NordPass Editorial Review 2026 — der EU-Passwort-Manager mit XChaCha20-Stack

So entstand dieser Editorial Review

Methodik:

• Trust-Center-Verifikation: nordpass.com/security, nordpass.com/features/xchacha20-encryption + Cure53-Audit-Blogposts (2020 Consumer + 2021 Business) direkt gelesen.
• EU-Data-Center-Beleg: GlobeNewswire-Pressemitteilung vom 12. Oktober 2023, Heise-B2B-Test (Januar 2025, Tim Schürmann) bestätigt "Server in der EU".
• Pricing-Cross-Check: nordpass.com/de/plans (EUR-Preise client-seitig per JS gerendert), Heise-Tests, cybernews + security.org Drittquellen-Vergleich.
• DACH-Stimmung: Heise-Tests Privat (April 2026, Petra Rentrop) und B2B (Januar 2025), EXPERTE.com-Bewertungen, kein bekannter Datenschutz-Skandal im DACH-Raum.
• Vergleichsmaßstab: 1Password, Bitwarden, Proton Pass — alle drei mit eigenen Reviews auf ToolsPick parallel referenziert.

Wo NordPass-Aussagen nicht öffentlich verifizierbar sind (aktueller Cure53-Stand 2024/2025, Standard-AVV-Download-Link), markieren wir das explizit als "needs verification" im jeweiligen Abschnitt — kein Geraten.

Pricing-Pläne im Überblick

Auf einen Blick

Was NordPass gewinnt

1. EU-Headquarters statt USA-Sitz

Nord Security AG sitzt in Vilnius, Litauen — innerhalb des EU/EWR-Geltungsbereichs der DSGVO. Im Vergleich: 1Password (Kanada/USA), Bitwarden (Santa Barbara, USA), Dashlane (Frankreich + US-Tochter). Für Schrems-II-sensitive Setups ist eine EU-Jurisdiktion strukturell die rechtssicherere Wahl, weil der CLOUD Act und US-FISA-702-Anfragen formal nicht direkt greifen. Wermutstropfen bleibt: AWS hostet die Daten — und AWS ist US-Konzern. Daher kein perfekter Schutz, aber besser positioniert als US-headquartered Anbieter.

2. Modernerer Krypto-Stack als der Durchschnitt

NordPass verschlüsselt den Vault mit XChaCha20-Poly1305-IETF und leitet den Master-Key per Argon2id mit 16-Byte-Salt ab. Argon2id ist seit RFC 9106 (2021) die empfohlene Password-Hashing-Funktion und resistenter gegen GPU-/ASIC-Angriffe als PBKDF2 (Bitwarden-Default). 1Password nutzt AES-256-GCM mit eigenem Secret-Key-Layer — architektonisch anders, sicherheitsmäßig vergleichbar. NordPass setzt damit eine moderne, akademisch wohldokumentierte Stack-Wahl um.

3. EU-Data-Center für Business + ISO/SOC-Zertifizierung

Seit Oktober 2023 können Business- und Enterprise-Kunden ihren Vault-Storage explizit ins EU-Data-Center (AWS Frankfurt) routen. Kombiniert mit ISO 27001 und SOC 2 Type 2 ergibt das ein DACH-tauglicheres Compliance-Profil als Bitwarden Cloud (USA-only) oder die meisten US-Anbieter. Für regulierte Branchen (Finance, Healthcare-Adjacent, NIS-2-Pflichtige) ist das ein konkreter Vorteil.

4. Vollständig deutsche UI + 24/7-Chat-Support

nordpass.com/de ist nicht nur eine Übersetzung der Marketing-Page — die komplette App-UI ist auf Deutsch, inklusive Begriffe wie "Datenleck-Scanner", "Datei-Anhänge" und "Mehrgeräte-Zugriff". Bitwarden hat deutsche UI nur über Community-Übersetzungen mit teilweisen Lücken; 1Password ist UI-deutsch, aber Support primär englisch. NordPass bietet zudem deutschen Knowledge-Base-Content und 24/7-Chat — für nicht-tech-affine Nutzer:innen ist das spürbar entspannter.

