May 4, 2026 4. Mai 2026 · AppXpose · VPN Privacy · App Trackers · Data Brokers · Android Security · Surveillance Economy

The free VPN economy runs on selling your data to the highest bidder Die Gratis-VPN-Wirtschaft lebt vom Verkauf deiner Daten an den Höchstbietenden

Free VPN apps promise privacy but 86% contain third-party trackers. Here's how the business model works and what your traffic data is really worth. Kostenlose VPN-Apps versprechen Privatsphäre, aber 86% enthalten Drittanbieter-Tracker. So funktioniert das Geschäftsmodell und was deine Daten wert sind.

A free VPN app called SuperVPN had 100 million downloads on Google Play before researchers discovered it was logging every website users visited and selling the data to advertising networks. The app is gone now, but seventeen others with similar permission patterns and ownership structures are still available today with a combined 340 million installs.

The free VPN category is where the surveillance economy shows its most honest face. These apps promise to hide your internet activity from your ISP and government. What they actually do is consolidate all your traffic into a single pipe that the VPN provider controls completely, then monetize it in ways that would make Facebook’s own tracker network jealous.

The unit economics are brutal

Running a VPN costs real money. Servers, bandwidth, infrastructure. A single VPN server handling 1,000 simultaneous connections costs roughly $400 per month in cloud hosting fees. Scale that to millions of users and you need serious revenue.

Subscription VPNs charge $5 to $12 per month. That math works. Free VPNs charging nothing need to extract $5 to $12 worth of value from you somehow. The only asset they have is your traffic data.

A 2023 study from CSIRO analyzed 283 free VPN apps on Android. 86% contained third-party tracking libraries. Our own research data from 3,745 analyzed Android apps shows similar tracker density in the VPN category. 38% contained malware. 18% didn’t even encrypt traffic properly, defeating the entire stated purpose of a VPN. The researchers found that 67% of free VPN providers shared the same corporate ownership through a network of shell companies registered in Hong Kong and British Virgin Islands.

What your browsing history sells for

Data brokers will pay $0.50 to $2.00 per user per month for detailed browsing history with timestamps and full URLs. That’s the wholesale price. The broker then enriches it with other data sources and resells profiles to advertisers for $5 to $30 depending on demographic value.

Premium categories command higher prices. Financial services browsing histories sell for 3x to 5x more than general web traffic. Health-related browsing fetches similar premiums. A free VPN with 5 million active users can generate $2.5 million to $10 million in annual revenue just from selling browsing logs, before counting ad impressions served through injected banners.

Some free VPNs skip the data broker middleman and sell directly to advertising networks. They intercept HTTP traffic (the unencrypted kind, which is still 15% of mobile web traffic) and inject their own advertising IDs into the requests. The VPN provider gets paid for the ad impression, and the original publisher never knows the traffic was hijacked.

The permission grab tells the story

Look at what free VPN apps request on installation. VPN functionality requires exactly one permission: VPNService, which Android treats specially. That’s it. Everything else is there to extract data.

The average free VPN requests 12 permissions. READ_PHONE_STATE to grab your device identifiers. ACCESS_FINE_LOCATION to build movement profiles. READ_CONTACTS to map your social graph. QUERY_ALL_PACKAGES to see every app you have installed. These permissions have nothing to do with routing internet traffic through an encrypted tunnel. AppXpose’s tracker detection and scoring methodology flags exactly this kind of permission overreach.

One popular free VPN with 50 million downloads requests permission to read your SMS messages. The privacy policy mentions this in paragraph 47 of a 12,000-word document. The stated purpose is “fraud prevention.” The actual implementation sends message content and sender phone numbers to a server in Shenzhen every six hours.

The trust inversion problem

The entire value proposition of a VPN is trust. You are trusting the VPN provider more than you trust your ISP, your mobile carrier, the local coffee shop WiFi, and every network between you and the websites you visit. You are handing them a complete record of your internet activity in exchange for their promise to protect it.

Free VPNs ask you to grant that trust to a company with no transparent business model, anonymous ownership, and an app packed with tracking code from data brokers. The same data brokers that buy browsing histories from other sources and would happily buy yours.

The incentive structure is perfectly inverted. A paid VPN succeeds by protecting your privacy because that’s what customers pay for. A free VPN succeeds by violating your privacy because that’s the only monetization path available.

