VPN, Freelancer & Steuern 2026: DSGVO, EU-Mehrwertsteuer und Expat-Wohnsitz — rechtlicher & technischer Leitfaden

Der Freelancer, der 2026 ein VPN einsetzt, tut dies meist aus pragmatischen Gründen — Schutz der Verbindungen im öffentlichen WLAN, Zugriff auf geografisch beschränkte Tools, Sicherung von Kundendaten. Doch die Praxis wirft schnell drei eigenständige steuerliche und rechtliche Fragen auf, die es klar zu beantworten gilt: Ändert es meinen steuerlichen Wohnsitz? Kann ich das Abo absetzen? Wie handhabe ich die innergemeinschaftliche Mehrwertsteuer? Hinzu kommt für jeden Freelancer, der Kundendaten verarbeitet, die DSGVO-Frage (ist das VPN eine akzeptable technische Maßnahme nach Artikel 32?), und für Freelancer in Portugal-NHR- / Estland-e-Residency- / Dubai-Expat-Setups die Frage der Stimmigkeit zwischen erklärtem Wohnsitz und tatsächlicher IP-Geolokalisierung.

Dieser Leitfaden konsolidiert die technischen und rechtlichen Antworten im Mai 2026, mit anwendbaren Texten (nationale Steuergesetze, DSGVO, EU-Mehrwertsteuerrichtlinien), messbaren Zahlen und praktischen Konfigurationen, um konform zu bleiben. Er richtet sich an selbstständige, Ltd-, EURL-, SASU-, autónomo- und Einzelunternehmer-Freelancer in der EU und in Großbritannien.

Warum ein Freelancer 2026 ein VPN braucht

Vier eigenständige Gründe rechtfertigen ein VPN im Setup eines Freelancers, jeder mit unterschiedlichen steuerlichen und DSGVO-Implikationen.

Grund 1 — Sicherheit von Kundendaten (DSGVO Artikel 32). Ein Freelancer verarbeitet täglich personenbezogene Daten: E-Mails mit Namen, Kontaktdaten, Rechnungen mit Bankkennungen, Arbeitsdateien (Briefings, Berichte, interne Dokumente). Wenn diese Daten ohne VPN durch öffentliches WLAN (Café, Coworking, Hotel) laufen, werden Metadaten (besuchte Domains, DNS, manchmal Inhalte bei unvollständigem HTTPS) für den Netzbetreiber beobachtbar. DSGVO Artikel 32 schreibt „geeignete technische und organisatorische Maßnahmen“ vor — ein in jedem nicht verwalteten Netz systematisch aktives VPN fällt klar in diese Kategorie. Die UK ICO und die Leitlinien der französischen CNIL empfehlen die VPN-Nutzung für den Fernzugriff in den Best Practices zur Sicherheit personenbezogener Daten.

Grund 2 — Zugriff auf geografisch beschränkte berufliche Tools. Einige berufliche Tools erzwingen Geolokalisierung: Statista-US-Pläne, ausländische Pressearchive (Bloomberg Terminal US, FT.com-UK-Regionalzugriff), regionalisierte Stock-Image-Bibliotheken (Getty-US-only-Sammlungen), SEO-Aggregatoren mit regionalen Datenbeschränkungen (Sistrix-DE-only-Daten). Ein VPN mit einem Server im Zielland schaltet den Zugriff in Sekunden frei. Rechtlich eine Grauzone (AGB jedes Dienstes), aber keine dokumentierte Sanktion gegen legitime zahlende Nutzer.

Grund 3 — Umgehung strenger clientseitiger Unternehmensfilterung. Einige Megacorp-Kunden filtern ausgehenden Verkehr aggressiv: Blockierung großer Downloads, TLS-MITM, Blockierung nicht zugelassener Drittanbieter-Dienste. Ein Freelancer, der in diesen Umgebungen über das Unternehmens-VPN des Kunden arbeitet, kann mit seinem persönlichen VPN ergänzen, um auf seine eigenen Tools (Notion, Linear, Figma, GitHub) zuzugreifen, falls diese blockiert sind. Vorbehalt: Wenn der Auftrag eine strenge NDA und die Nutzung von Kunden-Hardware umfasst, kann ein doppeltes VPN vertraglich untersagt sein — im Einzelfall prüfen.

