In der heutigen digitalen Welt ist Datenschutz ein entscheidendes Gut. Nutzer vertrauen Plattformen wie Apple besonders darauf, dass ihre persönlichen Daten geschützt werden. Doch eine jüngste Untersuchung wirft ein beunruhigendes Licht auf Apples App Store. Es zeigt sich, dass Apple weiterhin VPN-Apps bereitstellt, deren Besitz sich auf chinesische Unternehmen zurückverfolgen lässt, welche enge Verbindungen zum chinesischen Militär haben. Diese Erkenntnisse stellen nicht nur eine Verletzung der Nutzersicherheit dar, sondern werfen darüber hinaus schwerwiegende Fragen hinsichtlich der nationalen Sicherheit auf.
VPN-Apps, also virtuelle private Netzwerke, erfreuen sich weltweit großer Beliebtheit. Sie ermöglichen es Nutzern, ihre IP-Adresse zu verschleiern, geografische Sperren zu umgehen und die Privatsphäre beim Surfen zu erhöhen. Gerade in den USA sind viele Nutzer – darunter auch Minderjährige – auf der Suche nach kostenlosen VPN-Diensten, etwa um Zugang zu sozialen Netzwerken oder zur Freizeitnutzung zu erhalten. Die Tatsache, dass einige dieser beliebten Apps tatsächlich Verbindungen zu chinesischen Möglichkeiten und Geheimdienstgesetzen aufweisen, die das Teilen von Daten mit staatlichen Stellen diktieren, ist alarmierend. Die Untersuchung wurde vom Tech Transparency Project, TTP, durchgeführt.
Ihre Recherche zeigt, dass jede fünfte kostenlose VPN-App aus den Top 100 des Apple App Stores in den USA tatsächlich chinesischen Besitzern gehört. Darunter befinden sich mehrere Apps, die zurückverfolgt werden können zu Qihoo 360, einer Firma, die von US-Behörden als „chinesisches Militärunternehmen“ eingestuft wurde. Qihoo 360 ist ein bedeutendes Cybersecurity-Unternehmen, welches Kunden unter anderem im chinesischen Militär sowie bei mehreren Regierungsministerien unterhält und im Juni 2020 aufgrund nationaler Sicherheitsbedenken durch das US-Handelsministerium sanktioniert wurde. Diese Apps sind jedoch nicht transparent in Bezug auf ihre Eigentümerschaft. Nutzer erfahren in den App-Store-Beschreibungen nicht, dass ihre Daten möglicherweise von einem chinesischen Militärunternehmen kontrolliert oder eingesehen werden könnten.
Die Intransparenz wird durch mehrere Zwischengesellschaften und Offshore-Firmen in Regionen wie Singapur, den Cayman Islands und Hongkong weiter verschleiert. Diese Konstruktionen erschweren es durchschnittlichen Nutzern ebenso wie Sicherheitsforschern, die tatsächlichen Besitzer zu identifizieren und einzuordnen. Die rechtlichen Rahmenbedingungen in China verschärfen die Problematik zusätzlich. Das chinesische Nationale Sicherheitsgesetz von 2017 verpflichtet Unternehmen zu Kooperation mit staatlichen Geheimdiensten. Das bedeutet konkret, dass eine Firma, die in China registriert ist, ihre in den USA oder anderen Ländern gesammelten Nutzerdaten auf behördliche Anforderung weiterreichen muss.
Im Falle von VPNs, die Lion’s Share des Datenverkehrs der Nutzer einsehen können, birgt das enorme Risiken für die Informationssicherheit. Ein weiterer kritischer Punkt ist, dass einige dieser Apps gezielt Minderjährige bewerben. Werbetreibende nutzen Plattformen wie Facebook und Instagram, um speziell Teenager ab 13 Jahren zu erreichen. Sie werben dabei mit Versprechen, bestimmte Sperren zu umgehen, beispielsweise bei einer potentiellen Sperrung von TikTok in den USA. Genau jene US-Gesetzgebung hatte im vergangenen Jahr auf die Datenverarbeitung von TikTok durch das chinesische Unternehmen aufmerksam gemacht und entsprechende Regelungen angestoßen.
VPN-Apps mit chinesischer Verbindung werden jedoch bisher kaum auf derselben legislativen Ebene betrachtet – obwohl sie eine ähnliche, wenn nicht sogar größere Gefahr bergen. Interessant ist zudem die Rolle von Apple selbst. Das Unternehmen bewirbt seinen App Store als besonders sicher und datenschutzfreundlich. Gleichzeitig hat Apple mehrfach versucht, entsprechende Regulierungen und Antitrust-Maßnahmen abzuwehren, indem das Unternehmen die Kontrolle über die App-Auswahl und den Datenzugang als essenziell für den Schutz der Nutzer ins Feld führte. Doch die Recherchen von TTP zeigen, dass Apple augenscheinlich zu wenig überprüft, wer hinter den angebotenen Apps steckt und wie diese mit den Nutzerdaten umgehen.
