EU AI ACT
Mai 12, 2026
Julia Wolf 
Plötzlich taucht auf BreachForums eine Behauptung auf: über 100.000 NordVPN-Nutzer-IPs sollen geleakt sein, ein DSGVO-Verstoß drohe, der Provider schweige. Das klingt brisant. Ist es aber nur halb so schlimm – oder doch schlimmer, als die Schlagzeile vermuten lässt? Ein Blick auf die reale Sicherheitsgeschichte von NordVPN zeigt, was VPN-Nutzer tatsächlich fürchten sollten und was bloßer Foren-Lärm ist.
Mitte Mai 2026 macht ein angeblicher NordVPN-Datenschutzskandal die Runde. Die Behauptung: Durch einen Konfigurationsfehler seien die echten IP-Adressen von mehr als 100.000 Nutzern nach außen gedrungen. Eine DSGVO-Klage sei eingereicht, der Provider schweige zum Schadensumfang. So weit, so alarmierend.
Plot Twist: Belastbare Quellen fehlen. Keine Datenschutzbehörde in der EU hat bisher einen entsprechenden Verstoß bestätigt. Keine unabhängige Sicherheitsforschungsgruppe hat einen solchen Datensatz verifiziert. Was auf einschlägigen Foren kursiert, ist bisher nicht mehr als eine Behauptung – und das Muster ist bekannt.
Das Pikante daran ist nämlich folgendes: NordVPN hat eine echte, belegte Sicherheitshistorie, die ausreicht, um kritische Fragen zu stellen. Wer Panik säen will, braucht gar keinen neuen VPN-Leak zu erfinden. Die Vergangenheit liefert genug Stoff. Und die ist deutlich nuancierter, als es Clickbait-Schlagzeilen suggerieren.
Fangen wir mit dem an, was tatsächlich dokumentiert ist. Im Oktober 2018 wurde ein NordVPN-Server in einem finnischen Rechenzentrum kompromittiert. Angreifer nutzten ein unsicheres, vom Rechenzentrumsbetreiber eingerichtetes Management-Interface, von dem NordVPN nach eigenen Angaben keine Kenntnis hatte. Offengelegt wurde der Vorfall erst im März 2019 – also rund fünf Monate später.
Wenig überraschend: Der Shitstorm war enorm. Doch was tatsächlich abgeflossen ist, war weit weniger dramatisch als die Reaktion. Der kompromittierte Server arbeitete RAM-basiert und speicherte keine dauerhaften Verbindungslogs. Die Analyse von HI Solutions fasste es damals treffend zusammen: Keine Nutzer-IPs abgeflossen, keine Verbindungsdaten, kein klassischer VPN-Leak. Der Breach war real, der Schaden für Nutzer dagegen minimal.
Was bleibt, ist die berechtigte Kritik an der Kommunikation. Fünf Monate Schweigen sind kein Ruhmesblatt für einen Anbieter, der mit Datenschutz wirbt. Transparenz sieht anders aus. Aber die Geschichte wird gerne als „NordVPN hat Nutzerdaten verloren“ erzählt – was schlicht falsch ist.
Schnellvorlauf ins Jahr 2025. Ein Hacker unter dem Pseudonym „1011“ behauptet auf BreachForums, in NordVPN-Entwicklungsserver eingebrochen zu sein. Im Angebot: angeblich Quellcode, API-Schlüssel, Zugänge zu Salesforce und Jira. Ein echter VPN-Leak also? Weit gefehlt.
NordVPN reagierte im September 2025 mit einer technischen Gegendarstellung. Borncity dokumentierte die Entkräftung im Detail: Die angebotenen Daten stammten aus einer isolierten Testumgebung eines Drittanbieters, enthielten synthetische Dummy-Daten, und Zeitstempel sowie Schlüsselformate wiesen eindeutig auf eine alte Testphase hin. Keine Live-Daten. Keine echten Nutzer-IPs. Sicherheitsforscher bestätigten die Einschätzung.
Der Clou: Solche Behauptungen auf BreachForums sind 2025 zur Routine geworden. Gefakte oder aufgebauschte Datensätze werden als Druckmittel oder einfach zur Aufmerksamkeitsgenerierung gepostet. Wer jeden dieser Posts als bestätigten DSGVO-Verstoß behandelt, macht den Foren-Trollen einen Gefallen – und schadet seriöser Sicherheitsberichterstattung.
