NordVPN bestreitet den Einsatz von Trackern – Doch ein App-Mitschnitt zeigt ein anderes Bild
Ein Leser hat nach meinem Artikel über VPN-Apps mit integrierten Trackern sowohl Surfshark als auch NordVPN kontaktiert. Während Surfshark die im Beitrag genannten Tracker bestätigte, reagierte NordVPN anders. Auf Nachfrage schrieb ein Vertreter des Unternehmens:
As we mentioned before, we are not using the trackers you have mentioned. Nord Account’s website uses the latest analytics implementations to track basic information about our customers to ensure a reliable and robust performance of our services. We are only tracking the information that is specifically mentioned in our ToS: https://my.nordaccount.com/legal/privacy-policy/
NordVPN bestreitet also die Nutzung der im Artikel aufgeführten Tracker. Doch ein Datenmitschnitt der App zeigt eindeutig, dass Tracker wie AppsFlyer und Google Firebase tatsächlich integriert sind – genau jene, die das Unternehmen offiziell leugnet. Geprüft habe ich Version 8.21.3 der NordVPN-App.
Update 23.10.2025
NordVPNs PR-Team hat sich bei mir gemeldet. Man spricht von einem »Missverständnis«: Der Support habe sich auf die Website bezogen, nicht auf die App. Ich halte das für wenig überzeugend. Mir liegt der vollständige Austausch zwischen dem Leser und NordVPN vor – darin wird mehrfach ausdrücklich nach der App gefragt und auf meinen Beitrag verwiesen.Zusätzlich teilt NordVPN mit, man prüfe »alle App-Events/Anwendungsaktivitäten«. Dabei habe man eine »kleine Anzahl« von Netzwerkverbindungen identifiziert, die für die Kernfunktionalität möglicherweise nicht erforderlich seien. Diese Verbindungen sollen keine personenbezogenen Daten enthalten und vor allem App-Konfiguration bzw. Systemprozesse betreffen.
Nebenbei: Die E-Mail der PR-Managerin kam zwar von einer NordVPN-Adresse, wurde aber über Googles E-Mail-Infrastruktur (Google Workspace/MX) zugestellt. Man lässt seine E-Mails also gern dort hosten, wo auch sonst die halbe Welt mitliest. ;-)
Datenmitschnitt
[1] Unmittelbar nach dem Start der App wird eine Verbindung zu Google Firebase (USA) initiiert – eine Entwicklungs-Plattform für mobile Anwendungen [firebaseinstallations.googleapis.com]:
POST https://firebaseinstallations.googleapis.com/v1/projects/ios-nordvpn-app/installations HTTP/1.1
Content-Type: application/json
Accept: application/json
Content-Encoding: gzip
Cache-Control: no-cache
X-Android-Package: com.nordvpn.android
x-firebase-client: H4sIAAAAAAAA_6tWykhNLCpJSk0sKVayio7VUSpLLSrOzM9TslIyUqoFAFyivEQfAAAA
X-Android-Cert: FABA42561BE52057F670B4412FD513EF687CA47A
x-goog-api-key: AIzaSyBySEqk7_WWee9bxpw5BM1eJeUx1TWdH_E
User-Agent: Dalvik/2.1.0 (Linux; U; Android 15; Pixel 6a Build/AP4A.241205.013.A2)
Host: firebaseinstallations.googleapis.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 133
{
"fid": "fV-lCJ_5SHCUmoD8vowW2q",
