What happens in Europe, stays not in Europe – Microsoft kann nicht garantieren, dass Daten von europäischen Kunden nicht an die US-Regierung weitergegeben werden. Die Unruhe und Unsicherheit ist groß: Werden vielleicht nicht nur Daten übermittelt, sondern bei einer weiteren „Verspannung“ der transatlantischen Partnerschaft sogar Cloud-Dienste abgeschaltet? Europa ist alarmiert – und treibt die digitale Souveränität massiv voran.
Paris, Juni 2025
Der Chefjustiziar von Microsoft France muss in einer öffentlichen Anhörung vor dem französischen Senat des Parlaments zugeben, dass Daten europäischer Bürger nicht geschützt seien vor der Weitergabe an die US-amerikanische Regierung (Quelle: heise.de). Er fügte hinzu, dass dies noch nie eingetreten sei. Microsoft könne Informationsanfragen der USA nur dann ablehnen, wenn sie formal unbegründet sind. Entsprechend würde Microsoft die Gültigkeit aller Anfragen sehr genau überprüfen.
Hintergrund: Microsoft ist, wie alle US-Unternehmen, durch den CLOUD Act dazu verpflichtet, Daten an die US-Behörden weiterzugeben.
Karim Khan, Chefankläger des Internationalen Strafgerichtshof, hat plötzlich keinen Zugriff mehr auf seine E-Mails. Zufall?
Oder eine Folge der Sanktionen, die US-Präsident Donald Trump gegen das Gericht verhängt hatte (Quelle: Tagesschau)?
Die Ursache ist ungeklärt, aber der Vorfall dürfte einen Stein ins Rollen gebracht haben. Denn der Internationale Strafgerichthof gab wenig später bekannt, von Microsoft Office auf eine deutsche Open-Source-Alternative umzusteigen.
Den Haag, November 2025
Digitale Souveränität beginnt dort, wo Organisationen am verwundbarsten sind: bei der Kommunikation.
Wer heute DSGVO-konform kommunizieren will, braucht mehr als „EU-Hosting“ oder Marketing-Versprechen – sondern eine souveräne Kommunikationsplattform, die Kontrolle über Kontakt-, Verbindungs- und Metadaten ermöglicht und nicht von ausländischer Jurisdiktion oder geopolitischen Spannungen abhängig ist.
„Die Sicherheitsversprechen von Microsoft sind auf Sand gebaut.“
„Wir können nicht das Risiko eingehen, dass unser wissenschaftlicher Austausch, unsere sensiblen Daten und unsere strategischen Innovationen nicht-europäischen Akteuren ausgesetzt werden.“
Europa redet nicht mehr nur über digitale Souveränität.
Die Diskussion um digitale Souveränität ist längst keine theoretische mehr. In den europäischen Hauptstädten wird intensiv darüber beraten, wie staatliche Institutionen & öffentliche Einrichtungen ihre digitale Infrastruktur unabhängiger gestalten können. Ziel ist es, die Abhängigkeit von nicht-europäischen Cloud- und Plattformanbietern zu reduzieren und kritische Kommunikationsprozesse resilienter aufzustellen.
Europa handelt.
- Dänemark kündigt Windows und Office auf.
- Frankreich migrierte bereits 550.000 Arbeitsplätze in der Schulverwaltung in eine Open-Source-Software.
- Italien beginnt, sein Militär auf Open-Source umzurüsten.
- Österreich hat diesen Prozess bereits abgeschlossen.
Und in Deutschland?
- Der Bundestag
fordert
mehr Resilienz & Unabhängigkeit von Drittstaaten.
Das gesamte digitale Ökosystem soll auf den Prüfstand gestellt werden (Quelle: heise online). - Das Land Schleswig-Holstein hat Microsoft bereits von 30.000 PC-Arbeitsplätzen eliminiert.
Gerade für Behörden, Kommunen und regulierte Branchen stellt sich die Frage, wie sich DSGVO-konforme Kommunikation, Datenresidenz und tatsächliche Datenhoheit vereinen lassen.
Denn: Die Speicherung von Daten in Europa allein garantiert noch keine digitale Souveränität.
Entscheidend ist, wer technisch und rechtlich Zugriff auf Kommunikations-, Verbindungs- und Metadaten hat – und welcher Jurisdiktion der Anbieter unterliegt.
