Zurück zum Blog
Verbraucherdatenschutz·13 Min. Lesezeit

Kostenloses VPN vs. kostenpflichtiges VPN 2026 — der wahre Preis von „kostenlos“

Den Betrieb eines VPN-Dienstes kostet echtes Geld – Server, Bandbreite, Mitarbeiter für den Missbrauchsschutz, Anwaltskosten. Wenn ein Anbieter dir nichts berechnet, bezahlt irgendjemand oder irgendetwas anderes dafür. Manchmal ist das in Ordnung (ein kleines kostenloses Kontingent, das von zahlenden Kunden subventioniert wird). Manchmal ist es das eigentliche Geschäftsmodell – und das eigentliche Geschäftsmodell besteht darin, etwas zu verkaufen, das der Anbieter aus dir herausholt. Hier erfährst du, wie du das eine vom anderen unterscheidest – mit konkreten historischen Beispielen.

Von Casper's Cloak Security Team

Die Kurzfassung: Es gibt drei ehrliche Kategorien von „kostenlosen“ VPNs. (1) Begrenztes kostenloses Kontingent eines echten kostenpflichtigen Anbieters (Proton, Windscribe, TunnelBear) – subventioniert durch zahlende Kunden, bewusst begrenzt, damit Vielnutzer upgraden; das Geschäftsmodell ist transparent. (2) Zweckgebundenes kostenloses VPN (Unternehmen, Uni, in ein anderes Produkt integriert) – bezahlt von einer Instanz, die dich in ihrem Netzwerk haben möchte; das Geschäftsmodell ist das des übergeordneten Produkts. (3) Monetarisierungs-VPN – der VPN-Anbieter IST das Unternehmen, und du bist das Produkt. Diese dritte Kategorie ist dort, wo der dokumentierte Schaden historisch angesiedelt war: Botnet-Modelle mit deinem Gerät als Exit-Node, Datenweitergabe an Datenhändler, Ad-Injection, Malware-Bündelung. Die ersten beiden können in Ordnung sein. Die dritte hat die meisten „Ist ein VPN unsicher?“-Schlagzeilen verursacht. Das ist der Leitfaden, um sie auseinanderzuhalten.

Vorab eine Offenlegung: Casper's Cloak ist ein kostenpflichtiger VPN-Dienst. Wir haben ein kommerzielles Interesse an diesem Thema. Deshalb konzentriert sich dieser Beitrag auf nachprüfbare, dokumentierte historische Vorfälle – Fakten, die du anhand der Originalquellen überprüfen kannst – und nicht auf vage „Kostenlos ist schlecht“-Warnungen. Das Ziel ist nicht, dich vor kostenlosen VPNs zu erschrecken, sondern dir zu helfen, eines auszuwählen, dessen Geschäftsmodell du wirklich verstehst.

Was „kostenlos“ den Anbieter tatsächlich kostet

Konkrete Zahlen, denn darauf baut der Rest der Analyse auf. Ein bescheidener VPN-Anbieter, der 1.000 Server in 30 Ländern betreibt, zahlt:

  • Server-Hosting: 40–150 USD/Server/Monat je nach Region (Westeuropa, US-Ost günstig; APAC, Lateinamerika, Afrika teuer) → mindestens 40.000–150.000 USD/Monat.
  • Bandbreite: der dominante Kostenfaktor. Ein VPN-Exit überträgt mehr Traffic als fast jede andere Workload – ein typischer Nutzer verbraucht 50–200 GB/Monat, Anbieter arbeiten bei über 80 % Auslastung. Bandbreitenkosten übersteigen bei zunehmender Größe die Serverkosten bei weitem.
  • Missbrauchsbehandlung: Jemand bearbeitet in Vollzeit DMCA-Meldungen, Beschwerden von Hosting-Anbietern, Anfragen von Zahlungsdienstleistern und gelegentliche Schreiben von Strafverfolgungsbehörden. Das ist nicht optional und wird bei zunehmender Größe teuer.
  • Engineering: Wartung des Protokoll-Stacks (WireGuard, OpenVPN), Client-Apps für iOS/macOS/Windows/Linux/Android, Audits, Sicherheitsreaktion.