5. Nord-Family-Cross-Sell und Single-Sign-Up

Wer bereits NordVPN, NordLocker oder Saily (eSIM-Provider) nutzt, hat den Nord-Account schon — NordPass läuft mit gleichem Login. Family-Bundle-Pricing bündelt VPN + Pass + Locker oft günstiger als Einzelabos. Für ToolsPick-Leser:innen, die unseren NordVPN-Empfehlung (Pillar "Beste VPN DACH 2026") folgen, ist NordPass dadurch der logische Cross-Sell ohne neue Account-Migration.

6. Heise-Praxis-Tests bestätigen Stabilität

Heise hat NordPass zweimal getestet — Business-Version Januar 2025 (Tim Schürmann) und Privat-Version April 2026 (Petra Rentrop). Beide Tests urteilen positiv: Schürmann lobt die "komfortable Möglichkeit, sensible Daten zentral zu verwalten", Rentrop nennt es "solider Passwort-Manager mit praktischen Premium-Funktionen". Keine bekannten Datenschutz-Skandale oder größeren Sicherheitsvorfälle im DACH-Raum.

Wo es schwierig wird

1. Free-Tier limitiert auf 1 aktives Gerät

Der Free-Plan klingt großzügig (unbegrenzte Passwörter), hat aber einen aggressiven Haken: nur ein aktives Gerät gleichzeitig. Wechsel zwischen Desktop und Mobile loggt das andere Device automatisch aus. Bitwarden und Proton Pass haben Free unbegrenzte Geräte — für Solo-Nutzer:innen, die zwischen Laptop, Tablet und Phone wechseln, ist NordPass Free de facto nicht alltagstauglich. Das ist erkennbar als Conversion-Trick designt, nicht als ehrliches Gratis-Angebot.

2. Renewal-Preis deutlich höher als Erstvertrag

Premium-Erstvertrag liegt bei ~1,65 €/Monat im 2-Jahres-Abo — das Renewal danach kostet ~2,99 €/Monat, also fast doppelt so viel. Nord-typische Lock-In-Mechanik: die niedrigen Onboarding-Preise sind durch das Renewal subventioniert. Für TCO-Vergleiche über 5+ Jahre relativiert das den Preisvorteil gegenüber Bitwarden Premium (~1 €/Mo dauerhaft). Tipp: rechtzeitig vor Renewal-Datum prüfen, ob Wechsel oder Kündigung wirtschaftlicher ist.

3. Kein Self-Hosting wie Bitwarden / Vaultwarden

NordPass ist Cloud-only, auf AWS gehostet. Wer volle Daten-Kontrolle will, findet das bei Bitwarden via Vaultwarden (Self-Hosting auf eigenem Server, ~5 €/Mo Hetzner-VPS) oder bei Proton Pass mit Schweizer Jurisdiktion plus Open-Source-Apps. NordPass ist nicht Open-Source — der Code ist unabhängig nicht prüfbar, du verlässt dich auf die Cure53-Audit-Reports und Nord-Transparenz. Für DSGVO-Hardliner ist das ein klarer Minuspunkt.

4. AVV/DPA muss aktuell per Account-Manager angefordert werden

Stand Mai 2026: nordpass.com hat keine öffentlich verlinkte Standard-DPA-Page (die URL /legal/dpa führt auf 404). Für Business-Kunden ist ein AVV verfügbar, aber der Prozess läuft per E-Mail über den Account-Manager. Für Compliance-Audits (DSGVO Art. 28) ist das ein Reibungspunkt — andere Anbieter (1Password, Bitwarden, Proton Pass) haben Standard-DPAs als direkten PDF-Download. Vor Vertragsabschluss empfehlenswert: AVV-Entwurf vorab anfordern und vom DSGVO-Beratenden prüfen lassen.