Digitale Souveränität bedeutet mehr als einen Hosting-Standort in Europa:
-
Kontrolle über die eigene Kommunikations-Infrastruktur
-
Vermeidung von Abhängigkeiten (Vendor Lock-in)
-
Transparenz über Datenflüsse und Metadaten
- Einhaltung regulatorischer Anforderungen wie DSGVO
Für Organisationen wird damit klar:
Wer langfristig handlungsfähig bleiben möchte, braucht eine souveräne Kommunikations-Lösung, die technische, rechtliche und geopolitische Aspekte gleichermaßen berücksichtigt.
„Die Arbeitsfähigkeit des Bundestags darf nicht komplett an der Infrastruktur einiger weniger Großunternehmen hängen.“
Souveräne Kommunikations-Lösung made in Germany
100 % Daten-Hoheit mit XPhone Connect
XPhone bietet eine Unified-Communications-Lösung, die Organisationen echte digitale Souveränität ermöglicht. Als souveräne Kommunikationsplattform „made in Germany“ unterliegt XPhone ausschließlich europäischem Datenschutzrecht – ohne Abhängigkeit von außereuropäischen Rechtsräumen oder exterritorialen Zugriffsmöglichkeiten.
Im Gegensatz zu rein cloudbasierten Modellen entscheiden Sie selbst über das Betriebsmodell: On-Premises im eigenen Rechenzentrum oder in einer kontrollierten Private Cloud. So behalten Sie die vollständige Datenhoheit über Kommunikations-, Verbindungs- und Metadaten – einschließlich Präsenzinformationen und Call Detail Records.
Mit XPhone gestalten Organisationen ihre digitale Kommunikationsstrategie unabhängig, resilient und zukunftssicher – ohne Cloud-Zwang und ohne Kompromisse bei Sicherheit oder Integrationsfähigkeit.
Lernen Sie die DSGVO-konforme UC-Software made in Germany kennen:
TECHNOLOGISCH UNABHÄNGIGe KOMMUNIKATION MIT XPHONE
BEHALTEN SIE DIE TECHNISCHE UND ORGANISATORISCHE KONTROLLE
Kein Vendor-Lock-in
Beliebige SIP-Trunks, Session Border Controller, Hardware & Endgeräte können genutzt & problemlos ausgetauscht werden.
Identitäts- & Verzeichnis-Hoheit
XPhone arbeitet direkt mit dem kundeneigenen Active Directory. Die Identitätsdaten (Wer arbeitet wo, in welcher Abteilung und mit welcher Telefonnummer) verlassen das Unternehmen nicht.
Kein Abfluss von Telemetrie- & Metadaten
Was in XPhone passiert, bleibt in XPhone bzw. auf dem Firmenserver.
Selbstbestimmte Nutzung von KI
Kunden entscheiden selbst über Anbieter, Datenflüsse und Grenzen von KI-Funktionen.
Software made in Germany
XPhone unterliegt ausschließlich der deutschen bzw. europäischen Gesetzgebung wie der DSGVO. Extraterritoriale Gesetze wie der CLOUD Act oder internationale Sanktionen haben keine Auswirkungen auf Verfügbarkeit der Software sowie Datenschutz & Datensicherheit.
Kryptografische Selbstbestimmung
Mit XPhone kontrolliert der Kunde seine eigene PKI (Public Key Infrastruktur) und Zertifikatskette. TLS-Zertifikate, mTLS für SIP-Federation, SRTP-Schlüssel liegen in der Hand des Betreibers. Das heißt: kein externer Key-Escrow, kein Cloud-Provider mit theoretischem Zugriff auf Entschlüsselung.
Sicheres Betriebsmodell
Durch On-Premises-Installation oder Hosting in einer Private Cloud verbleiben Kommunikations- und Kontaktdaten auf dem Firmenserver und damit unter eigener Kontrolle.
Lizenzpolitische Souveränität
Kunden können XPhone zeitlich unbegrenzt in der lizenzierten Version betreiben – auch ohne aktive Wartung. Die Lizenzierung ist transparent, der Funktionsumfang vertraglich fixiert.