NordVPN wirbt prominent damit, keine Verbindungslogs zu speichern. Das ist keine bloße Marketingaussage, sondern unabhängig überprüft. Deloitte hat die No-Logs-Politik im Februar 2022 geprüft und das Audit 2024 erneuert. Ergebnis: Der Anbieter speichert keine IP-Adressen oder Verbindungsdaten der Nutzer dauerhaft.
Das klingt beruhigend. Ist es auch – mit einem wichtigen Vorbehalt. Denn „keine Logs“ bedeutet nicht „völlig unsichtbar gegenüber Behörden“. NordVPN gibt auf richterlichen Beschluss Zahlungsdaten und E-Mail-Adressen weiter. Das ist DSGVO-konform, wenn auch für manche Nutzer überraschend. Wer also glaubt, ein VPN-Dienst mache ihn vollständig anonym gegenüber Strafverfolgungsbehörden, sitzt einem weit verbreiteten Missverständnis auf.
Die eigentliche Frage lautet nicht: „Hat NordVPN meine IPs geleakt?“ Sie lautet: „Was schützt ein VPN eigentlich, und was nicht?“ Wer das versteht, schläft ruhiger – und trifft bessere Entscheidungen.
Es lohnt sich, den Begriff „unabhängiges Audit“ genauer zu beleuchten, weil er in VPN-Marketing häufig als Qualitätssiegel ohne weitere Erklärung verwendet wird. Ein Audit durch eine Wirtschaftsprüfungsgesellschaft wie Deloitte prüft in der Regel, ob die dokumentierten Prozesse und technischen Konfigurationen zum Zeitpunkt der Prüfung den deklarierten No-Logs-Richtlinien entsprechen. Es ist ein Momentaufnahme-Verfahren, kein dauerhaftes Monitoring.
Das bedeutet konkret: Ein Audit bestätigt, dass zu einem definierten Prüfzeitpunkt keine Verbindungslogs gespeichert wurden. Es garantiert nicht, dass dies auch drei Monate nach der Prüfung noch gilt oder dass sämtliche Infrastrukturkomponenten – inklusive Drittanbieter-Rechenzentren – in die Prüfung einbezogen waren. Der 2018er-Breach illustriert genau diese Lücke: Der kompromittierte Server in Finnland war bei einem externen Rechenzentrumsbetreiber untergebracht, dessen Management-Interface außerhalb der direkten NordVPN-Kontrolle lag.
Nutzer, die ein Audit als vollständige Sicherheitsgarantie interpretieren, sollten deshalb nachfragen: Welcher Umfang wurde geprüft? Sind alle Serverstandorte und Drittanbieter einbezogen? Wird das Ergebnis des Audits vollständig veröffentlicht oder nur zusammengefasst kommuniziert? Anbieter, die diese Fragen offen beantworten, verdienen mehr Vertrauen als solche, die lediglich das Audit-Logo auf die Marketingseite setzen.
Nun zu den juristischen Implikationen, die im Raum stehen. Ein angeblicher DSGVO-Verstoß bei NordVPN durch einen IP-Leak – das klingt nach empfindlichen Bußgeldern. Die DSGVO sieht bei schwerwiegenden Verstößen tatsächlich Strafen von bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro vor, je nachdem, was höher ist.
Nur: Für einen sanktionierbaren DSGVO-Verstoß braucht es erstens einen tatsächlichen Vorfall, zweitens eine zuständige Datenschutzbehörde, die ihn untersucht, und drittens ein abgeschlossenes Verfahren. Keines dieser drei Elemente ist im aktuellen Fall öffentlich belegbar. Eine Klage einzureichen ist etwas anderes als ein bestätigter Verstoß. Gerichte und Behörden prüfen zunächst, ob überhaupt Schaden entstanden ist.
Was tatsächlich brisantes Potenzial hat: Falls sich herausstellen sollte, dass ein Provider trotz No-Logs-Versprechen IP-Adressen gespeichert und dann exponiert hat, wäre das ein echter Verstoß gegen Artikel 5 und 32 DSGVO. Technisch-organisatorische Maßnahmen zum Schutz personenbezogener Daten sind Pflicht. Aber genau diesen Nachweis schuldet jede Klägerin und jeder Kläger dem Gericht – und bisher ist er nicht erbracht.