Damit ein Anbieter 1.000+ Server betreiben, ein echtes Ops-Team beschäftigen, jährlich auditiert werden und dabei 0 USD verlangen kann – das Geld muss irgendwoher kommen. Die ehrliche Frage lautet: Woher? Die drei nachfolgenden Muster decken in etwa alles ab, was wir in der Praxis dokumentiert haben.

Muster 1 – Begrenztes kostenloses Kontingent eines kostenpflichtigen Anbieters (meistens in Ordnung)

Die sauberste Variante. Der Anbieter verkauft ein kostenpflichtiges Produkt an die Mehrheit seiner Nutzer und bietet ein bewusst begrenztes kostenloses Kontingent als Marketing-Funnel an. Die Beschränkungen nehmen in der Regel eine von drei Formen an:

  • Datenlimit (Windscribe: 10 GB/Monat kostenlos; TunnelBear: 2 GB/Monat kostenlos). Vielnutzer erreichen das Limit und upgraden oder hören auf, den Dienst zu nutzen. Kostenlose Nutzer kosten den Anbieter weniger, als sie als Funnel wert sind.
  • Serverstandort-Beschränkung (Proton Free: 3 Länder; ProtonVPN Plus: 110+). Das kostenlose Kontingent reicht für „Ich möchte meinen Traffic im Café verschlüsselt übertragen“; das kostenpflichtige Kontingent ist erforderlich für Streaming aus anderen Ländern.
  • Funktionsbeschränkung (kein Streaming, kein Torrenting, weniger gleichzeitige Verbindungen). Gleiche Logik wie bei Standortbeschränkungen.

So überprüfst du, ob der Anbieter in diese Kategorie fällt: (a) Es gibt ein offensichtliches, transparentes kostenpflichtiges Angebot mit echten Kunden (schau dir die Anzahl der App-Store-Bewertungen an, nicht nur die Bewertung selbst); (b) die Datenschutzerklärung legt klar dar, dass keine Traffic-Daten protokolliert oder verkauft werden, und idealerweise wurde dies durch ein externes Audit bestätigt; (c) es handelt sich um ein echtes Unternehmen mit namentlich genannten Führungskräften und einem bekannten Gerichtsstand; (d) der Hauptteil der Einnahmen stammt aus kostenpflichtigen Abonnements, was in der Regel in Marketingmaterialien offengelegt wird.

Muster 2 – Zweckgebundenes kostenloses VPN (abhängig vom Zweck)

Kostenlos, weil jemand anderes möchte, dass du es nutzt. Drei Unterformen:

Browser-integrierte VPNs (Opera VPN, Brave Firewall + VPN, Cloudflare WARP). Das übergeordnete Unternehmen hat ein anderes Geschäftsmodell – Werbung verkaufen, Enterprise-Services verkaufen, DNS verkaufen – und das VPN existiert, um den Browser funktional abzuheben. Diese sind in der Regel ehrlich bezüglich ihres Umfangs: Opera VPN ist ein kostenloser verschlüsselter Proxy, kein echtes VPN (schützt nur Browser-Traffic), und das wird auch so kommuniziert. Cloudflare WARP wird durch das Enterprise-CDN-Geschäft von Cloudflare finanziert und ist in etwa der am häufigsten auditierte kostenlose Netzwerkdienst überhaupt.

Apples iCloud Private Relay fällt in diese Kategorie – es ist in iCloud+ enthalten, also streng genommen nicht „kostenlos“, aber am Rand kostenlos, wenn du sowieso für iCloud-Speicher bezahlst. Es funktioniert zudem nur in Safari, verwendet einen doppelten Hop und ist ausdrücklich kein Allzweck-VPN. Den genauen Umfang haben wir in Was iCloud Private Relay wirklich abdeckt – und was nicht im Detail erläutert.