5. Letzter öffentlicher Cure53-Audit ist von 2021

Cure53 (Berlin) hat NordPass 2020 für Consumer und 2021 für Business auditiert — beide Reports sind als Blogposts verfügbar. Dritte Quellen erwähnen einen neueren Audit-Zyklus (2023/2024), aber NordPass selbst publiziert die aktuelleren Audit-Blogposts nicht so prominent wie Bitwarden (Cure53 mehrfach seit 2018, inkl. 2023) oder Proton Pass (Cure53 2024). Für Audit-Transparenz ist Nord weniger offensiv — die Zertifikate ISO 27001 + SOC 2 Type 2 sind extern verifiziert, aber regelmäßige Pen-Test-Reports wären ein Plus. needs verification: aktueller Cure53-Stand 2024+ über Nord-Account-Manager erfragen.

DSGVO im Detail — die NordPass-Aufstellung

Was NordPass speichert (Zero-Knowledge-Architektur)

• Verschlüsselte Passwort-Vaults (Client-side Encryption — Master-Password verlässt das Gerät nie)
• Account-Metadaten (E-Mail, Plan-Status, gerätegebundene Session-Tokens)
• Sync-State zwischen Geräten (verschlüsselt)
• Audit-Logs für Business-Pläne (Login-Versuche, Sharing-Events, RBAC-Änderungen)

EU-Data-Center für Business — was du explizit anfordern musst

• Business-Plan abschließen (Free / Premium / Family laufen auf Default-Region)
• Im Admin-Panel: Settings → Data Residency → EU (Frankfurt) auswählen
• AVV per Support-Ticket anfordern (Nord-Support antwortet typisch innerhalb 24 h Werktag)
• Subprozessor-Liste auf nordpass.com/legal/subprocessors gegenchecken
• Bestehende US-Region-Accounts: Migration zu EU-Region ist möglich, aber Re-Sync der Vaults nötig (typisch 1-2 h Down-Time)

Compliance-Zertifikate (Stand 2026-05)

• ISO 27001:2022 — Information Security Management (extern verifiziert)
• SOC 2 Type 2 — Operational Effectiveness Report (jährliche Renewal)
• Cure53 Pen-Test — letzter öffentlicher Report von 2021 (Business-Variante); Audit-Zyklen laut Nord aktiv, aber nicht prominent publiziert
• GDPR — Standard-AVV-Template per Support-Ticket erhältlich, Subprozessor-Liste öffentlich

Für DSGVO-konservative Setups (Anwaltskanzleien, Steuerberater, Ärzte): Business-Plan mit EU-Region + AVV deckt 95 % der Compliance-Anforderungen ab. Wer Self-Hosting für 100 % Daten-Souveränität braucht: Bitwarden + Vaultwarden ist strukturell stärker.

Wann lohnt sich Upgrade Free → Premium → Family → Business?

NordPass-Tiers sind klar funktional getrennt. Die Entscheidung hängt weniger am Passwort-Volumen (alle Plans haben unbegrenzten Vault), mehr an Geräte-Anzahl, Sharing-Bedarf und Compliance-Anspruch.

Free reicht solange du …

• nur ein primäres Gerät aktiv nutzt (Desktop ODER Mobile, nicht beides parallel)
• NordPass nur als Single-User-Vault ohne Sharing einsetzt
• auf Data-Breach-Scanner, Password-Health-Report und Emergency Access verzichten kannst
• das Tool gerade testest oder als Backup-PM nutzt

Limitation: Free erlaubt nur 1 aktive Session. Wechsel zwischen Desktop und Mobile loggt das andere Gerät automatisch aus. Bitwarden und Proton Pass sind hier strukturell ergonomischer — ihre Free-Tiers haben unbegrenzte Geräte.