Grund 4 — Vertraulichkeit auf ISP-Ebene. Der Freelancer, dessen Tätigkeit sensible Themen berührt (investigativer Journalismus, M&A-Beratung, medizinische Forschung, politisch-rechtliche Oppositionsberatung), hat ein legitimes Interesse daran, Anfragen vor dem ISP zu maskieren. Nationale Vorratsdatenspeicherungsgesetze (UK Investigatory Powers Act, französisches LCEN) verpflichten ISPs, Verbindungsprotokolle 12 Monate aufzubewahren, zugänglich für Justizbehörden. Das VPN beseitigt diese Pflicht aufseiten des ISP nicht, verringert aber die Datengranularität (der ISP sieht, dass Sie sich mit NordVPN verbinden, nicht welche Seiten Sie besuchen).

Steuerlicher Wohnsitz und VPN: was das Gesetz sagt

Das ist die häufigste und am meisten missverstandene Frage. Das VPN ändert niemals den steuerlichen Wohnsitz. Der US-Steuerwohnsitz wird durch den IRS-Substantial-Presence-Test (183-Tage-gewichtete Formel) und den Ort des gewöhnlichen Aufenthalts bestimmt; der UK-Wohnsitz durch die Tageszählung des Statutory Residence Test; der französische Wohnsitz durch die faktischen Kriterien von Artikel 4 B CGI (Wohnung, berufliche Tätigkeit, wirtschaftliche Interessen); der deutsche Wohnsitz durch § 8 AO (Wohnsitz) und § 9 AO (gewöhnlicher Aufenthalt). Die von einem VPN angezeigte IP fällt unter keines dieser Kriterien. Ein in London ansässiger Freelancer, der einen VPN-Server in Tallinn nutzt, bleibt steuerlich in Großbritannien ansässig — die Steuerverwaltung hat weder die Mittel noch das Interesse, auf Basis der IP umzuqualifizieren.

Das umgekehrte Risiko: VPN zur Simulation eines ausländischen Wohnsitzes. Das eigentliche Risikoszenario ist der Freelancer, der offiziell einen ausländischen steuerlichen Wohnsitz erklärt hat (Portugal RNH, Estland e-Residency + physischer Wohnsitz, Dubai Golden Visa), während er überwiegend von seinem ursprünglichen Heimatland aus lebt und arbeitet. Wenn der Freelancer ein Portugal-Server-VPN nutzt, um Kunden oder Steuerbehörden glauben zu machen, er arbeite aus Lissabon, während er tatsächlich in London ansässig ist, greifen mehrere straf- und steuerrechtliche Qualifikationen: Steuerbetrug (gerichtliche Strafen bis zu 7 Jahren Haft und 3 Mio. € Geldstrafe in Frankreich, ähnlich anderswo), Rechtsmissbrauch, falsche Erklärungen. Das VPN ist nicht die Straftat — die falsche Wohnsitzerklärung ist es. Das VPN dient als Sachbeweis in einer rückwirkenden Untersuchung.

Legitimer Fall: echter Expat. Ein wirklich in Lissabon unter Portugal RNH niedergelassener Freelancer (physischer Wohnsitz > 183 Tage, ständige Wohnung in Portugal, portugiesische Steuererklärung), der ein UK-VPN nutzt, um auf BBC iPlayer oder Netflix UK zuzugreifen, hat kein Problem. Sein beruflicher Datenverkehr (Caixa-Geschäftsbanking, Stripe-PT-Rechnungsstellung, InvoiceXpress-Buchhaltung) bleibt portugiesisch, der persönliche Datenverkehr läuft aus nicht-beruflichen Nutzungsgründen über Großbritannien. Die steuerliche und rechtliche Unterscheidung wird an der Realität des Wohnsitzes getroffen, nicht an der Ausgangs-IP des VPN-Tunnels.

Steuerliche Absetzbarkeit des VPN-Abos

Das VPN-Abo ist unter Ist-Besteuerungsregelungen als Betriebsausgabe absetzbar, vorbehaltlich zweier kumulativer Bedingungen: (1) nachweisbar überwiegend oder ausschließlich geschäftliche Nutzung, (2) gültiger Beleg (Rechnung auf Firmennamen oder auf persönlichen Namen bei Einzelunternehmern).

