datenschutzparadies?

Wir empfehlen Ihnen, ein VPN mit Sitz in einem Land zu wählen, das als „Datenschutzparadies“ gilt.

Eine Datenschutzoase ist ein Land mit einem rechtlichen und politischen Umfeld, das dem Online-Datenschutz förderlich ist. Diese Länder beteiligen sich nur selten an verpflichtenden Überwachungs-, Vorratsdatenspeicherungs- oder Datenweitergabeabkommen und haben oft einige der strengsten Datenschutzgesetze der Welt.

Der Nachteil ist jedoch, dass Datenschutzoasen zwar nicht verpflichtet sind, Nutzerdaten an internationale Behörden weiterzugeben, dass es ihnen aber in der Regel an robusten Vorschriften zum angemessenen Schutz dieser Daten fehlt.

Zu den Ländern, die oft als Datenschutzparadiese bezeichnet werden, gehören die Britischen Jungferninseln, Panama, die Seychellen, die Kaimaninseln und Malaysia.

Viele VPN-Anbieter, wie ExpressVPN und NordVPN, lassen ihre Unternehmen in diesen Ländern registrieren, um ein Höchstmaß an Datenschutz zu gewährleisten.

Es gibt auch einige VPN-Dienste, die sich als vertrauenswürdig erwiesen haben, obwohl sie in “gefährlichen” Gerichtsbarkeiten tätig sind. Private Internet Access (PIA) zum Beispiel konnte der US-Regierung in einem offiziellen Gerichtsverfahren trotz einer Vorladung keine Daten zur Verfügung stellen.

Eine Handvoll wirklich nicht protokollierter VPN-Dienste haben reale Testfälle oder Prüfungen durch Dritte bestanden. Ein VPN in einer sicheren Offshore-Jurisdiktion bietet einfach zusätzlichen Schutz, indem es die Wahrscheinlichkeit verringert, zur Herausgabe von Daten gezwungen zu werden.

Brauchen VPN-Dienste einen Warrant Canary?

Ein Warrant Canary ist eine regelmäßig veröffentlichte Erklärung, die beweisen soll, dass ein Dienstanbieter nicht von einer Regierungsbehörde kontaktiert oder zur Herausgabe von Benutzerdaten gezwungen wurde.

Datenanfragen wie ein U.S. National Security Letter (NSL) sind in der Regel mit einer Nachrichtensperre verbunden, die die Zielperson daran hindert, die Kompromittierung zu veröffentlichen.

Warrant Canaries zielen darauf ab, Benutzer zu warnen, dass ihre Daten unsicher sein könnten, ohne die Nachrichtensperre zu verletzen.

Sie informieren die Benutzer darüber, dass es bis zu einem bestimmten Datum keinen Haftbefehl, keine Nachrichtensperre oder keine Vorladung gegeben hat. Wenn der Canary nicht aktualisiert oder entfernt wird, sollten die Benutzer davon ausgehen, dass das Redeverbot in Kraft ist und der Host eine rechtliche Anfrage erhalten hat.

Screenshot von NordVPNs Warrant Canary.

Viele VPN-Dienste unterhalten Optionsscheine, um die Benutzer davon zu überzeugen, dass sie vertrauenswürdig sind.

Das ist jedoch keine Garantie für Datenschutz oder Sicherheit. Seriöse Dienste vermeiden sie möglicherweise, da ihre Wirksamkeit umstritten ist.

Einige Experten argumentieren, dass Regierungen Unternehmen dazu zwingen können, Canaries beizubehalten, selbst wenn sie kompromittiert sind, und sie damit nutzlos machen. Kompromittierte Dienste könnten es auch vermeiden, Canaries auszutauschen, um Kunden zu binden, so dass Canaries nur noch ein Marketing-Trick sind.

Leider gibt es keine Möglichkeit, mit Sicherheit festzustellen, ob ein Canary-Wechsel auf einen Gerichtsbeschluss hinweist. Die Benutzer müssen über die Bedeutung eines fehlenden oder geänderten Canarys spekulieren.

Wir empfehlen, Warrant Canaries als Bonus zu betrachten, sobald Sie ein vertrauenswürdiges VPN gefunden haben, und nicht gezielt nach einem VPN mit einem Canary zu suchen.

Die NSA ist einer der bekanntesten Nachrichtendienste für Signale (SIGINT), aber fast jedes Land hat seine eigene, gleichwertige Behörde, die sich mit Massenüberwachung beschäftigt, und oft arbeiten sie zusammen.

Ihr Hauptaugenmerk liegt auf der Strafverfolgung, der Datenerfassung und der Spionageabwehr durch das Abfangen von elektronischen Signalen und Online-Kommunikation.

Die Allianzen Five Eyes, Nine Eyes und 14 Eyes sind drei der wichtigsten internationalen Abkommen zum Austausch von Informationen, die koordinierte Überwachungsmaßnahmen zwischen den Mitgliedsländern ermöglichen.