Upgrade auf Premium (~1,65 €/Mo Einstieg, ~2,99 € Renewal) sobald …

• du parallel auf Desktop + Mobile + Tablet arbeiten willst (unbegrenzte aktive Geräte)
• du Data-Breach-Scanner für E-Mail und Kreditkarten gegen bekannte Leak-Datenbanken nutzen willst
• du Emergency Access für Vertrauenspersonen (Partner, Anwalt, Familienmitglied) brauchst
• du Premium-Support 24/7 statt Community-Forum brauchst

Renewal-Realität: Erstvertrags-Preise gelten für 2 Jahre, danach ~2,99 €/Mo bei Jahresabrechnung. Total-Cost-of-Ownership über 3 Jahre liegt damit bei ~75 €, nicht den ~40 € aus dem Einstiegspreis suggeriert.

Upgrade auf Family (~2,79-3,69 €/Mo) sobald …

• du 2+ Personen im Haushalt mit eigenen Vaults versorgen willst (bis 6 User)
• du gezielte Item-Sharing zwischen Familienmitgliedern brauchst (gemeinsame Streaming-Accounts, WLAN-Passwörter)
• du Kinder-Accounts mit eigener Vault-Verwaltung einrichten willst

Family vs 1Password Families: NordPass ist günstiger und deckt 1 User mehr (6 vs 5). 1Password hat mehr Polish in der UX, NordPass die saubereren Krypto-Defaults.

Upgrade auf Business (~3,30 €/User/Mo) nur wenn …

• du SSO (Okta, Azure AD, Google Workspace) für dein Team brauchst
• du EU-Data-Center-Wahl für Compliance benötigst (DACH-Mittelstand-typisch)
• du Group-Sharing mit RBAC (Admin / Member / View-Only) brauchst
• du Vanta-Integration für SOC-2-Audit-Workflows nutzt
• du als Steuerberater:in oder Anwaltskanzlei für Compliance-Audits bist

Pragmatischer DACH-Default: starte mit Free für 1-2 Wochen, springe auf Premium sobald du den ersten zweiten Geräte-Switch-Frust hast. Family/Business sind klare Trigger-Tiers — kein „lohnt sich vielleicht", sondern „brauchst du oder nicht".

Kündigung + Migration zu anderen Passwort-Managern

Anders als bei Buchhaltungs-Software gibt es keine 10-Jahre-Aufbewahrungspflicht — Passwort-Manager sind technisch portabel. Aber das Export-Format-Detail entscheidet, wie schmerzhaft die Migration tatsächlich wird.

Kündigung im Account

• Web-Account: Settings → Subscription → Cancel (Abo läuft bis zum Ende der Laufzeit weiter)
• Family/Business: Owner-Account kündigt für alle Mitglieder; Member werden automatisch auf Free downgraded
• Nord-Family-Bundle: NordPass-Kündigung berührt NordVPN/NordLocker nicht, separat managen
• 30-Tage-Geld-zurück-Garantie für Neu-Käufer (über Web-Checkout, nicht App-Store-Käufe)

Vault-Export — Pflicht VOR Kündigung

Im NordPass-Client: Settings → Import & Export → Export Items. Optionen:

• CSV-Export — Standard-Format, importierbar in 1Password, Bitwarden, Proton Pass, KeePass
• 1Password-1PIF — direkt für 1Password-Migration
• Encrypted ZIP — falls du die Daten archivieren, aber nicht sofort migrieren willst

Achtung CSV-Format: CSVs enthalten Passwörter im Klartext. Direkt nach Migration die CSV-Datei sicher löschen (auf macOS: rm -P, auf Windows: SDelete oder Eraser). Niemals in Cloud-Drive oder E-Mail liegen lassen.

