Mullvad VPN

Die Mullvad VPN AB ist beim Bolagsverket unter der Organisationsnummer 559238-4001 in Box 53049, 400 14 Gothenburg, Schweden, eingetragen, mit einem sichtbaren Büro in der Engelbrektsgatan 28. Alleinige Gesellschafterin ist die Amagicom AB (Organisationsnummer 5567839807, gleiche Gothenburger Adresse), und die Amagicom AB gehört wiederum zu 100 % den Gründern Fredrik Strömberg und Daniel Berntsson, die weiterhin aktiv im Unternehmen tätig sind. Die About-Seite formuliert dies wörtlich: „Both Mullvad VPN AB and our parent company Amagicom AB are 100% owned by us, the founders Fredrik Strömberg and Daniel Berntsson, who are actively involved in the company.“ Über der Gruppe steht weder Venture Capital noch Private-Equity-Geld, ein Börsengang oder eine ausländische Holding -- ein Unterscheidungsmerkmal unter den Consumer-VPNs, bei denen die Wettbewerber typischerweise unter PE-artigen Holding-Strukturen sitzen.

Die Mullvad-Gruppe hat keine in den USA registrierte Gesellschaft. Die Mullvad VPN AB und die Amagicom AB sind beide schwedische aktiebolag in Gothenburg, beide gründereigen, und in keiner öffentlichen Quelle wird eine US-, britische oder andere ausländische Tochtergesellschaft offengelegt. Es gibt daher keine Mullvad-Gesellschaft, die der US CLOUD Act direkt zwingen könnte. Mullvad nutzt allerdings zwei US-Subprozessoren -- Stripe Inc. für die Kreditkartenzahlungsabwicklung (ausschließlich Kartendaten; Kundinnen und Kunden, die in bar, in Monero oder per Swish/SEPA zahlen, berühren Stripe nicht) und Google LLC als eingehenden MX-Terminator für nicht kundenseitige Unternehmens-E-Mails (der kundenseitige Support-Mailserver wurde 2024 selbst gehostet) -- beide sind ihrerseits vom CLOUD Act erreichbar, doch keiner sieht VPN-Traffic, DNS-Anfragen oder Verbindungsmetadaten. Mullvad betreibt zwar physisch in den USA stehende VPN-Server in rund 19 Städten; diese unterliegen am Colocation-Standort dem innerstaatlichen Strafverfolgungszwang, doch dank der RAM-only- und No-Logs-Architektur gibt es keine historischen Kundendaten zur Herausgabe, und Nutzende können US- (oder andere Five-Eyes-) Exit-Server vollständig meiden.

Gemäß der No-Logs-Richtlinie unter mullvad.net/en/help/no-logging-data-policy werden weder Traffic, DNS-Anfragen, Verbindungen (einschließlich Aufbau und Trennung), IP-Adressen noch Nutzerbandbreite protokolliert. Die Daten, die Mullvad sehr wohl vorhält, beschränken sich auf die zufällige 16-stellige Kontonummer, das Ablaufdatum des Kontos, den öffentlichen WireGuard-Schlüssel und die Tunneladresse bei aktiver WireGuard-Nutzung, kurzfristig vorgehaltene Zahlungsmetadaten (20 Tage für Transaktions-IDs) sowie gesetzlich vorgeschriebene Buchhaltungsunterlagen, die nach dem schwedischen Buchführungsgesetz (Bokföringslagen) bis zu 7 Jahre aufbewahrt werden. Die schwedische Nationale Einsatzabteilung der Polizei vollstreckte am 18.04.2023 einen Durchsuchungsbeschluss im Gothenburger Büro -- den ersten in 14 Jahren Betrieb -- und ging mit leeren Händen, weil keine Kundendaten zur Beschlagnahme existierten.

Mullvad generiert auf Anfrage unter mullvad.net/account/create eine zufällige 16-stellige Kontonummer; weder E-Mail noch Benutzername noch Passwort sind erforderlich. Zahlen Sie anonym, indem Sie physisches Bargeld in einer von neun Währungen per Post senden (der Umschlag wird nach dem Zählen vernichtet) oder Monero an Mullvads eigene XMR-Wallet überweisen. Barzahlungen sind nach Geldwäschevorschriften nicht erstattungsfähig; Mullvad erfasst nur Betrag, Währung und Zeitstempel. Karte, PayPal, Banküberweisung und Swish werden akzeptiert, verknüpfen das Konto jedoch mit einem Namen; in diesen Fällen wird die Transaktions-ID nach 20 Tagen gelöscht, während gesetzliche Buchhaltungsunterlagen nach dem schwedischen Buchführungsgesetz (Bokföringslagen) 7 Jahre aufbewahrt werden.

Mullvads wörtlich formulierte Richtlinie unter mullvad.net/en/help/how-we-handle-government-requests-user-data lautet: „We must -- and do -- make it impossible for us to fulfill any data request. There is simply no data to request, nor confiscate in the case of physical seizure.“ Zur Frage eines Überwachungszwangs ergänzt das Unternehmen: „we will cease operation of our service in the affected jurisdiction and only resume it if the legal situation has been remedied.“ Das schwedische Recht erlaubt derzeit keine erzwungene Überwachungshilfe. Der Durchsuchungsbeschluss vom 18.04.2023 in Gothenburg ist der einzige reale Belastungstest, der dokumentiert ist; Mullvad demonstrierte die No-Logs-Architektur, die Staatsanwaltschaft wurde konsultiert, und es wurden keine Daten beschlagnahmt.