US Schedule C (Einzelunternehmer). Das Abo fällt unter Zeile 25 Utilities oder Zeile 27a Other expenses mit dem Vermerk „VPN subscription“. Für ein VPN von 60 $/Jahr: Steuerersparnis ~15 $ in der 25-%-Stufe, ~22 $ in der 32-%-Stufe. Über 3 kumulierte Jahre 45-66 $ — nicht zu vernachlässigen.

UK Self-Employed Self Assessment SA103. Fällt in die Rubrik „Telephone, fax, stationery and other office costs“. Jährlicher Abzug zum Grenzsteuersatz (20 % basic, 40 % higher, 45 % additional). Für ein VPN von 50 £/Jahr: 10-22 £ gespart je nach Stufe.

Französische BNC/BIC-Ist-Besteuerung. Fällt unter „Frais de communication et internet“ (Konto 626 in der PCG-Buchhaltung). Abzug zum Grenzsteuersatz IR (11 %, 30 %, 41 %, 45 %). Für ein VPN von 55 € netto/Jahr: 6-25 € gespart je nach Stufe.

Spanischer autónomo modulos vs estimación directa. Unter estimación directa simplificada fällt das VPN unter voll absetzbare Telekommunikationskosten. Unter modulos (Pauschale) kein zusätzlicher Abzug. Für ein VPN von 50 € netto/Jahr unter direkter vereinfachter Besteuerung: ~12-20 € gespart in der IRPF-Stufe 24-30 %.

Erforderliche Rechnungsangaben. Die VPN-Rechnung muss enthalten: Anbietername + Adresse, USt-IdNr. des Anbieters, Firmenname + Adresse des Freelancers, USt-IdNr. des Freelancers (falls registriert), Datum, Nettobetrag, Mehrwertsteuersatz (0 % bei innergemeinschaftlichem Reverse-Charge, 20-21 % bei inländischer Besteuerung), Bruttobetrag. Diese beim Abo prüfen — einige Anbieter (Surfshark, ProtonVPN) stellen eine konforme Rechnung nur auf ausdrückliche Support-Anfrage aus.

Innergemeinschaftliche Mehrwertsteuer: praktische Mechanik

Für einen mehrwertsteuerpflichtigen Freelancer (UK-Schwelle 90.000 £, Frankreich 36.800 € BNC / 91.900 € BIC, Spanien 0 € sofortige Registrierung bei innergemeinschaftlichen Dienstleistungen) folgt der Kauf eines VPN von einem in der EU ansässigen Anbieter dem Mehrwertsteuer-Reverse-Charge-Mechanismus nach EU-Richtlinie 2006/112/EG Artikel 196.

Schritt 1 — Ihre USt-IdNr. an der Kasse angeben. An der NordVPN/Surfshark-Kasse Ihre USt-IdNr. im korrekten nationalen Format eingeben (UK GB123456789, Frankreich FR XX XXXXXXXXX, Spanien ESA12345678). Automatische Validierung aufseiten des Anbieters über VIES der Europäischen Kommission. Bei Validierung wird die Rechnung netto ausgestellt (mit dem Vermerk „Reverse charge — VAT to be self-assessed by recipient“).

Schritt 2 — In Ihrer Mehrwertsteuererklärung selbst verbuchen. In Ihrer monatlichen oder vierteljährlichen Mehrwertsteuererklärung den Nettobetrag unter „Innergemeinschaftlicher Erwerb von Dienstleistungen“ angeben und die entsprechende nationale Mehrwertsteuer (20 % UK/FR, 21 % ES) selbst verbuchen: Umsatzsteuer in einer Zeile, Vorsteuer in einer anderen. Vorgang buchhalterisch neutral (Umsatzsteuer = Vorsteuer), aber zur Konformität verpflichtend — die Nichterklärung wird mit Bußgeldern pro Erklärung sanktioniert.

Schritt 3 — EC Sales List / Zusammenfassende Meldung. Großbritannien verlangt gegebenenfalls eine Übermittlung an HMRC (nach dem Brexit können Besonderheiten gelten); Frankreich verlangt die monatliche DES-Meldung auf impots.gouv.fr bis zum 10. des Folgemonats; Spanien verlangt das Modelo 349. Für ein im Januar 2026 abonniertes VPN: Meldung des Januars bis zum 10. Februar übermittelt.