Unternehmens- / Uni-VPNs. Für dich kostenlos, weil die Institution bezahlt. Ehrlich kommuniziert. Nutze sie für ihren vorgesehenen Zweck (Zugriff auf institutionelle Ressourcen), nicht für persönliche Privatsphäre (die Institution kann designbedingt deinen gesamten Traffic einsehen).

So überprüfst du es: Lies die Datenschutzerklärung und schau dir das Hauptgeschäftsmodell des übergeordneten Unternehmens an. Wenn das Hauptgeschäft Browser-Werbung (Opera) oder Enterprise-CDN (Cloudflare) ist, sind die Anreize des VPNs darauf ausgerichtet, es nicht zu vermasseln – schlechte Presse durch einen VPN-Skandal würde dem profitableren Geschäft schaden.

Muster 3 – Monetarisierungs-VPN (wo der dokumentierte Schaden angesiedelt war)

Das ist die Kategorie, um die es bei jedem „Ist ein VPN riskant?“-Artikel eigentlich geht. Der VPN-Anbieter hat kein anderes Geschäft; das VPN IST das Geschäft; der Nutzer IST der Umsatz. Drei dokumentierte historische Mechanismen:

3a. Gerät als Exit-Node (das Hola / Luminati-Modell)

Hola, vermarktet als kostenloses VPN für Browser-Geo-Entsperrung, gewann Anfang der 2010er-Jahre Millionen von Nutzern. Das Geschäftsmodell – in den Nutzungsbedingungen offengelegt, aber in dem Sinne, wie „in den Nutzungsbedingungen offengelegt“ meistens bedeutet – bestand darin, dass dein Gerät als Exit-Node für Luminati (jetzt Bright Data), Holas kommerzielles Proxy-Netzwerk, fungierte. Zahlende Enterprise-Kunden leiteten Traffic über die privaten IPs der kostenlosen Hola-Nutzer.

Die Folgen sind gut dokumentiert: 2015 zeigten Sicherheitsforscher, dass Hola-Nutzer als Exit-Nodes für ein 8chan-DDoS-Botnetz eingesetzt worden waren – das bedeutet, dass von den IPs der Hola-Nutzer Angriffstraffic ausging, von dem diese keine Ahnung hatten. Das Luminati-Netzwerk wurde seitdem umbenannt, Einwilligungsprozesse wurden hinzugefügt, und es läuft weiter; das Modell ist im Wesentlichen gleich geblieben.

Woran du es erkennst: Der Anbieter redet vage von „Peer-to-Peer“-Architektur oder einem „Community-betriebenen“ Netzwerk. Die Nutzungsbedingungen beschreiben ein „Recht zur Nutzung von Bandbreite auf inaktiven Geräten“. Sie verkaufen neben dem kostenlosen Verbraucherprodukt ein kostenpflichtiges kommerzielles Proxy-Produkt – und es ist dasselbe Netzwerk.

3b. Datenweitergabe an Datenhändler (das Onavo / Facebook-Modell)

Onavo Protect war eine kostenlose VPN-App – Facebook kaufte das Mutterunternehmen 2013 und betrieb es als „Onavo Protect“ auf iOS und Android. Die Datenschutzerklärung legte offen, dass Facebook die Sichtbarkeit des Netzwerktraffics nutzte, um zu erfahren, welche Apps Nutzer wie oft und wie lange verwendeten. Diese Erkenntnisse flossen in Facebooks Produktstrategie ein: Bekanntlich warnte Onavo-Daten Facebook vor WhatsApps Wachstum vor der Übernahme und vor TikToks Wachstum vor dem Start von Reels.

Apple entfernte Onavo 2018 schließlich aus dem App Store mit der Begründung von Datenschutzverstößen, und Facebook stellte es 2019 nach dem Cambridge-Analytica-Skandal ein, da das Image nicht mehr zu halten war. Der Mechanismus – kostenloses VPN als Wettbewerbsgeheimdienstkanal für ein Mutterunternehmen – taucht periodisch wieder auf; die Namen ändern sich, aber die Struktur wiederholt sich.

