Beste europäische Passwort-Manager 2026: 7 getestet, kein US-Zugriff
Sieben EU-gehostete Passwort-Manager, drei Monate getestet. Passkey-Support, Zero-Knowledge, kein CLOUD Act. Ab 0 € kostenlos, Premium ab 22 €/Jahr. Preise geprüft 2026-05.
Kostenlos mit unbegrenzten Passwörtern, E-Mail-Aliase, Schweizer Datenschutz
Proton Pass testen →Vollständig auditierbar, selbst hostbar, großzügiges Free Tier
Padloc testen →Seit dem Schrems-II-Urteil 2020 ist die DSGVO bei US-gehosteter Software kein abgeschlossenes Thema mehr. Ein Privacy Shield gibt es nicht. Ein Transfer Impact Assessment muss her, Standardvertragsklauseln allein reichen nicht, und die Aufsichtsbehörden in Hamburg, Berlin und Wien haben in den letzten 18 Monaten mehrfach klargestellt, dass sie sich für die Details der Implementierung interessieren.
Für einen Passwort-Manager ist die Lage besonders unangenehm. Im Tresor liegen Bank-Logins, BAföG-Portale, Onlinebanking-PINs, möglicherweise gespeicherte Notarzugangsdaten. Genau das, was unter strenger Aufsicht steht. Das BSI empfiehlt Passwort-Manager grundsätzlich als wirksamen Schutz gegen Credential Stuffing. Welcher konkret, sagt die Behörde nicht. Aber sie nennt Anforderungen: lokale Verschlüsselung, starkes Hashing-Verfahren für das Master-Passwort, regelmäßige unabhängige Audits.
Sieben EU- und Schweiz-basierte Anbieter erfüllen das. Sie liegen außerhalb der Reichweite des CLOUD Act, sie sind ohne Schrems-II-Akrobatik DSGVO-konform, und sie kosten zwischen 0 € und 60 € im Jahr. Stand der Preise und Funktionen: 28.05.2026.
Das Schnell-Ranking
| Rang | Manager | Am besten für | Preis |
|---|---|---|---|
| 1 |  🇨🇭Proton Pass | Privacy-Maximalisten | Kostenlos / 24 €/Jahr |
| 2 |  🇱🇹NordPass | Balance aus Features | 22 €/Jahr |
| 3 |  🇨🇭pCloud Pass | pCloud-Nutzer | 29 €/Jahr |
| 4 |  🇩🇪Padloc | Open-Source-Fans | Kostenlos / 35 €/Jahr |
| 5 |  🇱🇺Passbolt | Teams & Self-Hoster | Kostenlos / 49 €/Jahr |
| 6 |  🇧🇪Hypervault | Business-Compliance | 36 €/Jahr |
| 7 |  🇩🇪heylogin | Passwortlose Zukunft | 60 €/Jahr |
Sicherheit und DSGVO im Vergleich
| Sicherheit | 🇨🇭Proton Pass | 🇱🇹NordPass | 🇨🇭pCloud Pass | 🇩🇪Padloc | 🇱🇺Passbolt | 🇧🇪Hypervault | 🇩🇪heylogin |
|---|---|---|---|---|---|---|---|
| Hauptsitz | Schweiz | Litauen | Schweiz | Deutschland | Luxemburg | Belgien | Deutschland |
| Verschlüsselung | AES-256 + Argon2 | XChaCha20 | AES-256 | AES-256 | OpenPGP | AES-256 | Gerätebasiert |
| Zero-Knowledge | Ja | Ja | Ja | Ja | Ja | Ja | Ja |
| Datenstandort | Schweiz | EU | Schweiz | Deutschland/EU | Self-Host/EU | Belgien/EU | Deutschland |
| CLOUD-Act-Risiko | Keines | Keines | Keines | Keines | Keines | Keines | Keines |
| Unabhängiges Audit | Ja (2023) | Ja (Cure53) | Nein | Teilweise | Ja | Nein | Nein |
| AV-Vertrag (Art. 28) | Ja | Ja | Ja | Ja | Ja | Ja | Ja |
| SOC 2 | Nein | Nein | Nein | Nein | Nein | Ja | Nein |
Alle sieben sind Zero-Knowledge. Der Anbieter kann den Tresor selbst dann nicht lesen, wenn er gezwungen würde. Was sich unterscheidet, ist die juristische Umgebung um diesen Tresor herum. Alle sieben unterliegen entweder EU-Recht oder Schweizer Recht. Keiner davon ist über National Security Letters oder den CLOUD Act erreichbar.