Ehrlich gesagt ist das die Stelle, wo mich die Debatte wirklich beschäftigt. Nicht der einzelne Vorfall, sondern das Muster dahinter. VPN-Anbieter verkaufen sich als digitale Schutzschilde. „Ihre Daten gehören Ihnen.“ „100% privat.“ „Kein Tracking.“ Das ist Marketing – und es erzeugt Erwartungen, die kein Dienst dieser Welt vollständig erfüllen kann.
Ein VPN verschlüsselt den Traffic zwischen Gerät und VPN-Server. Das schützt vor dem Mitschneiden im lokalen Netz, etwa im Café-WLAN. Es verhindert, dass der Internetanbieter sieht, welche Seiten aufgerufen werden. Und es maskiert die IP-Adresse gegenüber den besuchten Websites. Security Insider dokumentiert dabei, wie 2025 allein 94 Milliarden Cookies weltweit durch Malware gestohlen wurden – ein Problem, das kein VPN alleine löst.
Was ein VPN nicht leistet: Schutz vor Malware auf dem eigenen Gerät. Anonymität gegenüber dem VPN-Anbieter selbst. Unsichtbarkeit gegenüber Behörden mit richterlichem Beschluss. Und Schutz vor Browser-Fingerprinting oder Cookie-Tracking. Wer diese Grenzen kennt, nutzt Virtual Private Networks sinnvoll. Wer sie nicht kennt, wähnt sich in Sicherheit und ist es nicht.
Zurück zur aktuellen Behauptung. Ob der angebliche NordVPN-Vorfall vom Mai 2026 ein gezieltes Desinformationsmanöver ist, Clickbait ohne Substanz oder ein noch nicht verifizierbares reales Ereignis – alle drei Szenarien sind möglich. Und das ist das Problem.
Falschmeldungen über Sicherheitsvorfälle sind selbst ein Angriffsszenario. Nutzer, die in Panik ihre VPN-Passwörter ändern, Phishing-Mails klicken, die angeblich von NordVPN stammen, oder auf Alternativangebote hereinfallen, die als „sichere Alternative“ beworben werden – all das sind reale Konsequenzen falscher oder übertriebener Meldungen. Die Angreifer brauchen keinen echten VPN-Leak. Der Hype reicht.
Wer also eine Nachricht über einen Datenschutzskandal liest, sollte drei Fragen stellen: Welche Datenschutzbehörde hat den Vorfall bestätigt? Welche unabhängige Sicherheitsforschungsorganisation hat den Datensatz verifiziert? Welche technischen Details belegen, dass echte Nutzerdaten betroffen sind? Fehlt eine dieser Antworten, ist Skepsis das richtige Werkzeug.
Angesichts der wachsenden Zahl gefälschter oder aufgebauschter Datenleak-Behauptungen ist es sinnvoll, ein paar praktische Unterscheidungskriterien zu kennen. Echte Sicherheitsvorfälle folgen in der Regel einem erkennbaren Muster: Sie werden von mehr als einer unabhängigen Quelle aufgegriffen, sie enthalten technische Details wie Hash-Werte, Dateistrukturen oder Zeitstempel, die sich nachprüfen lassen, und es gibt eine Reaktion – Dementi oder Bestätigung – des betroffenen Anbieters innerhalb weniger Tage.
Gefälschte oder stark übertriebene Leaks hingegen zeichnen sich häufig durch vage Mengenangaben aus, die sich nicht verifizieren lassen, durch fehlende Stichproben, die Journalisten oder Forscher überprüfen könnten, und durch eine auffällige zeitliche Nähe zu kommerziellen Angeboten – etwa Konkurrenzprodukten, die unmittelbar nach der Behauptung beworben werden. Das ist kein Zufall, sondern ein bekanntes Muster in der Competitive-Intelligence-Branche.
Für den Alltag bedeutet das: Warten Sie bei solchen Meldungen mindestens 48 bis 72 Stunden ab, bevor Sie handeln. In diesem Zeitfenster haben seriöse Sicherheitsforscher und Journalisten in der Regel Gelegenheit, einen Datensatz zu prüfen und erste Einschätzungen zu veröffentlichen. Wer sofort reagiert, tut genau das, was die Verbreiter solcher Meldungen beabsichtigen.