Woran du es erkennst: Das eigentliche Geschäft des Mutterunternehmens ist Werbung, soziale Netzwerke oder Wettbewerbsanalyse. Die Datenschutzerklärung enthält Formulierungen zu „anonymisierten aggregierten Nutzungsdaten“ oder „Verbesserung unserer Dienste“ mit breitem Geltungsbereich. Das kostenlose VPN hat kein offensichtliches kostenpflichtiges Angebot – es gibt keinen Grund für seine Existenz als eigenständiges Produkt.

3c. Ad-Injection und Malware-Bündelung (das breite Spektrum)

Die unsophistizierteste und häufigste Form: Die kostenlose VPN-App injiziert Werbung in Webseiten, leitet Traffic über Affiliate-Links um oder wird mit gebündelter Adware/Spyware ausgeliefert. Studien über kostenlose Android-VPN-Apps stellen wiederholt fest, dass ein erheblicher Prozentsatz Tracking-SDKs einbettet, unnötige Berechtigungen anfordert oder in Extremfällen sogar Malware enthält. Das CSIRO veröffentlichte 2017 eine häufig zitierte Studie, die ergab, dass 38 % von 283 untersuchten kostenlosen Android-VPN-Apps irgendeine Form von Malware enthielten; Folgestudien in den nachfolgenden Jahren stellen eine Verbesserung, aber keine grundlegende Transformation fest.

Woran du es erkennst: Die App platziert aggressiv Werbung in ihrer eigenen Benutzeroberfläche, fordert Berechtigungen über das hinaus an, was ein VPN benötigt (Kontakte, SMS, Standort-immer), hat sehr wenige App-Store-Bewertungen, und der Name des Entwicklers ist unbekannt. Generische „Bestes kostenloses VPN“-Play-Store-Apps, die sich leicht voneinander unterscheiden, sind meistens dasselbe SDK unter neuem Namen.

Die Checkliste für Warnsignale in der Datenschutzerklärung

Vor der Installation eines VPNs – ob kostenlos oder kostenpflichtig – lies die Datenschutzerklärung und achte auf diese konkreten Punkte:

  • Vage Formulierungen zu „aggregierten Nutzungsdaten“ mit weit gefassten erlaubten Verwendungszwecken („zur Verbesserung unserer Dienste, für unsere Partner, zu Marketingzwecken“). Ehrliche kostenpflichtige Anbieter nennen in der Regel konkret, was sie protokollieren: Kontodaten, Zahlungsdaten, manchmal Bandbreitennutzung auf aggregierter Ebene – und nichts weiter.
  • Kein Drittanbieter-Audit oder ein vager Verweis darauf ohne Link. Ehrliche kostenpflichtige Anbieter verlinken auf den vollständigen Auditbericht (Proton, Mullvad, ExpressVPN, NordVPN veröffentlichen ihre alle).
  • Jurisdiktion, die der Privatsphäre der Nutzer feindlich gegenübersteht – USA (unterliegt NSL-Schweigeanordnungen), UK (Investigatory Powers Act) oder Jurisdiktionen innerhalb des Fourteen-Eyes-Geheimdienstaustauschs. Nicht automatisch disqualifizierend, aber es lohnt sich, das abzuwägen.
  • Anonyme Eigentümerschaft. Wenn du nach einigen Minuten Recherche nicht herausfinden kannst, welchem Unternehmen das Produkt gehört und wo es ansässig ist, ist das ein Warnsignal.
  • „P2P / Peer-to-Peer / Community-Netzwerk“-Architekturformulierungen – siehe das Hola-Muster oben.
  • App-Store-Berechtigungen weit über das hinaus, was ein VPN benötigt. Ein VPN benötigt die VPN-Service-Berechtigung und auf Android den Vordergrunddienst. Es benötigt keine Kontakte, SMS, Kalender oder genauen Standort.