Fall des mehrwertsteuerbefreiten Freelancers. Wenn Sie unter der Mehrwertsteuerschwelle liegen, sind Sie nicht mehrwertsteuerpflichtig. Sie zahlen die normale nationale Mehrwertsteuer (20 % UK/FR, 21 % ES) beim Kauf direkt an den VPN-Anbieter, ohne Abzug. Keine Mehrwertsteuererklärung, kein Reverse-Charge. Praktischer Unterschied: VPN für 50 $ netto → 60 $ inklusive in der befreiten Regelung (10 $ verlorene Kosten) gegenüber 50 $ Reverse-Charge neutral bei Registrierung.

DSGVO-Konformität: VPN als technische Maßnahme nach Artikel 32

DSGVO Artikel 32 verpflichtet den Verantwortlichen und den Auftragsverarbeiter, „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Das VPN ist in den ICO-Leitlinien und CNIL-Leitlinien ausdrücklich als akzeptable technische Maßnahme für die Sicherheit des Fernzugriffs aufgeführt.

Kriterium 1 — In der EU oder in einem Land mit angemessenem Schutz ansässiger Anbieter. Um EU-Kundendaten DSGVO-konform zu verarbeiten, in der EU ansässige Anbieter bevorzugen (NordVPN Litauen, Surfshark Niederlande) oder solche in Ländern, die durch einen Angemessenheitsbeschluss der EU-Kommission anerkannt sind (Schweiz, Großbritannien, Kanada kommerziell, Japan, Südkorea, Argentinien, Israel, Andorra, Färöer, Guernsey, Isle of Man, Jersey, Neuseeland, Uruguay). US-basierte VPNs meiden, die dem CLOUD Act 2018 unterliegen, der US-Behörden den Zugriff auf von US-Unternehmen gehaltene Daten erlaubt, auch in der EU.

Kriterium 2 — Auditierte No-Log-Richtlinie. Die drei Hauptakteure (NordVPN, Surfshark, ExpressVPN) ließen ihre No-Log-Richtlinien 2023-2025 von den Big Four (Deloitte, PwC) auditieren. Öffentliche Berichte verfügbar. Ein unabhängiges Audit stellt im Falle einer behördlichen Prüfung einen Beweis dar — belegen Sie, dass Sie einen auditierten Anbieter statt eines undurchsichtigen gewählt haben.

Kriterium 3 — Kill Switch + verschlüsseltes DNS verpflichtend. Minimalkonfiguration für die DSGVO-Konformität: systemweiter Kill Switch (nicht auf App-Ebene), der den ausgehenden Verkehr bei Tunnel-Ausfall blockiert, verschlüsseltes DNS (DoH oder DoT), das das Durchsickern von DNS-Anfragen an den ISP oder das öffentliche Netz verhindert. Ohne diese beiden Einstellungen schützt das VPN teilweise, lässt aber erkennbare Lecks — regelmäßig mit unserem DNS-Leck-Test und unserer WebRTC- + IPv6-Prüfung prüfen.

Kriterium 4 — Dokumentation im Verzeichnis von Verarbeitungstätigkeiten. Wenn Sie der verpflichtenden Führung eines Verzeichnisses unterliegen (DSGVO Artikel 30, anwendbar bei 250+ Mitarbeitern ODER regelmäßiger Verarbeitung sensibler Daten), die Zeile „Fernzugriff gesichert durch VPN [Anbieter, Version, Kill Switch + DoH-Konfiguration]“ in der Spalte „Technische Sicherheitsmaßnahmen“ hinzufügen. Auch als Solo-Freelancer, der nicht der verpflichtenden Führung unterliegt, ist diese freiwillige Dokumentation im Falle einer Prüfung nützlich.

Spezifischer Fall: Expat Portugal NHR, Estland e-Residency, Dubai

Die Steuer-Expatriierung bleibt 2026 für Tech-, Design- und Marketing-Freelancer mit internationaler Kundschaft aktuell. Drei Ziele dominieren: Portugal (Non-Habitual-Resident-Regelung bis zu 10 Jahre, IR 20 % auf bestimmte Kategorien), Estland (e-Residency erlaubt die Firmengründung ohne physischen Wohnsitz, effektive IR nur auf Dividenden), Vereinigte Arabische Emirate (Freizonen mit 0 % persönlicher IR für physisch Ansässige).