Die Länder, die diesen Bündnissen angehören, sind die schlechtesten VPN-Länder, was den Schutz der Privatsphäre der Nutzer angeht, da sie eher bereit sind, den Überwachungsanfragen verbündeter Behörden nachzukommen.

Im Folgenden finden Sie eine Liste der wichtigsten globalen Überwachungsstellen, die Sie kennen sollten:

1. Die Five Eyes Allianz

Die Five Eyes-Länder sind die USA, Großbritannien, Kanada, Australien und Neuseeland.

Dieses Abkommen zum Austausch von Geheimdienstinformationen geht auf den Zweiten Weltkrieg und das UKUSA-Abkommen zurück, das ursprünglich als Partnerschaft zwischen den Vereinigten Staaten und dem Vereinigten Königreich konzipiert war.

In den letzten Jahrzehnten hat sich das Abkommen sowohl in Bezug auf die Mitglieder als auch den Geltungsbereich erweitert. Die Mitgliedsstaaten, die als Five Eyes Alliance bekannt sind, arbeiten nun zusammen, um Informationen zu sammeln, zu analysieren und auszutauschen, sowohl im Inland als auch international.

Die Five Eyes-Länder haben sich zwar darauf geeinigt, einander nicht als Gegner auszuspionieren, aber Dokumente, die Edward Snowden zugespielt wurden, haben gezeigt, dass die Länder die Bürger der anderen Länder überwachen und diese Informationen untereinander austauschen.

Die Five Eyes-Länder tauschen nicht nur Überwachungsdaten untereinander aus, sondern arbeiten auch zusammen, um Mitteilungen über die Vorratsdatenspeicherung zu versenden und durchzusetzen. Das bedeutet, dass eine Nation eine andere dazu zwingen kann, die Protokolle von VPN-Benutzern in ihrem Hoheitsgebiet herauszugeben.

Es ist allgemein anerkannt, dass viele der Five Eyes-Länder zu den größten Bedrohungen der digitalen Privatsphäre gehören.

Wenn Sie sich Sorgen um Ihre Privatsphäre machen, während Sie ein VPN nutzen, gelten die Five Eyes-Länder als die schlechtesten VPN-Gerichtsbarkeiten überhaupt.

ECHELON Überwachungssystem

Die Five Eyes-Nationen nutzen ECHELON, ein Netz von Spionagestationen, das der weltweiten Überwachung und Datenerfassung dient.

ECHELON kann Daten abfangen, die über Telefone, Faxe und Computer gesendet werden. Die ECHELON-Stationen können Bankkonten überwachen und sogar Daten abfangen, die an und von Satellitenrelais gesendet werden. All diese Daten werden in umfangreichen Datenbanken gespeichert, die Millionen von Datensätzen über Personen enthalten können.

Obwohl sich die Beweise seit fast 30 Jahren verdichten, leugnen die USA immer noch die Existenz von Echelon, während die britische Regierung konsequent ausweicht.

Trotz dieser Dementis haben verschiedene Whistleblower die Wahrheit bestätigt, indem sie bestimmte Aspekte des Echelon-Projekts dokumentierten.

2. Die Nine Eyes Allianz

Die Nine Eyes Allianz ist eine Erweiterung der Five Eyes Allianz. Sie besteht aus einer größeren Gruppe von Ländern, die ebenfalls zusammenarbeiten, um Informationen auszutauschen. Dazu gehören alle Five-Eyes-Länder sowie Frankreich, Dänemark, Norwegen und die Niederlande.

Die Existenz der Nine Eyes Allianz wurde durch die Offenbarungen von Edward Snowden im Jahr 2013 bekannt. Sie ist im Wesentlichen eine Erweiterung des Five-Eyes-Abkommens, das bei der Sammlung und Verteilung von Massenüberwachungsdaten zusammenarbeitet.

Die vier zusätzlichen Länder haben zwar keine so umfangreichen inländischen Überwachungsprogramme wie die USA, das Vereinigte Königreich oder Australien, aber sie arbeiten dennoch untereinander und mit allen fünf Ländern der ursprünglichen Allianz zusammen.

Die Nine Eyes Allianz ist eine Vereinbarung zwischen SIGINT-Einrichtungen und wird nicht durch einen formellen Vertrag geregelt.

3. Die Fourteen Eyes Allianz

Der Fourteen Eyes Allianz gehören alle Mitglieder der Nine Eyes Allianz an, sowie Deutschland, Belgien, Italien, Schweden und Spanien.

Der offizielle Name der Fourteen Eyes Allianz ist SIGINT Seniors of Europe (SSEUR), die in verschiedenen Formen seit 1982 besteht. Ursprünglich für den Austausch von militärischen Informationen gedacht, wurde es inzwischen auf die Überwachung von Informationen über normale Bürger ausgeweitet.