Wer in regulierten Branchen arbeitet, schaut nach SOC 2 und Self-Hosting. Hypervault hat das eine, Passbolt das andere. Beide werden in deutschen Vergabeprozessen ohne Zusatzfragen akzeptiert.
Preise
| Plan | 🇨🇭Proton Pass | 🇱🇹NordPass | 🇨🇭pCloud Pass | 🇩🇪Padloc | 🇱🇺Passbolt | 🇧🇪Hypervault | 🇩🇪heylogin |
|---|---|---|---|---|---|---|---|
| Free | Unbegrenzt | 1 Gerät | Nein | 50 Einträge | Self-Host | 14-Tage-Trial | Limitiert |
| Privat/Jahr | 24 € | 22 € | 29 € | 35 € | 49 € (Cloud) | 36 € | 60 € |
| Familie/Jahr | 48 € (6 User) | 44 € (6 User) | — | — | — | — | — |
| Business/User/Mo | 8 € | 4 € | — | — | 3 € | 3 € | 5 € |
Proton Pass hat das einzige Free-Tier, das man im Alltag wirklich nutzen kann. NordPass mit 22 € im Jahr ist das günstigste bezahlte Angebot, im November und um Black Friday regelmäßig unter 15 €. Für Teams unterbietet Passbolt und Hypervault mit 3 € pro Nutzer und Monat den US-Marktführer 1Password Business um etwa die Hälfte.
Passkeys
Passkeys ersetzen das Passwort durch ein gerätegebundenes Schlüsselpaar. Phishing wird strukturell unmöglich, ein Datenleck beim Anbieter ist nicht mehr ausnutzbar. Apple, Google und Microsoft haben den FIDO-Standard 2022 gemeinsam ausgerollt, und seit Ende 2024 ist die Adoption in deutschen Anwendungen sichtbar: Sparkasse Pushtan-App, Telekom-Login, viele Plattformen mit BSI-Vorgaben.
Von den sieben Managern hier unterstützen zwei Passkeys: Proton Pass und NordPass. Beide synchronisieren Passkeys mit Ende-zu-Ende-Verschlüsselung über alle Geräte. Padloc und Passbolt haben es auf der Roadmap. Die übrigen drei haben sich öffentlich nicht festgelegt.
Wer auf Passkeys setzt, hat damit eine Auswahl von zwei.
1. Proton Pass
Proton Pass kam 2023 als Ergänzung zum ProtonMail-Ökosystem. Gleicher Schweizer Standort, gleiche Zero-Knowledge-Architektur, gleiche Audit-Historie. Wer ohnehin Proton für E-Mail nutzt, bekommt Pass über dasselbe Konto.
Das markanteste Feature sind Hide-my-email-Aliase. Jede Webseite bekommt eine eigene Weiterleitungsadresse. Wenn (nicht ob) eine dieser Seiten ihre Nutzerliste verliert, siehst du es im Posteingang sofort und kannst den Alias mit einem Klick deaktivieren. Ich nutze aktuell 47 Aliase über Proton Pass. Drei davon haben bereits Spam von Seiten erhalten, denen ich meine echte E-Mail nie gegeben habe. Diese drei sind blockiert. Kosten: keine.
Was nicht so glatt läuft: Die Browser-Erweiterung versagt gelegentlich bei Login-Formularen, die das Passwort-Feld per JavaScript nachladen. Die Mobile-Apps sind kompetent, aber einen Schritt hinter NordPass im Feinschliff. Auf dem iPhone funktioniert der Autofill in iOS 18 sauberer als auf Android.
Das Free-Tier ist im Alltag tragfähig. Bezahlte Variante kostet 24 € im Jahr und bringt unbegrenzte Aliase plus erweiterte Sharing-Funktionen.
2. NordPass
Vom Team hinter NordVPN. Das Marketing ist lauter, als mir lieb ist. Das Produkt selbst ist der politurmäßig sauberste Passwort-Manager dieser Liste.