Praktische Konsequenzen, weil abstrakte Warnungen wenig helfen. Erstens: Nicht in Panik-Aktionismus verfallen. Passwortänderungen sind sinnlos, wenn kein bestätigter Credential-Leak vorliegt. Zweitens: Die offizielle NordVPN-Kommunikation verfolgen. Falls tatsächlich Nutzer-IPs exponiert worden sein sollten, ist der Anbieter nach DSGVO zur Benachrichtigung verpflichtet – innerhalb von 72 Stunden nach Kenntniserlangung gegenüber der zuständigen Behörde, bei hohem Risiko auch direkt an Betroffene.
Drittens: Den eigenen VPN-Einsatz hinterfragen. Nutzen Sie einen VPN-Dienst für mobile Endgeräte, also auf dem Smartphone, das Sie in öffentlichen WLANs verwenden? Gut. Nutzen Sie ihn als einzige Sicherheitsmaßnahme? Nicht gut. Zwei-Faktor-Authentifizierung, aktualisierte Betriebssysteme und ein kritischer Umgang mit Phishing-Mails schützen in der Breite mehr als jeder VPN-Tunnel allein.
Viertens: Wer konkret prüfen möchte, ob die eigene IP-Adresse oder E-Mail-Adresse in einem Leak auftaucht, nutzt unabhängige Dienste wie Have I Been Pwned. Die sind nicht auf VPN-Anbieter angewiesen und zeigen reale Kompromittierungen – nicht Forum-Gerüchte.
Ein häufiger Reflex nach vermeintlichen Sicherheitsvorfällen: schnell zum nächstbesten VPN-Anbieter wechseln, der gerade als „sicherer“ beworben wird. Dieser Reflex ist verständlich, aber oft kontraproduktiv. Denn kleinere oder weniger bekannte Anbieter werden deutlich seltener unabhängig auditiert, verfügen über weniger Ressourcen für Sicherheitsinfrastruktur und haben häufig weniger transparente Eigentümerstrukturen. NordVPN hat trotz seiner Vorgeschichte mehrfach unabhängige Prüfungen bestanden – das ist bei weitem nicht selbstverständlich.
Wer tatsächlich über einen Anbieterwechsel nachdenkt, sollte auf folgende Kriterien achten: regelmäßige, veröffentlichte Audits durch anerkannte Prüfgesellschaften; klare Angaben zum Firmensitz und zur Rechtslage, unter der der Anbieter operiert; eine nachvollziehbare Reaktion auf vergangene Sicherheitsvorfälle; und eine transparente Datenschutzerklärung, die konkret beschreibt, welche Daten zu welchem Zweck verarbeitet werden. Anbieter, die diese Informationen nicht oder nur vage bereitstellen, sind kein Upgrade – unabhängig davon, wie überzeugend ihre Werbekampagne ist.
NordVPN hat eine belegte Sicherheitsvergangenheit, die kritische Fragen rechtfertigt. Der 2018er-Breach war real, die Kommunikation mangelhaft, die Nutzer-Schäden minimal. Der 2025er-Vorfall war eine entkräftete Behauptung. Der aktuelle angebliche VPN-Leak mit 100.000 exponierten IPs ist Stand heute nicht durch unabhängige Stellen bestätigt.
Das bedeutet nicht, dass VPN-Nutzer blind vertrauen sollten. Es bedeutet, dass seriöse Sicherheitsdebatte Belege braucht. Nutzer sollten von jedem VPN-Anbieter regelmäßige, unabhängige Audits einfordern. Sie sollten prüfen, was der Dienst tatsächlich speichert, an wen er Daten weitergibt und unter welchem Recht er operiert. Und sie sollten wissen: Ein Virtual Private Network ist ein Werkzeug mit klar definierten Fähigkeiten – kein Allheilmittel.
Die eigentlich brisante Frage ist eine andere: Warum glauben wir VPN-Marketing bereitwillig, prüfen es aber kaum? Wer die Antwort darauf findet, ist gegenüber dem nächsten angeblichen VPN-Skandal weit besser gewappnet – egal ob er sich als real oder als Foren-Lärm herausstellt.
