Mullvad VPN AB ist eine hundertprozentige Tochtergesellschaft der Amagicom AB, die 2009 in Göteborg, Schweden, von Fredrik Stromberg und Daniel Berntsson gegründet wurde, die jeweils genau 50 % der Anteile halten. Es gibt keine externen Investoren, kein Risikokapital und keine Übernahmepläne. Das Unternehmen betreibt kein Affiliate-Programm – das bedeutet, dass Bewertungsseiten nichts daran verdienen, es zu empfehlen, was nach Meinung einiger zu weniger überschwänglichen Rezensionen auf monetarisierten Vergleichsplattformen führt.
Das Kontomodell ist das anonymste der Branche. Bei der Registrierung wird eine zufällige Nummer generiert – keine E-Mail-Adresse, kein Name, keine persönlichen Daten erforderlich. Die Zahlung kann mit Bargeld, das in zehn Währungen per Post geschickt wird, mit Monero, Bitcoin oder herkömmlichen Methoden erfolgen. Diese Kombination macht Mullvad zum einzigen großen VPN, bei dem eine anonyme Nutzung tatsächlich ohne Aufwand möglich ist.
Die stärkste reale Bestätigung von Mullvads No-Logs-Richtlinie erfolgte am 18. April 2023, als mindestens sechs Beamte der schwedischen Nationalen Operationsabteilung (NOA) mit einem Durchsuchungsbefehl das Göteborg-Büro von Mullvad durchsuchten, um Computer mit Kundendaten für eine deutsche Strafermittlung zu beschlagnahmen. Mullvad demonstrierte den Staatsanwälten, dass keine Kundendaten existieren. Die Polizei verließ das Büro mit leeren Händen. Dies ist wohl der überzeugendste No-Logs-Beweis, den ein VPN je erbracht hat – aussagekräftiger als ein Audit, da er konfrontativ und nicht kooperativ war.
Die technische Infrastruktur spiegelt dieselbe Philosophie wider. Alle Server laufen ausschließlich im RAM-Modus unter Verwendung des System-Transparency-Bootloaders und löschen beim Neustart alle Daten. Mullvad besitzt Server an wichtigen EU-Standorten, darunter Deutschland, Frankreich, Finnland und Schweden, physisch. Die übrigen Server sind dedizierte (keine geteilten) Mietserver ohne virtuelle Standorte. Alle Client-Anwendungen sind quelloffen auf GitHub verfügbar und wurden mehrfach von Cure53, Assured AB, Atredis Partners und Radically Open Security geprüft.
DAITA (Defense Against AI-guided Traffic Analysis), im Mai 2024 eingeführt und im März 2025 mit einem v2-Update aktualisiert, ist genuinen neuartig. Es füllt alle Pakete auf eine konstante Größe auf und injiziert bidirektional zufälligen Dummy-Traffic, was die Mustererkennung stört, die KI-basierte Überwachungssysteme nutzen, um VPN-Nutzeraktivitäten selbst durch verschlüsselte Tunnel zu identifizieren. Das auf dem akademisch begutachteten Maybenot-Framework aufbauende System adressiert eine Bedrohung, die die meisten VPNs nicht anerkennen.
Der WireGuard-first-Ansatz lieferte bei Tests starke Geschwindigkeiten: BleepingComputer maß einen globalen Durchschnitt von 666 Mbit/s mit minimalem Abfall nach Hongkong (676 Mbit/s). vpnMentor erfasste niedrigere Werte mit 27–45 % Geschwindigkeitsverlust, was wahrscheinlich unterschiedliche Ausgangswerte und Methoden widerspiegelt. OpenVPN wurde im Januar 2026 vollständig eingestellt – Mullvad setzt nun ausschließlich auf WireGuard, was Nutzer mit älteren Routern oder Legacy-Konfigurationen beeinträchtigen kann.
Streaming ist Mullvads bewusste Schwachstelle. Es kann Netflix US, Hulu, Amazon Prime Video, Disney+ oder die meisten großen Streaming-Plattformen nicht zuverlässig entsperren. Dies ist kein technisches Versagen, sondern eine bewusste Entscheidung – Mullvad investiert nicht in IP-Rotation oder streaming-spezifische Infrastruktur, da dies im Widerspruch zu seinem Datenschutz-first-Modell stehen würde. Einige britische Dienste (BBC iPlayer, ITV, Channel 4) funktionieren gelegentlich.
Die Port-Weiterleitung wurde am 1. Juli 2023 nach Missbrauchsvorfällen abgeschafft – Nutzer hatten schädliche Inhalte und Dienste gehostet, was zu Kontakten mit Strafverfolgungsbehörden, IP-Sperren und der Kündigung von Mullvads Serververträgen durch Hosting-Anbieter führte. Die Abschaffung löste erheblichen Widerstand bei legitimen Nutzern aus, die die Funktion für Torrenting und Selbst-Hosting benötigten, und veranlasste einige, zu AirVPN oder Windscribe zu wechseln.
Der Festpreis von 5 EUR/Monat (ca. 5,50 USD) ohne Langzeitrabatte ist sowohl eine Stärke als auch eine Schwäche. Er ist transparent und ehrlich – kein Lockvogelangebot mit höheren Verlängerungspreisen. Über zwei Jahre gerechnet ist er jedoch teurer als NordVPN, Surfshark, PIA oder CyberGhost mit ihren Einführungsangeboten. Mullvad hat rund 68.000 aktive Abonnenten und ist damit ein Nischenanbieter im Vergleich zu NordVPNs geschätzten 15 Millionen.
Schweden als 14-Eyes-Mitglied ist ein theoretisches Bedenken, aber Mullvads extreme Datensparsamkeit – keine Konten, keine Protokolle, keine gespeicherten Metadaten – bedeutet, dass es nichts gibt, zu dessen Herausgabe man verpflichtet werden könnte. Der Support erfolgt ausschließlich per E-Mail mit Antwortzeiten von 12–24 Stunden, und das Maximum von 5 gleichzeitigen Verbindungen liegt unter dem Branchenstandard von 10 oder mehr.
Die Tailscale-Partnerschaft (September 2023) ermöglicht es Nutzern des Tailscale-Mesh-Netzwerks, ausgehenden Datenverkehr über Mullvads WireGuard-Server zu leiten, und erweitert so Mullvads Datenschutz auf eine bestehende Netzwerkinfrastruktur. Der Mullvad Browser, ein Firefox-Fork, der gemeinsam mit dem Tor-Projekt entwickelt wurde, bietet zusätzlichen Fingerabdruckschutz beim Surfen im Internet.