NordPass setzt auf XChaCha20 statt das übliche AES-256. Beide gelten als sicher. XChaCha20 ist neuer und gilt als robuster gegen bestimmte Seitenkanalangriffe, in der Praxis ist der Unterschied theoretisch. Was tatsächlich auffällt, ist die Bedienung. Autofill funktioniert. Der Datenleck-Scanner meldet sich, wenn eines deiner Passwörter in einer bekannten Leak-Datenbank auftaucht. Desktop und Mobile sind miteinander konsistent.
Nicht Open Source. Das ist die eigentliche Schwachstelle bei Vertrauensentscheidungen. NordPass lässt regelmäßig Audits durch Cure53 in Berlin durchführen, die Berichte sind öffentlich. Wie viel Gewicht das hat, hängt vom eigenen Bedrohungsmodell ab.
22 € im Jahr, im Sale auch unter 15 €. Das Free-Tier ist mit nur einem Gerät absichtlich beschnitten.
NordPass testen →3. pCloud Pass
pCloud Pass existiert, weil pCloud das gesamte Privacy-Bundle abdecken will. Speicher plus Passwörter plus Verschlüsselung in einem Schweizer Konto. Wer pCloud bereits zahlt, bekommt Pass als logische Ergänzung.
Als Standalone-Produkt wird es schwieriger zu argumentieren. 29 € im Jahr liefern weniger Funktionen als NordPass für 22 € oder Proton Pass für 24 €. Es gibt kein Free-Tier zum Antesten. Passkey-Support fehlt. Die Browser-Erweiterung erledigt das Nötigste, mehr nicht.
Empfehlenswert, wenn du dich für pCloud als Storage-Anbieter ohnehin entschieden hast und Konto-Konsolidierung wichtig ist.
pCloud Pass testen →4. Padloc
Padloc ist ein kleines deutsches Projekt, das seit 2015 läuft und nie den Skalierungspfad eingeschlagen hat, den Proton genommen hat. Alles ist Open Source unter AGPLv3. Das Verschlüsselungsmodul auf GitHub lässt sich an einem Nachmittag durchlesen. Wer den Anbieter ganz aus dem Bedrohungsmodell streichen will, hostet den Server selbst auf einem Hetzner-VPS oder daheim auf einem Raspberry Pi.
Das Team ist klein. Feature-Entwicklung läuft entsprechend langsam. Im Free-Tier fehlt der Autofill in der Browser-Erweiterung. Die Oberfläche ist sachlich in der Weise, die Open-Source-Software oft hat: erkennbar von Leuten gebaut, die sie selbst nutzen, und nicht alle sechs Monate vom Marketing neu eingefärbt.
Wer Auditierbarkeit wichtiger findet als Politur, ist hier richtig. 35 € im Jahr für das bezahlte Paket, kostenlos bis 50 Einträge.
5. Passbolt
Passbolt ist kein Consumer-Produkt. Es ist ein Credential-Manager für Teams, gebaut um OpenPGP. Jeder Nutzer hat ein Schlüsselpaar. Geteilte Zugangsdaten werden für die konkreten Empfänger verschlüsselt, einzeln. So sollten E-Mail-Verschlüsselung und Schlüsselmanagement ursprünglich funktionieren. Kryptografen nicken dazu.
Die Einrichtung ist Arbeit. Du administrierst einen Server (oder bezahlst für die Cloud-Variante). Neue Teammitglieder onboarden bedeutet, Schlüssel zu erzeugen und auszutauschen. Es gibt keine Mobile-App, nur eine Weboberfläche. Das ist kein Versehen, sondern der Preis dafür, dass die Kryptografie sauber bleibt.
Sinnvoll, wenn dein Team AWS-Root-Credentials, Datenbank-Passwörter aus der Produktion oder API-Keys gemeinsam verwaltet. Für den Familien-Tresor mit den Streaming-Abos ist es das falsche Werkzeug.
Self-hosted kostenlos. 49 € im Jahr für Cloud-Hosting mit Business-Funktionen.
6. Hypervault
Hypervault ist die Antwort, wenn der Einkauf nach SOC 2 fragt und ein AV-Vertrag mit Firmenstempel auf den Tisch muss. Es liefert beides. Die Oberfläche ist Enterprise-Software, was eine höfliche Umschreibung für funktional und nüchtern ist.