Wann kostenlos wirklich die richtige Antwort ist

Drei ehrliche Anwendungsfälle, in denen ein kostenloses VPN (konkret Muster 1 oder Muster 2) wirklich das richtige Werkzeug ist:

  • Gelegentliche Verschlüsselung im Café. Du möchtest deinen Traffic vor dem Mitlesen in einem feindseligen WLAN schützen, dein monatliches Volumen liegt unter wenigen GB, und du machst nichts, was von hoher Geschwindigkeit profitiert. ProtonVPN Free, Windscribe Free, TunnelBear Free und Cloudflare WARP erfüllen diesen Zweck allesamt gut.
  • Vor dem Kauf ausprobieren. Nutze das kostenlose Kontingent eines kostenpflichtigen Anbieters, um App-Qualität, Geschwindigkeit und Länderliste zu prüfen, bevor du dich für ein Jahresabonnement entscheidest. Kostenlose Kontingente gibt es genau dafür.
  • Du bist bereits in einem Paket enthalten. Wenn du für iCloud+ bezahlst und dein Traffic hauptsächlich über Safari läuft, ist iCloud Private Relay am Rand kostenlos. Wenn du Brave nutzt, ist Brave Firewall + VPN inklusive. Wenn dein Arbeitgeber ein Unternehmens-VPN bereitstellt, nutze es für die Arbeit und kombiniere es mit etwas anderem für die private Nutzung.

Was ein kostenpflichtiges VPN wirklich bietet (ehrliche Version)

Marketingversprechen beiseite – hier ist, was Abo-Einnahmen einem Anbieter ermöglichen, das ein durch Werbung oder Datenwiederverkauf finanzierter Anbieter strukturell nicht leisten kann:

  • Einen Anreiz, der mit deiner Privatsphäre übereinstimmt, nicht dagegen. Das Abonnement IST der Umsatz; der Verkauf deiner Traffic-Daten würde die Marke und den Kundenstamm zerstören. Das wirtschaftliche Argument für ehrliches Verhalten ist das stärkste.
  • Kapazität, Missbrauch zu begegnen, ohne dich fallen zu lassen. Kostenpflichtige Anbieter können sich Mitarbeiter für den Missbrauchsschutz leisten; kostenlose Anbieter sind hier unterbesetzt und lassen Missbrauch entweder dem Ruf schaden oder schränken Funktionen ein (P2P/Torrenting verschwindet bei kostenlosen Kontingenten oft aus Kostengründen, nicht aus Prinzip).
  • Drittanbieter-Audits. Externe Sicherheitsaudits kosten echtes Geld; kostenlose Anbieter geben diese selten in Auftrag. Die großen kostenpflichtigen Anbieter veröffentlichen Auditberichte in regelmäßigen Abständen.
  • Geschwindigkeit und Server-Dichte. Bandbreite ist der dominante Kostenfaktor. Kostenpflichtige Anbieter können überkapazitieren; kostenlose rationieren. Das zeigt sich als langsamere Geschwindigkeiten in Stoßzeiten, weniger verfügbare Länder, kleinerer IP-Pool.
  • Echter Kundensupport. Nutzer des kostenlosen Kontingents erhalten ein Community-Forum; zahlende Kunden bekommen eine E-Mail-Antwort innerhalb weniger Stunden.
  • Ein klares Geschäftsmodell. Wenn du benennen kannst, wie das Unternehmen Geld verdient, kannst du vorhersagen, wie es sich unter Druck verhält (Übernahme, finanzielle Schwierigkeiten, regulatorischer Druck).