Migration zu Bitwarden

• NordPass CSV-Export → Bitwarden Web-Vault → Tools → Import Data → "Generic CSV"
• Felder-Mapping ist sauber, ~95 % der Einträge wandern korrekt
• Custom-Fields müssen manuell nachgepflegt werden
• Bitwarden Family/Premium ist günstiger als NordPass Premium → für DSGVO-Hardliner mit Self-Hosting-Wunsch der bessere Pfad

Migration zu 1Password

• NordPass 1PIF-Export → 1Password Web-Vault → Import → "1Password Interchange Format"
• 1PIF erhält mehr Metadaten als CSV (Notes-Formatting, Tags) — bevorzugen
• 1Password hat besseren Cross-Device-Sync und Family-Polish — UX-Käufer:innen-Wechsel

Migration zu Proton Pass

• NordPass CSV-Export → Proton Pass Web → Import → Generic CSV
• Proton Pass nutzt eigene Felder-Struktur, manuelle Nachbearbeitung typisch 15-30 Min
• Wenn du Proton Mail + Drive eh nutzt: Cross-Sell-Pfad mit einheitlichem Account

DSGVO-Lösch-Workflow

1. Account-Settings → DSGVO Art. 17-Anfrage stellen
2. Nord-Support bestätigt Löschung (typisch 30-Tage-Frist)
3. Backups laut Subprozessor-Liste werden nach Standard-Retention-Zyklus überschrieben (meist 30-90 Tage je nach Region)
4. Wichtig: Vorher CSV-Export lokal sichern — nach Löschung sind sie weg

Pre-Kündigungs-Backup-Tipp: monatlicher automatisierter Verschlüsselte-ZIP-Export in einen Off-Site-Storage (Backblaze B2, Wasabi) — du hast Audit-Trail + Backup unabhängig vom aktuellen PM-Anbieter.

Für wen lohnt sich NordPass?

NordPass in der Nord-Security-Familie

NordPass ist Teil eines Ökosystems, das in DACH zunehmend Aufmerksamkeit bekommt. Die Nord-Family umfasst aktuell:

• NordVPN — VPN-Service (siehe unseren NordVPN-Test) — bei Praxis-Tests durchgängig als Allrounder mit großer Server-Auswahl bewertet.
• NordPass — Passwort-Manager (dieser Review).
• NordLocker — verschlüsselter Cloud-Speicher (Tresorit-Alternative aus dem Nord-Universum).
• Saily — eSIM-Provider für Reise-Daten.
• NordProtect — Identity-Theft-Schutz, aktuell nur US-Audience verfügbar.
• NordLayer — Enterprise-VPN/ZTNA für Unternehmen.

Wer schon NordVPN nutzt, hat den Nord-Account bereits — NordPass läuft mit gleichem Login. Family-Bundle-Pricing bündelt NordVPN + NordPass + NordLocker und liegt oft 20-30 % unter den Einzelabo-Summen. Für DACH-User:innen ist das ein praktischer Cross-Sell-Pfad ohne neue Konto-Anmeldung.

Empfehlung

NordPass ist 2026 die richtige Wahl für DACH-Mittelstand mit EU-Datenresidenz-Anspruch ohne Self-Hosting-Aufwand — und der logische Cross-Sell für bestehende NordVPN-Nutzer:innen.

Architektonisch hat NordPass mit XChaCha20-Poly1305 + Argon2id einen modernen Krypto-Stack, EU-Headquarters in Vilnius und seit Oktober 2023 wählbares EU-Data-Center für Business. ISO 27001 + SOC 2 Type 2 sind zertifiziert, Cure53-Audits dokumentiert (auch wenn der letzte öffentliche Report von 2021 ist).

Wer einen großzügigen Free-Plan oder Self-Hosting braucht, ist mit Bitwarden besser bedient. Wer maximale Privacy-Position mit Schweizer Jurisdiktion sucht, sollte Proton Pass prüfen. Für 1Password-Polish-UX-Liebhaber:innen bleibt 1Password die Referenz.

Häufig gestellte Fragen