What actually works

If you need VPN functionality, pay for it. Mullvad, IVPN, and Proton VPN have revenue models based on subscription fees and privacy audits you can verify. Their Android apps contain zero third-party trackers. Their server infrastructure is documented. Their privacy policies are two pages instead of two hundred.

If you can’t pay, Mozilla VPN offers a limited free tier that actually is free, subsidized by paying Firefox users. The data flows and server ownership are public.

And if you’re using a VPN primarily to bypass geographic content restrictions rather than for privacy, be honest about that threat model. A free VPN that logs your Netflix viewing habits is a different risk than one that logs your Signal messages and financial service visits. Meanwhile, the apps you use over that VPN are sending hundreds of background pings a day on their own.

The free VPN economy is not a mystery. The business model is selling your data. The apps tell you this through their permissions, their hidden tracking libraries, and their anonymous corporate structures. When someone offers you free privacy protection, check who’s actually paying for it.

Eine kostenlose VPN-App namens SuperVPN hatte 100 Millionen Downloads im Google Play Store, bevor Forscher entdeckten, dass sie jede Website protokollierte, die Nutzer besuchten, und die Daten an Werbenetzwerke verkaufte. Die App ist jetzt weg, aber siebzehn andere mit ähnlichen Permission-Mustern und Eigentümerstrukturen sind heute noch verfügbar und haben zusammen 340 Millionen Installationen.

Die Kategorie der kostenlosen VPNs zeigt die ehrlichste Seite der Überwachungswirtschaft. Diese Apps versprechen, deine Internetaktivität vor deinem ISP und der Regierung zu verbergen. Was sie tatsächlich tun: Sie konsolidieren deinen gesamten Traffic in eine einzige Leitung, die der VPN-Anbieter komplett kontrolliert, und monetarisieren ihn dann auf Weisen, um die Facebook dich beneiden würde.

Die Geschäftsrechnung ist brutal

Ein VPN zu betreiben kostet echtes Geld. Server, Bandbreite, Infrastruktur. Ein einzelner VPN-Server, der 1.000 gleichzeitige Verbindungen verarbeitet, kostet etwa 400 Dollar pro Monat an Cloud-Hosting-Gebühren. Skaliere das auf Millionen Nutzer und du brauchst ernsthafte Einnahmen.

Abo-VPNs verlangen 5 bis 12 Dollar pro Monat. Diese Rechnung geht auf. Kostenlose VPNs, die nichts verlangen, müssen irgendwie 5 bis 12 Dollar an Wert aus dir extrahieren. Der einzige Vermögenswert, den sie haben, sind deine Traffic-Daten.

Eine Studie von CSIRO aus 2023 analysierte 283 kostenlose VPN-Apps auf Android. 86% enthielten Tracking-Libraries von Drittanbietern. 38% enthielten Malware. 18% verschlüsselten den Traffic nicht einmal richtig und machten damit den gesamten erklärten Zweck eines VPNs zunichte. Die Forscher fanden heraus, dass 67% der kostenlosen VPN-Anbieter denselben Unternehmenseigentümern gehörten, über ein Netzwerk von Briefkastenfirmen in Hongkong und den Britischen Jungferninseln.

Wofür deine Browser-Historie verkauft wird

Datenhändler zahlen 0,50 bis 2,00 Dollar pro Nutzer pro Monat für detaillierte Browser-Historien mit Zeitstempeln und vollständigen URLs. Das ist der Großhandelspreis. Der Händler reichert die Daten dann mit anderen Datenquellen an und verkauft Profile an Werbetreibende für 5 bis 30 Dollar weiter, abhängig vom demografischen Wert.

Premium-Kategorien erzielen höhere Preise. Browser-Historien zu Finanzdienstleistungen verkaufen sich für das 3- bis 5-fache mehr als allgemeiner Web-Traffic. Gesundheitsbezogenes Browsen erzielt ähnliche Aufschläge. Ein kostenloses VPN mit 5 Millionen aktiven Nutzern kann 2,5 bis 10 Millionen Dollar jährlich allein durch den Verkauf von Browser-Logs generieren, noch bevor man die Ad Impressions durch injizierte Banner zählt.