Warum VPNs auch nicht das ganze Bild sind (die ehrliche Position eines kostenpflichtigen Anbieters)

Selbst ein perfektes kostenpflichtiges VPN – ordentlich auditiert, ohne Protokollierung, gut entwickelt – löst nur einen bestimmten Teil der Datenschutzprobleme. Den Traffic-Verschlüsselungsteil: ja. Den „Dein ISP kann nicht sehen, welche Seiten du besuchst“-Teil: ja. Den „Das Café-Netzwerk kann deine Sitzungen nicht mitlesen“-Teil: ja. Aber:

  • Die Seiten und Apps, mit denen du kommunizierst, sehen dich weiterhin – und auf Telefonen telefonieren die In-App-Tracking-SDKs unabhängig vom Netzwerkpfad nach Hause. iOS App Tracking Transparency blockiert die IDFA, aber kein Fingerprinting; siehe Was iOS App Tracking Transparency nicht verhindert.
  • Werbung, Tracker und schädliche Domains werden weiterhin geladen auf der DNS-Ebene. Ein VPN verschlüsselt deinen Traffic zum Ziel; es filtert nicht, welche Ziele erreicht werden. Deshalb ist DNS-Filterung die natürliche Ergänzung – siehe Wie DNS-Filterung wirklich funktioniert.
  • Traffic-Analyse-Angriffe auf der Metadatenebene – Muster von Bytes pro Sekunde, Timing, mit wem du dich wann verbindest – funktionieren durch verschlüsselte Tunnel. Die meisten Nutzer stört das nicht; manche schon.

Casper's Cloak kombiniert VPN-Tunneling mit DNS-basierter Werbe-/Tracker-Blockierung (wir betreiben eine Pi-hole-Instanz pro Nutzer als Resolver) und KI-gesteuerter Bedrohungserkennung – explizit weil das VPN-allein-Angebot die DNS-Schicht offenlässt. Ehrliche Einschätzung: Ein kostenpflichtiges VPN ist für eine bedeutende Menge an Datenschutzproblemen notwendig und für andere allein nicht ausreichend.

Fazit

Kostenlose VPNs sind keine Kategorie – sie sind drei verschiedene Kategorien mit sehr unterschiedlichen Anreizstrukturen. Begrenztes kostenloses Kontingent eines kostenpflichtigen Anbieters: meistens in Ordnung, bewusst eingeschränkt, zahlende Nutzer subventionieren dich. Zweckgebundenes kostenloses VPN: hängt davon ab, wer bezahlt und warum, aber meistens ehrlich kommuniziert. Monetarisierungs-VPN: hier hat der dokumentierte Schaden historisch gelebt – Peer-als-Exit-Node-Netzwerke, Datenweitergabe an Datenhändler, Ad-Injection, Malware-Bündelung. Die dritte Kategorie von den ersten beiden zu unterscheiden, gelingt mit der obigen Checkliste für Warnsignale in der Datenschutzerklärung und – verlässlicher – indem man sich fragt: Woher kommt das Geld? Wenn du das benennen kannst, ist es wahrscheinlich in Ordnung. Wenn nicht, bist du wahrscheinlich das Produkt.

Und egal, was du wählst – kostenlos, kostenpflichtig oder keines –: Ergänze es mindestens um DNS-Filterung und erwarte nicht, dass eines dieser Dinge allein die gesamte Antwort ist. Der ehrliche Stack ist VPN + DNS-Filterung + vernünftige Betriebssystem-Standardeinstellungen – das ist die Architektur, die Casper's Cloak ausliefert; es ist auch die Architektur, die du dir selbst aus kostenlosen Teilen zusammenstellen kannst, wenn du möchtest.


Verwandte Artikel: Public WiFi attacks in 2026 behandelt das Bedrohungsmodell, das VPNs eigentlich adressieren sollen; How DNS-level filtering actually works behandelt die Schicht, die VPNs offenlassen; What iCloud Private Relay actually covers behandelt Apples Datenschutzfunktion, die kein richtiges VPN ist. Der Casper's Cloak vs traditional VPNs comparison geht tiefer auf die technischen Unterschiede ein.

Geprüft vom Casper's Cloak Security Team · Zuletzt aktualisiert

Probiere Casper's Cloak

VPN-Verschlüsselung + Pi-hole-DNS-Filterung + KI-Bedrohungserkennung in einer App. Ehrliches Geschäftsmodell, keine Aktivitätsprotokolle by Design, Schutz für das gesamte Gerät – sieh dir die Preise oder unser Feature zur Bedrohungsabwehr an.