Die Bundesregierung hat einen Gesetzentwurf beschlossen, der Internetanbieter verpflichten soll, die IP-Adressen aller Nutzer drei Monate lang zu speichern. Beschlossen ist damit noch kein Gesetz: Das Kabinett hat den Entwurf am 22. April 2026 auf den Weg gebracht, seit Juni liegt er dem Bundestag vor (Drucksache 21/6581), und im Bundesrat wird bereits über eine Verschärfung auf sechs Monate diskutiert. Die Regierung nennt es nicht Vorratsdatenspeicherung – aber das ist es im Kern. Anlasslos, flächendeckend, alle. Wer das liest und beschließt, sich mit einem VPN zu schützen, macht erst einmal das Richtige. Und stößt doch auf ein Problem, das größer ist als die eigene Anbieterwahl.
Was wirklich gespeichert wird
Halten wir zunächst fest, worum es geht. Dein Internetanbieter soll künftig protokollieren, welche öffentliche IP-Adresse dein Anschluss zu welchem Zeitpunkt zugewiesen bekam. Das ist die digitale Zuordnung „Anschluss X war um 14:32 Uhr unter dieser Adresse erreichbar“. Nicht gespeichert werden – das betont die Regierung – Standortdaten oder die besuchten Websites. Es geht, so die offizielle Sprachregelung, nur um das „Nummernschild“ im Internet.
Das Bild ist verräterisch. Ein Nummernschild trägt man freiwillig und sichtbar vor sich her. Eine IP-Zuordnung wird zwangsweise erhoben, rückwirkend ausgewertet und betrifft jeden – auch dich, der nie etwas getan hat. Der entscheidende Punkt steckt nicht in der Datenmenge, sondern in der Logik: Es wird auf Vorrat gespeichert, ohne Anlass, ohne Verdacht, ohne Beschränkung auf bestimmte Straftaten. Genau das ist das definierende Merkmal der Vorratsdatenspeicherung. Der kleinere Datenumfang ändert daran nichts.
Was ein VPN leistet – und was nicht
An dieser Stelle kommt das VPN ins Spiel, und es lohnt sich, präzise zu sein, weil hier viel Halbwissen kursiert. Nutzt du einen VPN, sieht dein deutscher Internetanbieter Folgendes: Er weiß weiterhin, dass dein Anschluss zu Zeitpunkt X online war und welche IP-Adresse er hatte – das wird gespeichert, daran ändert der VPN nichts. Er sieht zusätzlich, dass von dir eine verschlüsselte Verbindung zu einem VPN-Server aufgebaut wird. Was er nicht sieht: was durch diesen Tunnel läuft, welche Seiten du besuchst, mit wem du kommunizierst.
Findet nun eine Ermittlungsbehörde bei einem von dir besuchten Dienst eine IP-Adresse, ist es die Adresse des VPN-Servers – nicht deine. Die Spur endet beim VPN-Anbieter. Ob sie dort weiterverfolgt werden kann, hängt allein von einer Frage ab: Speichert dieser Anbieter, welcher Kunde wann unter welcher VPN-Adresse unterwegs war? Führt er ehrlich keine Logs, bricht die Kette ab. Führt er sie doch und sitzt in einer kooperationsbereiten Jurisdiktion, lässt sie sich rekonstruieren.
Daraus folgt eine Einschränkung, die in der Debatte gern untergeht: Der VPN schützt ausschließlich die Netzwerkebene. Loggst du dich irgendwo mit E-Mail, Account oder Zahlungsdaten ein, ist deine IP-Adresse vollkommen gleichgültig – dann bist du über andere Wege identifizierbar. Der beste Tunnel der Welt schützt nicht vor dem Identitätsmanagement darüber. Und das hat eine unbequeme Konsequenz für die ganze Begründung des Gesetzes: Wer Missbrauchsmaterial tauscht oder Betrug betreibt – also genau die im Entwurf genannten Zielgruppen –, nutzt längst VPN, Tor oder anonymes Hosting. Die anlasslose Speicherung erfasst dann zuverlässig die normale Bevölkerung und läuft bei den eigentlichen Tätern ins Leere.
Die Standortfrage: Panama, und der Rückzug aus der Schweiz
Wenn der Schutz also am Anbieter hängt, liegt der nächste Gedanke nahe: Dann wähle ich eben einen mit gutem Ruf und sicherem Standort. NordVPN sitzt in Panama, außerhalb der EU und der Geheimdienst-Allianzen, fährt seine Server weitgehend im RAM-Betrieb und hat seine No-Logs-Politik mehrfach auditieren lassen. Proton wirbt mit dem Schweizer Standort – jahrzehntelang das Synonym für Datenschutz und Distanz zu staatlichem Zugriff.