Hoheit über Protokolle & Schnittstellen
XPhone setzt auf offene, standardisierte Protokolle (SIP, WebRTC, REST-APIs). Das ermöglicht eine langfristig souveräne Kommunikation, verhindert Vendor-Lock-in und gewährleistet transparente Datenflüsse.
Update- und Patch-Souveränität
Der Kunde bestimmt, wann und ob Updates eingespielt werden.
Lernen Sie die DSGVO-konforme UC-Software made in Germany kennen – in 15 Minuten & unverbindlich
„Dank One-Number-Konzept ist man immer unter der Büro-Durchwahl erreichbar und telefoniert ausschließlich unter dieser nach außen. Dass der Anruf von einer städtischen Nebenstelle kommt, ist quasi die goldene Key Card. Wenn sich unsere Mitarbeitenden mit ihrer Privatnummer z. B. bei einer Bundesbehörde melden, bekommen sie schlicht keine Auskunft.“
450
Behörden & öffentliche Einrichtungen vertrauen bereits auf XPhone.
55.000
Mitarbeiter in den öffentlichen Einrichtungen arbeiten DSGVO-konform mit XPhone.
1 MIO. LIZENZEN
sind weltweit bei Behören & Unternehmen jeder Branche im Einsatz.
FAQ: Digitale Souveränität mit XPhone
Digitale Souveränität, Daten-Souveränität, Datensicherheit, Datenschutz – was ist der Unterschied?
Der Datenschutz konzentriert sich auf die Erhebung und Nutzung personenbezogener Daten: Wer hat darauf Zugriff? Wie werden die Daten verarbeitet? Um den eigentlichen Schutz der Daten geht es dabei nicht direkt – das ist Thema der Datensicherheit: Wie werden sie gespeichert?
Da es nicht nur personenbezogenen Daten gibt, bezieht sich Daten-Souveränität auf die gesamten Daten, die eine Privatperson, ein Unternehmen oder eine staatliche Institution erzeugt – insbesondere deren Kontrolle. Weltweit werden rund 400 Millionen Terabyte pro Tag erzeugt, darunter 720.000 Stunden Videomaterial allein auf Youtube, etwa 5,3 Milliarden Fotos und gut 376 Milliarden versendete E-Mails.
Nur, wer die Kontrolle über die eigenen Daten hat, kann schlussendlich digital souverän bestimmen, was damit wann und wie passiert – vorausgesetzt, er kann seine digitalen Werkzeuge selbstbestimmt nutzen und kontrollieren, ohne von Cloud-Anbietern oder ausländischen Rechtsräumen abhängig zu sein.
Wie unterscheidet sich digitale Souveränität von IT-Sicherheit?
IT-Sicherheit schützt Systeme technisch (z. B. Verschlüsselung, Zugangskontrollen), während digitale Souveränität rechtliche, organisatorische und technische Kontrolle über Systeme und Daten bedeutet. Erst die Verbindung beider schafft echte Unabhängigkeit.
Was ist der „CLOUD Act“ und was sollten europäische Organisationen tun?
Das US-amerikanische Gesetzt „Clarifying Lawful Overseas Use of Data Act“, kurz CLOUD Act, verpflichtet US-Unternehmen seit 2018, Daten im Rahmen von Ermittlungsarbeiten herauszugeben. US-Berhörden erhalten dadurch Zugang zu persönlichen, unternehmensbezogenen oder auch geheim eingestuften Daten – auch dann, wenn diese Daten im Ausland erzeugt und gespeichert werden. Der CLOUD Act setzt EU-Recht, Datenschutzrechte und Rechtsschutzmechanismen der betroffenen Bürger außer Kraft.
Microsoft hat den CLOUD Act öffentlich als „normal“ dargestellt und argumentiert, man würde sich gegen unberechtigte Anfragen wehren. Faktisch hat Microsoft aber im Transparency Report tausende Datenanfragen pro Jahr von US-Behörden beantwortet; der Kunde erfährt davon in der Regel nichts. Microsofts „EU Data Boundary“-Initiative, mit der Daten von europäischen Kunden geschützt werden sollen, ist ein Marketing-Versprechen – kein rechtlicher Schutz gegen den CLOUD Act.
- Client-seitige Verschlüsselung einsetzen: So liegt die Schlüsselhoheit beim Nutzer; der Provider hat keinen Zugriff.