Das SIGINT Seniors Meeting findet jährlich statt und wird von den Leitern von SIGINT-Agenturen wie dem BND, der NSA, der DGSE, dem GCHQ und anderen besucht. Diese Treffen bieten den führenden Vertretern der weltweiten Nachrichtendienste einen Raum, um über Zusammenarbeit und Entwicklung zu diskutieren.

Die SIGINT Seniors of the Pacific sind eine ähnliche Einrichtung, die 2005 gegründet wurde. Zu den Mitgliedern gehören alle Five-Eyes-Länder sowie Indien, Frankreich, Singapur, Thailand und Südkorea.

Es wird angenommen, dass auch andere namhafte Länder wie Israel und Japan eng mit der 14-Eyes-Allianz und der NSA zusammenarbeiten.

4. Die Europäische Union (EU)

Die Europäische Union ist ein Zusammenschluss souveräner europäischer Staaten. Sie gehört zu den größten und mächtigsten politischen und wirtschaftlichen Vereinigungen der Welt, ist aber auch problematisch in Bezug auf Überwachung und Datenschutz.

Auch wenn die Kooperationspolitik der Europäischen Union bei weitem nicht so weitreichend oder invasiv ist wie die der Five, Nine und Fourteen Eyes Allianz, haben die EU-Mitgliedsstaaten dennoch Vereinbarungen über den Datenaustausch getroffen.

Im Jahr 2009 entschied das rumänische Verfassungsgericht jedoch, dass die EU-Forderungen die Datenschutzrechte der Bürger verletzen, was Rumänien zu einem sicheren Hafen für die Privatsphäre der Nutzer in der EU macht. Das erklärt auch, warum VPN-Dienste wie CyberGhost dort ihren Sitz haben.

Während einige EU-Länder dem Datenschutz mehr Bedeutung beimessen als andere, arbeiten viele mit den Five Eyes oder SSEUR-Behörden zusammen und tauschen Daten aus. Dies ist ein wichtiger Aspekt bei der Wahl eines VPN mit Sitz in einem EU-Land.

5. Die Shanghaier Organisation für Zusammenarbeit (SCO)

Die Shanghaier Organisation für Zusammenarbeit (SOZ) – auch bekannt als Shanghaier Pakt – ist ein eurasisches politisches und wirtschaftliches Bündnis zwischen Russland, China, Pakistan, Indien, Kirgisistan, Kasachstan, Usbekistan und Tadschikistan.

Die SOZ konzentriert sich in erster Linie auf die nationale Sicherheit ihrer Mitglieder und setzt sich generell für die Bekämpfung des Extremismus in seinen verschiedenen Formen ein.

In den letzten Jahren haben sich die Aktivitäten der SOZ auf eine verstärkte militärische Zusammenarbeit, den Austausch von Geheimdienstinformationen und die Terrorismusbekämpfung ausgeweitet. Es ist sehr wahrscheinlich, dass die SCO-Mitgliedsländer auf ähnliche Weise Daten sammeln und austauschen wie westliche Geheimdienstbündnisse.

6. Länder mit hoher Zensurrate

Bestimmte Länder verbieten die VPN-Nutzung und verletzen die Privatsphäre ihrer Bürger ungeachtet internationaler Vereinbarungen.

Zu den Ländern, die das Internet am stärksten einschränken, gehören China, die Vereinigten Arabischen Emirate, die Türkei, Russland, Oman, Irak und Weißrussland, wobei diese Liste bei weitem nicht vollständig ist.

Es ist zwar unwahrscheinlich, dass Sie ein VPN oder einen Server mit Sitz in einem dieser Länder finden, aber seien Sie dennoch wachsam. Unsere Untersuchung der chinesischen Eigentümerschaft von kostenlosen VPN-Apps hat zahlreiche VPNs mit Verbindungen zu fragwürdigen chinesischen Unternehmen gefunden.

Gerichtsbarkeiten mit engen Verbindungen zu diesen Regierungen, wie Hongkong, sollten ebenfalls gemieden werden, wenn der Datenschutz ein Anliegen ist.

Weitere Informationen über die Rechtmäßigkeit von VPNs und Nutzungsbeschränkungen finden Sie in unserem Leitfaden zu VPN-Gesetzen.

Wir haben die Datenschutzrichtlinien beliebter VPN-Dienste überprüft. Wir haben festgestellt, dass eine beträchtliche Anzahl von Diensten in Ländern ansässig ist, die potenziell ein Risiko für die Daten der Nutzer darstellen.

Die folgende Tabelle listet alle 80 von uns untersuchten VPN-Dienste, ihre Gerichtsbarkeit und ob sie einen Warrant Canary unterhalten. Wenn ein Haftbefehl-Canary nicht mehr aktuell ist und daher vermutet wird, dass er ausgelöst wurde, ist er in rot.