Für die private Nutzung ist das überdimensioniert. Für Unternehmen mit echten Compliance-Beauftragten, ISO-27001-Audits oder Vendor-Security-Fragebögen ergibt sich daraus genau das, was eine CISO unterschreiben muss: Admin-Konsole, Audit-Logs, rollenbasierte Rechte, SAML-SSO. Das Produkt richtet sich an die Person, die Risiken bewerten und Verträge abzeichnen muss, nicht an die Person, die montagmorgens eingeloggt sein will.
36 € im Jahr für die persönliche Variante. Business-Preise skalieren mit der Nutzerzahl.
7. heylogin
heylogin streicht das Master-Passwort komplett. Das Smartphone wird zum Authentifizierungsmittel. Face ID oder Fingerabdruck entsperren den Tresor. Es gibt nichts zu merken und nichts zu phishen.
Das ist tatsächlich ein anderes Modell. Die philosophische Frage ist, ob ein Smartphone sicherer ist als ein selbst gemerktes Master-Passwort. Handys werden gestohlen, Akkus gehen leer, Geräte gehen kaputt. Der Recovery-Flow für “kein Smartphone mehr verfügbar” ist die tragende Konstruktion und sitzt naturgemäß im ungünstigsten Moment im Weg, nämlich dann, wenn man bereits ausgesperrt ist.
60 € im Jahr. Die Preisgestaltung adressiert Early Adopter, die das Konzept überzeugend finden und bereit sind, dafür zu zahlen.
Bitwarden, kurz gesagt
Bitwarden kommt in jedem Gespräch über Open-Source-Passwort-Manager vor. Zu Recht. Das Produkt ist exzellent, das Free-Tier ist alltagstauglich, der Code ist auditierbar.
Es hat seinen Sitz in Kalifornien und unterliegt damit US-Jurisdiktion. National Security Letters und CLOUD-Act-Anordnungen greifen. Für manche Leser ist das irrelevant. Für die, die diesen Artikel lesen, ist genau das der Grund, warum Bitwarden hier nicht auf der Liste steht.
Wenn US-Jurisdiktion in deinem Fall kein Faktor ist, ist Bitwarden vermutlich der beste verfügbare Passwort-Manager. Der Text oben ist für Leser, die sich entschieden haben, dass es ein Faktor ist.
Entscheidungsmatrix
| Priorität | Wähle |
|---|---|
| Privacy-Absolutist, nutzt schon Proton | 🇨🇭Proton Pass |
| Beste Consumer-Experience | 🇱🇹NordPass |
| Open Source oder gar nicht | 🇩🇪Padloc |
| Team-/Developer-Credentials | 🇱🇺Passbolt |
| Compliance-Anforderungen im Unternehmen | 🇧🇪Hypervault |
| Passwortlos-Gläubiger | 🇩🇪heylogin |
| Bereits im pCloud-Ökosystem | 🇨🇭pCloud Pass |
Was ich tatsächlich nutze
Privat Proton Pass. Die Aliase amortisieren sich innerhalb weniger Wochen über reduzierten Spam, und das Konto liegt ohnehin bei Proton wegen Mail. Ein zweites Produkt am selben Login ist ein kleiner Schritt.
Für geteilte Infrastruktur-Zugänge im Team Passbolt. Das PGP-pro-Empfänger-Modell passt zur Frage, wie Produktionszugriff vergeben sein sollte: explizit, einzeln, mit Schlüsselspur.
Diese Konfiguration ist nicht allgemeingültig. Sie funktioniert für meinen Arbeitsablauf. Wer keine Aliase braucht und keine geteilten Zugänge verwaltet, kommt mit NordPass schlanker zurecht und spart sich pro Jahr zwei Euro.
Was nicht sinnvoll ist: aus Bequemlichkeit auf einem US-Anbieter bleiben. Die Migration dauert einen Abend.
Wechsel von 1Password, LastPass oder Bitwarden
Der Ablauf ist bei allen sieben gleich.
Export beim alten Anbieter
- 1Password: Datei → Exportieren → CSV
- LastPass: Kontoeinstellungen → Erweitert → Export
- Bitwarden: Tools → Tresor exportieren → CSV
- Chrome: Einstellungen → Passwörter → Exportieren
Import beim neuen Anbieter
Alle sieben akzeptieren das übliche CSV-Format. Die Spaltenzuordnung läuft normalerweise automatisch. Plane etwa zehn Minuten für Import plus Sichtkontrolle.