"appId": "1:384383282656:android:507d91af2e0d9145",
"authVersion": "FIS_v2",
"sdkVersion": "a:18.0.0"
} [2] Eine weitere Verbindung erfolgt zu Google Firebase Crashlytics (USA), einem Dienst für die Erstellung/Auswertung von Absturzberichten [firebase-settings.crashlytics.com]:
GET https://firebase-settings.crashlytics.com/spi/v2/platforms/android/gmp/1:384383282656:android:507d91af2e0d9145/settings?instance=a9aaa8f90703da00c85be769d329ccc4b9f76b80&build_version=1623&display_version=8.21.3&source=4 HTTP/1.1 X-CRASHLYTICS-DEVELOPER-TOKEN: 470fa2b4ae81cd56ecbcda9735803434cec591fa X-CRASHLYTICS-DEVICE-MODEL: Google/Pixel 6a X-CRASHLYTICS-INSTALLATION-ID: 9f42870910bd4f4796b58b4990b7162d X-CRASHLYTICS-OS-DISPLAY-VERSION: 15 Accept: application/json X-CRASHLYTICS-API-CLIENT-VERSION: 19.4.3 User-Agent: Crashlytics Android SDK/19.4.3 X-CRASHLYTICS-API-CLIENT-TYPE: android X-CRASHLYTICS-GOOGLE-APP-ID: 1:384383282656:android:507d91af2e0d9145 X-CRASHLYTICS-OS-BUILD-VERSION: 12649814 Host: firebase-settings.crashlytics.com Connection: Keep-Alive Accept-Encoding: gzip instance: a9aaa8f90703da00c85be769d329ccc4b9f76b80 build_version: '1623' display_version: 8.21.3 source: '4'
[3] Auch der Marketingdienstleister AppsFlyer wird unmittelbar nach dem Start geladen [c3fyfk.cdn-settings.appsflyersdk.com]:
GET https://c3fyfk.cdn-settings.appsflyersdk.com/android/v1/e7b4aa673e2fcf3c94548f110dfbabe8b99fb7deb098ecd9f83bdbb22a3724ba/settings HTTP/1.1 Content-Type: application/json User-Agent: Dalvik/2.1.0 (Linux; U; Android 15; Pixel 6a Build/AP4A.241205.013.A2) Host: c3fyfk.cdn-settings.appsflyersdk.com Connection: Keep-Alive Accept-Encoding: gzip
Damit haben wir unser Bingo schon voll: Drei Tracker – AppsFlyer, Google Crashlytics und Google Firebase Analytics. Und besonders dreist: Diese Verbindungen werden initiiert, noch bevor der Privacy- oder Cookie-Banner überhaupt erscheint. Während der Nutzer also noch über seine Einwilligung nachdenken darf, hat die App längst entschieden – und sendet fleißig Daten an Google. Ein klassischer Fall von »erst tracken, dann fragen«.«
[4] Und dass dabei tatsächlich Daten übertragen werden, zeigt sich hier deutlich: Es erfolgt ein Verbindungsaufbau zu Google, bei dem Google Firebase Analytics mit Daten versorgt wird [firebaselogging-pa.googleapis.com]:
POST https://firebaselogging-pa.googleapis.com/v1/firelog/legacy/batchlog HTTP/1.1
User-Agent: datatransport/3.3.0 android/
Content-Encoding: gzip
Content-Type: application/json
Accept-Encoding: gzip
X-Goog-Api-Key: AIzaSyCckkiH8i2ZARwOs1LEzFKld15aOG8ozKo
Host: firebaselogging-pa.googleapis.com
Connection: Keep-Alive
Content-Length: 809
{
"logRequest": [
{
"requestTimeMs": 1760953985766,
"requestUptimeMs": 564341,
"clientInfo": {
"clientType": "ANDROID_FIREBASE",
"androidClientInfo": {
"sdkVersion": 35,
"model": "Pixel 6a",
"hardware": "bluejay",