Die „VPN-Trickserei“-Falle. Einige Freelancer versuchen, einen ausländischen erklärten steuerlichen Wohnsitz + einen tatsächlichen verborgenen Heimatland-Wohnsitz, maskiert durch VPN, zu kombinieren. Typisches Szenario: NHR Portugal erklärt, aber Alltag und Arbeit in London/Paris, Portugal-VPN-Server ständig aktiv, um den beruflichen Datenverkehr aus Lissabon stammen zu lassen. Reales Risiko: die Steuerverwaltungen verfügen seit 2024 über Quervergleichswerkzeuge — inländische Kontoauszüge über die nationale Steuerbehörde, Versorgerrechnungen (jährliche Verbrauchsmuster), Telekom-Abos, Schulanmeldung der Kinder, Smartphone-Geolokalisierung (per richterlicher Anordnung bei eröffnetem Fall). Eine einzige Inkonsistenz (aktiver UK-Mobilfunkvertrag in London, in London eingeschulte Kinder) genügt, um das Setup zu zerlegen. Sanktionen: Nachveranlagung über 6 Jahre + Verzugszinsen + Betrugsstrafen + potenziell Strafanzeige wegen Steuerbetrugs.

Legitimer Fall: echter Expat. Ein wirklich in Lissabon unter portugiesischem NHR niedergelassener Freelancer (physischer Wohnsitz > 183 Tage/Jahr, ständige Wohnung in Portugal, portugiesische IR-Zahlung, ggf. in Portugal eingeschulte Kinder), der ein VPN nutzt, hat null Steuerrisiko. Seine VPN-Nutzung ändert nichts an seiner faktisch validierten steuerlichen Situation. Er kann sogar ein VPN mit einem UK- oder französischen Server nutzen, um auf BBC iPlayer, France TV, Netflix UK zuzugreifen — nicht-berufliche persönliche Nutzung ohne berufliche Auswirkung.

Praktischer Rat: Wenn Sie 2026 eine Steuer-Expatriierung planen, konsultieren Sie vor dem Umzug einen Steueranwalt. Indikative Beratungskosten 500-1.000 £ für eine Solo-Freelancer-Akte. Sichern Sie die Stimmigkeit zwischen erklärtem Wohnsitz und materieller Realität vor jeder VPN-Nutzung, statt zu versuchen, im Nachhinein mit IP-Maskierung zu korrigieren.

Was man sich merken sollte

Das VPN ist ein nützliches und absetzbares Werkzeug für einen EU/UK-Freelancer 2026, aber ohne Steuer-Zauberkräfte. Es ändert den steuerlichen Wohnsitz nicht, es ist als Betriebsausgabe absetzbar unter den Ist-Besteuerungsregelungen BNC/BIC/Schedule C/SA103, und es stellt eine technische Maßnahme nach DSGVO Artikel 32 dar, die für die Sicherheit des Fernzugriffs angemessen ist — vorausgesetzt, Sie wählen einen in der EU ansässigen Anbieter und konfigurieren Kill Switch + verschlüsseltes DNS.

Bei Expat-Szenarien dient das VPN weder dazu, einen fiktiven Wohnsitz zu simulieren (Risiko von Steuerbetrug als Straftat), noch dazu, einen echten Wohnsitz zu belegen (die Verwaltung prüft anhand faktischer Belege). Es dient nur dazu, die Kommunikation zu schützen, was seine legitime Rolle bleibt.

Dieser Artikel ist eine allgemeine Analyse, keine personalisierte Steuerberatung. Für jede Entscheidung, die den steuerlichen Wohnsitz oder die Absetzbarkeit in Ihrem konkreten Fall betrifft, konsultieren Sie einen Steuerberater oder Steueranwalt. Regulatorische Quellen: DSGVO-Volltext über die Europäische Kommission, EU-Mehrwertsteuerrichtlinie 2006/112/EG, US IRS Substantial Presence Test, UK Statutory Residence Test guidance. Offenlegung: Dieser Artikel wird von unserem NordVPN-Partnerprogramm gesponsert — die Empfehlung spiegelt unsere praktischen Tests wider, aber wir verdienen eine Provision auf Abos, die über unsere Links zustande kommen. Unsere unabhängige Methodik ist in unserem NordVPN-Test 2026 beschrieben.