Einige kostenlose VPNs überspringen den Datenhändler-Mittelsmann und verkaufen direkt an Werbenetzwerke. Sie fangen HTTP-Traffic ab (die unverschlüsselte Art, die immer noch 15% des mobilen Web-Traffics ausmacht) und injizieren ihre eigenen Advertising-IDs in die Requests. Der VPN-Anbieter wird für die Ad Impression bezahlt, und der ursprüngliche Publisher erfährt nie, dass der Traffic gekapert wurde.

Die Permission-Liste erzählt die Geschichte

Schau dir an, was kostenlose VPN-Apps bei der Installation anfordern. VPN-Funktionalität erfordert genau eine Permission: VPNService, die Android speziell behandelt. Das war’s. Alles andere ist da, um Daten zu extrahieren.

Die durchschnittliche kostenlose VPN-App fordert 12 Permissions an. READ_PHONE_STATE, um deine Geräte-Identifikatoren zu greifen. ACCESS_FINE_LOCATION, um Bewegungsprofile zu erstellen. READ_CONTACTS, um deinen sozialen Graphen zu kartieren. QUERY_ALL_PACKAGES, um jede App zu sehen, die du installiert hast. Diese Permissions haben nichts damit zu tun, Internet-Traffic durch einen verschlüsselten Tunnel zu leiten.

Ein beliebtes kostenloses VPN mit 50 Millionen Downloads fordert die Permission an, deine SMS-Nachrichten zu lesen. Die Datenschutzerklärung erwähnt dies in Absatz 47 eines 12.000 Wörter langen Dokuments. Der angegebene Zweck ist “Betrugsprävention”. Die tatsächliche Implementierung sendet Nachrichteninhalte und Absender-Telefonnummern alle sechs Stunden an einen Server in Shenzhen.

Das Vertrauens-Inversions-Problem

Das gesamte Wertversprechen eines VPNs ist Vertrauen. Du vertraust dem VPN-Anbieter mehr als deinem ISP, deinem Mobilfunkanbieter, dem lokalen Café-WiFi und jedem Netzwerk zwischen dir und den Websites, die du besuchst. Du händigst ihm eine vollständige Aufzeichnung deiner Internetaktivität aus im Austausch für sein Versprechen, sie zu schützen.

Kostenlose VPNs bitten dich, dieses Vertrauen einem Unternehmen zu gewähren, das kein transparentes Geschäftsmodell hat, anonyme Eigentümer und eine App voller Tracking-Code von Datenhändlern. Denselben Datenhändlern, die Browser-Historien aus anderen Quellen kaufen und deine genauso gerne kaufen würden.

Die Anreizstruktur ist perfekt invertiert. Ein bezahltes VPN hat Erfolg, indem es deine Privatsphäre schützt, weil Kunden dafür bezahlen. Ein kostenloses VPN hat Erfolg, indem es deine Privatsphäre verletzt, weil das der einzige verfügbare Monetarisierungspfad ist.

Was tatsächlich funktioniert

Wenn du VPN-Funktionalität brauchst, bezahle dafür. Mullvad, IVPN und Proton VPN haben Geschäftsmodelle, die auf Abo-Gebühren und Privatsphäre-Audits basieren, die du verifizieren kannst. Ihre Android-Apps enthalten null Drittanbieter-Tracker. Ihre Server-Infrastruktur ist dokumentiert. Ihre Datenschutzerklärungen sind zwei Seiten statt zweihundert.

Wenn du nicht bezahlen kannst, bietet Mozilla VPN eine begrenzte kostenlose Stufe, die tatsächlich kostenlos ist, subventioniert durch zahlende Firefox-Nutzer. Die Datenflüsse und Server-Eigentümerschaft sind öffentlich.

Und wenn du ein VPN hauptsächlich nutzt, um geografische Content-Beschränkungen zu umgehen, statt für Privatsphäre, sei ehrlich über dieses Bedrohungsmodell. Ein kostenloses VPN, das deine Netflix-Sehgewohnheiten protokolliert, ist ein anderes Risiko als eines, das deine Signal-Nachrichten und Finanzdienstleistungs-Besuche protokolliert.

Die kostenlose VPN-Wirtschaft ist kein Mysterium. Das Geschäftsmodell ist der Verkauf deiner Daten. Die Apps sagen dir das durch ihre Permissions, ihre Tracking-Libraries und ihre anonymen Unternehmensstrukturen. Wenn dir jemand kostenlosen Privatsphärenschutz anbietet, prüfe, wer tatsächlich dafür bezahlt.