"device": "bluejay",
"product": "bluejay",
"osBuild": "AP4A.241205.013.A2",
"manufacturer": "Google",
"fingerprint": "google/bluejay/bluejay:15/AP4A.241205.013.A2/12649814:user/release-keys",
"locale": "de",
"country": "DE",
"mccMnc": "26202",
"applicationBuild": "1623"
}
},
"logSourceName": "GDT_CLIENT_METRICS",
"logEvent": [
{
"eventTimeMs": 1760953985764,
"eventUptimeMs": 564339,
"sourceExtension": "Cg4I+KaViKAzEOTVpYigMxoLCgkIgMADEICAgAUiE2NvbS5ub3JkdnBuLmFuZHJvaWQ=",
"timezoneOffsetSeconds": 7200,
"networkConnectionInfo": {
"networkType": "WIFI"
}
}
],
"qosTier": "DEFAULT"
},
{
"requestTimeMs": 1760953985767,
"requestUptimeMs": 564342,
"clientInfo": {
"clientType": "ANDROID_FIREBASE",
"androidClientInfo": {
"sdkVersion": 35,
"model": "Pixel 6a",
"hardware": "bluejay",
"device": "bluejay",
"product": "bluejay",
"osBuild": "AP4A.241205.013.A2",
"manufacturer": "Google",
"fingerprint": "google/bluejay/bluejay:15/AP4A.241205.013.A2/12649814:user/release-keys",
"locale": "de",
"country": "DE",
"mccMnc": "26202",
"applicationBuild": "1623"
}
},
"logSourceName": "FIREPERF",
"logEvent": [
{
"eventTimeMs": 1760953936838,
"eventUptimeMs": 515413,
"sourceExtension": "CmoKJzE6Mzg0MzgzMjgyNjU2OmFuZHJvaWQ6NTA3ZDkxYWYyZTBkOTE0NRIWZlYtbENKXzVTSENVbW9EOHZvd1cycRolChNjb20ubm9yZHZwbi5hbmRyb2lkEgYyMS4wLjUaBjguMjEuMygBEmEKE19zdF9Db250cm9sQWN0aXZpdHkg+NaC2L+ykAMouZ35djILCgdfZnJfc2xvEAIyCwoHX2ZyX3RvdBACSiIKIDc3MWI1YjBmODY1MjRkYjliOTgxMWY2MTJjNDk5ZmUy",
"timezoneOffsetSeconds": 7200,
"networkConnectionInfo": {
"networkType": "WIFI"
}
},
{
"eventTimeMs": 1760953936839,
"eventUptimeMs": 515414,
"sourceExtension": "CmoKJzE6Mzg0MzgzMjgyNjU2OmFuZHJvaWQ6NTA3ZDkxYWYyZTBkOTE0NRIWZlYtbENKXzVTSENVbW9EOHZvd1cycRolChNjb20ubm9yZHZwbi5hbmRyb2lkEgYyMS4wLjUaBjguMjEuMygDEkMKA19mcyDombLUv7KQAyi33sl6MgoKBl9mc3RlYxACSiIKIDc3MWI1YjBmODY1MjRkYjliOTgxMWY2MTJjNDk5ZmUy",
"timezoneOffsetSeconds": 7200,
"networkConnectionInfo": {
"networkType": "WIFI"
}
}
],
"qosTier": "DEFAULT"
}
]
} Es werden diverse Gerätedaten (Modell, Hersteller, Netzwerk etc.) vom Gerät abgefragt und ohne Einwilligung an Google übermittelt. Auch eindeutige Kennungen wie fingerprint sind enthalten. Ich kann es nur gebetsmühlenartig wiederholen: Solche Zugriffe auf Endgeräte für Zwecke der (Web-)Analyse, der Marktforschung und für jede Form der Werbung ohne informierte Einwilligung sind nach § 25 Abs. 1 TDDDG unzulässig. § 25 TDDDG regelt den Schutz der Privatsphäre bei Endgeräten und setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie um. Übrigens: Ob eine Nutzungsmessung/Marketingkampagne/Telemetriedatenerhebung anonym, pseudonym oder mit personenbezogenen Daten erfolgt, spielt aus Sicht des TDDDG keine Rolle. Entscheidend ist, ob auf dem Endgerät eine Speicherung von Informationen erfolgt (bspw. Cookies) oder eine Information aus dem Endgerät ausgelesen wird.