Zwei Wochen parallel laufen lassen
Den alten Anbieter nicht sofort löschen. Beide bleiben installiert. Schlägt der Login mit dem neuen fehl, fällt man kurz zurück. Nach zwei Wochen normaler Nutzung weiß man, ob alles übertragen wurde.
Kritische Passwörter rotieren
Der Wechsel ist der richtige Moment, Passwörter für Bankkonten, Haupt-E-Mail und zentrale Cloud-Konten zu erneuern. Der neue Generator erledigt das pro Seite mit einem Klick.
Eine vernünftige Strategie: alles auf einmal migrieren, aber nur die zwanzig wichtigsten Zugänge sofort rotieren. Der Rest wird beim nächsten Login automatisch ersetzt.
FAQ
Ist ein in den USA gehosteter Passwort-Manager DSGVO-konform nutzbar?
In den meisten Fällen ja, aber mit Aufwand. Seit Schrems II reicht die DSGVO allein nicht mehr. Du brauchst zusätzlich Standardvertragsklauseln, ein Transfer Impact Assessment und im Zweifel Schutzmaßnahmen wie kundenseitige Verschlüsselung. EU-Anbieter ersparen den gesamten Vorgang.
Was sagt das BSI zu Passwort-Managern?
Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt Passwort-Manager ausdrücklich als wirksamen Schutz gegen Credential Stuffing. Konkrete Produktempfehlungen veröffentlicht das BSI nicht, formuliert aber Anforderungen: starke Master-Passwort-Hashing-Verfahren, lokale Verschlüsselung, regelmäßige Sicherheits-Audits. Alle sieben Anbieter dieser Liste erfüllen diese Anforderungen.
Kann ich von 1Password oder LastPass wechseln?
Ja. Alle sieben Anbieter akzeptieren CSV-Exporte. Die oben beschriebenen Schritte dauern pro Quelle etwa zehn Minuten.
Welche Anbieter unterstützen Passkeys?
Proton Pass und NordPass. Beide synchronisieren Passkeys Ende-zu-Ende verschlüsselt über alle Geräte. Die übrigen fünf bislang nicht.
Welcher Manager passt für Teams mit DSGVO-Pflicht?
Passbolt für Entwicklungsteams (OpenPGP, Self-Hosting verfügbar). Hypervault für Unternehmens-Compliance (SOC 2, Audit-Logs, SAML SSO). NordPass für allgemeine Business-Nutzung zu 4 € pro Nutzer und Monat. Alle drei stellen einen AV-Vertrag nach Art. 28 DSGVO bereit.
Was, wenn der Anbieter pleitegeht?
Bei den Open-Source-Optionen (Proton Pass, Padloc, Passbolt) lässt sich self-hosten oder exportieren. Bei den Closed-Source-Anbietern regelmäßig als CSV exportieren. Jedes Tool dieser Liste unterstützt CSV-Export.
Reicht das Free-Tier?
Proton Pass: ja, für die meisten Nutzer. NordPass: nein, ein Gerät ist im Alltag zu wenig. Padloc: grenzwertig bei 50 Einträgen. Andere: nein.
Direktlinks
- 🇨🇭Proton Pass: bestes Free-Tier, beste Wahl für Proton-Nutzer
- 🇱🇹NordPass: beste Bedienung insgesamt
- 🇩🇪Padloc: bestes Open-Source-Angebot
- 🇱🇺Passbolt: beste Option für Teams
- 🇧🇪Hypervault: für Compliance-Anforderungen
- 🇩🇪heylogin: vorausschauendster Ansatz
Verwandte Beiträge:
- Das Proton-Ökosystem im Überblick: Mail, VPN, Drive, Pass in einem Konto
- EU-Cloud-Speicher im Vergleich: pCloud, Proton Drive, Tresorit
- Warum EU-Software wichtig ist
Preise und Funktionen überprüft am 28.05.2026. Letzte größere Überarbeitung: Mai 2026.
Affiliate-Hinweis
Einige Links in diesem Artikel sind Affiliate-Links. Wenn du dich über unseren Link anmeldest, erhalten wir eine kleine Provision ohne Mehrkosten für dich. Das hilft uns, EU Picks zu betreiben.