Apples eigene Richtlinien für VPN-Dienste besagen klar, dass keine Nutzerdaten verkauft, verwendet oder an Dritte weitergegeben werden dürfen. Doch angesichts der gesetzlich erzwungenen Verpflichtungen chinesischer Unternehmen zur Datenweitergabe ist unklar, wie Apple diese weitreichenden Sicherheitsrisiken bewertet und wie sie potenziell gegen ihre eigenen Vorgaben verstoßen können. Die Problematik ist nicht auf den US-amerikanischen Markt beschränkt. Auch Nutzer in Frankreich und weiteren westlichen Ländern können ähnliche VPN-Apps aus dem gleichen chinesischen Netzwerk herunterladen und verwenden. Die weltweite Verbreitung und die undurchsichtige Herkunft machen das Problem zu einer globalen Herausforderung sowohl für Konsumenten als auch für Regierungen und Unternehmen.
Neben Qihoo 360 wurden etliche weitere „verdeckte“ VPN-Anbieter identifiziert, die ihre Herkunft beispielsweise über Hongkong tarnen – ein Gebiet, das sich unter neuen, strengen chinesischen Sicherheitsgesetzen zunehmend weniger von China unterscheidet. Anwendungen wie X-VPN, VPNIFY oder VPN Bucks zeigen auf, wie Unternehmen über komplexe Unternehmensgeflechte chinesische Kontrolle aufrechterhalten, ohne dies offenzulegen. Zusätzlich sind Shell-Unternehmen, sogenannte Briefkastenfirmen, ein häufiges Mittel, um die Verbindungen nach China zu verschleiern. Trotz Warnungen des US-Handelsministeriums, dass gerade Firmen mit Sitz in Hongkong und anderen Offshore-Regionen mit einem großen Risiko der Überwachung und Datenweitergabe verbunden sind, sind solche Applikationen nach wie vor frei verfügbar. Abseits dieser großen Gruppen wurden weitere Apps untersucht, die zwar außerhalb Chinas registriert sind, deren tatsächliche Inhaber jedoch chinesische Staatsangehörige sind.
Ein Beispiel dafür ist WireVPN, welches zwar offiziell mit Sitz in Großbritannien oder Belize firmiert, aber eindeutig chinesisches Steuerungspersonal aufweist. Auch hier ist ein Rückschluss auf eine mögliche Einbindung in chinesische Sicherheitsnetze nicht auszuschließen. Die langfristigen Folgen für die Privatsphäre amerikanischer Nutzer und die nationale Sicherheit sind schwer abzuschätzen, doch die Möglichkeit eines unbemerkt durchführbaren großflächigen Datenzugriffs durch China macht die Situation höchst brisant. Solche Daten können mittelbar für Spionage, Erpressung oder Manipulation genutzt werden – gerade wenn es sich um sensible Daten von Regierungsangestellten, Militärs oder anderen sicherheitsrelevanten Personen handelt. Die Parteipolitik und Gegenmaßnahmen auf US-Ebene sind im Vergleich zur Aufmerksamkeit, die Apps wie TikTok genießen, bisher verhältnismäßig gering.
Nur einzelne Senatoren wie Mark Warner, Ron Wyden und Marco Rubio haben sich zu dem Thema geäußert, und selbst im Kongress fehlen weitreichende Initiativen zur Regulierung oder dem Verbot chinesisch kontrollierter VPN-Apps. Stattdessen werden viele dieser Apps weiterhin ungehindert heruntergeladen und verwendet. Apple und Google, die beiden größten App-Plattformen, stehen durch die Untersuchung unter verschärftem Druck. Bereits im Juni 2025 zeigten Folgeuntersuchungen, dass trotz der Vorwürfe weiterhin ein chinesisches VPN-Problem im App Store besteht. Dies wirft die Frage auf, inwieweit die Unternehmen ihre Prüfprozesse zu Eigentümerstruktur und Datenschutzrisiken hinreichend verbessern, um Nutzer vor unerwünschter Datenweitergabe zu schützen.
Die Entwicklungen verdeutlichen, dass Verbraucher mehr Transparenz und Schutz benötigen. Sichere VPN-Apps sollten unter klaren Richtlinien agieren, deren Eigentümerstruktur und Datenflüsse offen legen und der rechtlichen Kontrolle der Länder unterliegen, in denen die Nutzer sitzen. Apples Anspruch, Datenschutz an oberster Stelle zu halten, wird an dieser Stelle auf eine harte Probe gestellt. Für Nutzer gilt es, kritisch zu hinterfragen, welche VPN-Dienste sie wählen und sich nicht allein auf Bewertungen oder Popularität zu verlassen. Technische Experten und Sicherheitsforscher empfehlen, genauer hinzuschauen und bevorzugt Angebote zu nutzen, die von transparenten, vertrauenswürdigen Anbietern stammen.