Das bedeutet: Werden Telemetriedaten ohne ausdrückliche Einwilligung des Nutzers erfasst und an einen Anbieter wie Google übermittelt, verstößt dies gegen § 25 TDDDG, wenn diese Daten nicht zur Erbringung der grundlegenden, technisch notwendigen Funktionen der Software erforderlich sind. Dass Telemetriedaten in der Regel nicht zu diesen grundlegenden Funktionen gehören, ist offensichtlich. Ein einfaches Beispiel: Wird die Domain, die für die Übermittlung der Telemetriedaten zuständig ist (wie bspw. firebaselogging-pa.googleapis.com), gesperrt, funktioniert die App weiterhin problemlos. Das zeigt, dass die Übermittlung dieser Daten für den eigentlichen Betrieb der App nicht erforderlich ist.
Mitschnitt nach dem Cookie-Banner
Und selbst wenn der Nutzer im Cookie-Banner auf »Ablehnen« klickt, interessiert das NordVPN herzlich wenig – das Tracking läuft einfach weiter [applytics.napps-1.com]:
POST https://applytics.napps-1.com/app-events HTTP/1.1
Content-Type: application/json
User-Agent: Moose/15.1.0 (Android 15; No Platform No Arch) (No Name/No Version) service_quality/consent
Host: applytics.napps-1.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 883
{
"source": "libmooseapp",
"event": {
"category": "service_quality",
"group": "user_consent",
"name": "consent",
"timestamp": 1760955533,
"timestamp_subsec_ns": 119317289,
"datetime_local": "2025-10-20T12:18:53.119317289+02:00",
"schema": "default",
"lib_version": "15.1.0",
"destination": "default",
"environment": "prod",
"session": {
"count": 1,
"fp": {
"p1": 6616369193013887120,
"p2": 2136866261549078509
}
},
"event_count": 119
},
"context": {
"device": {
"os": "Android 15",
"location": {
"country": null
},
"brand": "google",
"model": "Pixel 6a",
"type": "mobile",
"fp": "3fb640154e780081fa32a863065dc0738f44d664cbe2dae1ae3da48a722e5332",
"resolution": "1080x2400"
},
"application": {
"nordvpnapp": {
"version": "8.21.3"
}
},
"user": {
"nordvpnapp": {
"subscription": {
"current_state": {
"subscription_status": "",
"plan_type": "",
"plan_id": -1,
"is_new_customer": false,
"is_active": false
}
}
}
}
},
"body": {
"previous_status": "analytics",
"new_status": "essential"
}
} Fazit
Das wirft erneut Fragen zur Transparenz und Glaubwürdigkeit von VPN-Anbietern auf, die eigentlich den Schutz der Privatsphäre versprechen. Keine weiteren Fragen, euer Ehren – der Datenmitschnitt spricht für sich. Während NordVPN noch beteuert, keine Tracker einzusetzen, laufen im Hintergrund längst die Verbindungen zu Google und AppsFlyer. Ich wiederhole daher das Fazit aus dem Beitrag »VPN-Apps: Wenn »Sicherheits-Apps« selbst zum Risiko werden«:
VPN-Apps mit Trackern sind nicht nur ein Widerspruch, sie sind ein handfester Vertrauensbruch. Anstatt Sicherheit zu stärken, schaffen sie zusätzliche Angriffsflächen, schwächen die ohnehin fragile Schutzwirkung und machen die Privatsphäre zur Verhandlungsmasse. Wer ernsthaft Schutz bieten will, muss auf Tracking kategorisch verzichten. Alles andere – wohlklingende Versprechen von »Privacy« und »Security« inklusive – ist nichts weiter als Augenwischerei und Marketing-Nebelkerze.
Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test
eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3
Booking.com: Datenschutzrechtliche Bruchlandung mit Ansage – App-Check Teil4
iodéOS: Datenschutzfreundlich, aber Abstriche bei der Sicherheit – Custom-ROMs Teil3