Genau hier zerbricht die Idee vom sicheren Hafen. Denn der Schweizer Bundesrat will die Überwachungsverordnung VÜPF verschärfen. Künftig sollen Online-Dienste mit mindestens 5.000 Nutzern Metadaten wie IP-Adressen sechs Monate speichern, ihre Nutzer identifizieren und den Behörden bei der Entschlüsselung helfen. Das ist – mit bitterer Ironie – schärfer als das deutsche Vorhaben. Proton-CEO Andy Yen brachte es auf die Spitze: Das einzige europäische Land mit vergleichbaren Gesetzen sei derzeit Russland.
Und Proton hat nicht nur protestiert, sondern gehandelt: Das Genfer Rechenzentrum wurde geschlossen, für 100 Millionen Euro entstehen neue Rechenzentren in Deutschland und Norwegen. Das jahrzehntealte Schweizer Datenschutzversprechen treibt nun also ausgerechnet die Datenschutzfirmen aus dem Land. Wer Proton wegen der Schweiz gewählt hat, wählt damit zunehmend Server in Deutschland und Norwegen – der Standortvorteil verschiebt sich unter den Füßen weg.
Der demokratische Kern: am Parlament vorbei
Besonders aufschlussreich ist das Wie. Die VÜPF ist eine Verordnung, und der Bundesrat kann sie weitgehend allein beschließen – ohne Volksabstimmung, ohne parlamentarische Genehmigung. Ein tiefgreifender Grundrechtseingriff wird so an der demokratischen Kontrolle vorbeigeschoben.
Dieses Muster kennen wir aus dem deutschen Entwurf wieder. Neben der IP-Speicherung sieht er eine sogenannte Sicherungsanordnung vor – ein Instrument, mit dem Ermittler Anbieter zur Sicherung von Verkehrsdaten zwingen können. Datenschützer warnen, dass dies verdachtsabhängig, aber ohne richterliche Einbindung geschehen soll. In beiden Ländern verschiebt sich die Eingriffsschwelle nach unten, während die kontrollierende Instanz nach Möglichkeit umgangen wird.
Wie eng deutsche und Schweizer Linie zusammenrücken, zeigte sich am 12. Juni im Bundesrat. Der Verband der Internetwirtschaft eco warnte dort, im Verfahren stünden inzwischen eine Ausweitung der Speicherfrist auf sechs Monate, präventive Sicherungsanordnungen und automatisierte biometrische Internetabgleiche zur Debatte. Sechs Monate – das ist exakt die Frist, die auch die Schweizer VÜPF vorsieht. Was als schlanker Kompromiss verkauft wurde, wächst im parlamentarischen Verfahren bereits über sich hinaus.
Es gibt keinen privaten Ausweg aus einem strukturellen Problem
Damit sind wir beim eigentlichen Punkt. Der einzelne Bürger soll sich durch geschickte Anbieterwahl schützen – heute Panama, morgen die Schweiz, übermorgen Norwegen. Doch die Anbieter selbst sind getriebene Spielbälle einer Überwachungsgesetzgebung, die im Halbjahrestakt kippt. Du kannst dein Vertrauen von Jurisdiktion zu Jurisdiktion verschieben, aber solange die Rechtsräume selbst Richtung anlassloser Speicherung driften, verlagerst du nur das Risiko. Du löst es nicht.
Das ist die vertraute Figur: Ein kollektives, strukturelles Versäumnis wird zur individuellen Aufgabe umgedeutet. Der Staat baut die Überwachung aus, und der Bürger soll sehen, wie er klarkommt – mit der richtigen App, dem richtigen Server, dem richtigen Land. Konkret bleibt der praktische Rat trotzdem gültig: Ein auditierter No-Logs-Anbieter wie Proton oder NordVPN schützt dich gegen die hier geplante deutsche IP-Speicherung wirksam, was die Rückverfolgung deiner Aktivitäten angeht. Aber die Speicherung bei deinem deutschen Anschluss findet trotzdem statt, und dein Schutz steht und fällt mit dem Vertrauen in ein einziges Unternehmen in Übersee.
Souveränität sieht anders aus. Sie hieße, die Regeln zu gestalten, statt ihnen über drei Kontinente hinterherzuziehen. Solange wir das der Selbstverteidigung des Einzelnen überlassen, haben wir die Frage nach digitaler Souveränität nicht beantwortet – wir haben sie nur privatisiert.