- Open-Source- und EU-ansässige Plattformen nutzen: Technologie und Anbieter unterliegen damit automatisch europäischen Datenschutz- und Compliance-Anforderungen.
- Zero-Trust- und föderierte Architekturen aufbauen: Sie garantieren dezentrale Kontrolle & beschränken den Zugang auf Basis rigoroser Berechtigungen.
Reicht EU-Hosting aus, um digital souverän zu sein?
Nein. Die Speicherung von Daten in Europa (Datenresidenz) bedeutet nicht automatisch digitale Souveränität. Entscheidend ist, ob Anbieter oder Muttergesellschaften exterritorialen Gesetzen unterliegen und ob administrativer Zugriff oder Schlüsselverwaltung außerhalb der eigenen Kontrolle liegen. Digitale Souveränität erfordert daher mehr als EU-Hosting. Sie verlangt juristische, technische und organisatorische Unabhängigkeit.
Was bedeutet „Vendor-Lock-in“ bei Unified Communication und warum verhindert es digitale Souveränität?
Vendor Lock-in beschreibt die Abhängigkeit von einem bestimmten Hersteller. Herstellergebundene Produkte oder Services funktionieren nur in einem bestimmten Ökosystem, harmonieren meist mit weiteren Produkten desselben Herstellers und schaffen im Verbund sogar Mehrwerte. Ein Wechsel auf andere Produkte führt häufig zu Problemen – Stichwort: Inkompatibilität – und/oder hohen Kosten. Beispielhafte Kommunikations-Plattformen sind Microsoft Teams oder Zoom Phone:
- Microsoft Teams nutzt ein proprietäres Signalisierungsprotokoll. Eine SIP-Anbindung ist nur über zertifizierte Session Border Controller mit „Direct Routing" oder den kostenpflichtigen „Operator Connect"-Weg möglich. Da Microsoft darüber entscheidet, welche SBC-Hersteller zertifiziert werden, ist der Kunde in der Auswahl eingeschränkt und von Microsofts Zertifizierungspolitik abhängig. Außerdem erfordert die Nutzung von Teams Azure Active Directory (Entra ID) als Identitätsprovider. Dadurch liegt das Unternehmensverzeichnis in Microsofts Cloud und ist damit potenziell angreifbar.
-
Im Gegensatz dazu unterstützt Zoom Phone zwar SIP-Trunking, aber nur über Zooms eigene „BYOC"-Architektur, die den Datenverkehr durch Zooms Cloud-Infrastruktur routet. Echtes lokales SIP-Processing ohne Cloud-Beteiligung ist nicht vorgesehen. In Zooms Cloud werden selbst bei SSO-Integration über SAML/OIDC Nutzerdaten, Benutzerprofile, Kontaktlisten und Organisationsstrukturen repliziert.
- XPhone kommt ohne Vendor-Lock-in auf proprietäre Signalisierung: Kunden können XPhone auf ihre bestehende Infrastruktur aufsetzen oder den technischen Unterbau flexibel modernisieren, ohne die Funktionalität der UC-Lösung einzuschränken. XPhone funktioniert auch ohne Telefonanlage.
Was ist eine Public Key Infrastruktur (PKI) und wie trägt sie zur digitalen Souveränität bei?
Eine Public Key Infrastruktur (PKI) bezeichnet ein strukturiertes System, mit dem sich digitale Zertifikate erzeugen, verwalten, verteilen und prüfen lassen. Diese dienen der sicheren digitalen Identifizierung von Personen, Maschinen und Diensten und werden zur Absicherung computergestützter Kommunikation verwendet.
Eine eigene PKI ermöglicht es Organisationen und Staaten:
- eigene digitale Schlüssel und Zertifikate zu nutzen, anstatt auf öffentliche Zertifizierungsstellen (Certificate Authorities, CAs) zurückgreifen zu müssen. Das reduziert Abhängigkeiten von ausländischen Anbietern und mindert geopolitische Risiken.
- zu definieren, welche digitale Identitäten (Benutzer, Geräte wie z. B. IP-Telefone & Dienste) vertrauenswürdig sind. VoIP-Daten werden über öffentliche Netze übertragen. Durch PKI kann gewährleistet werden, dass ein Kommunikationspartner tatsächlich der ist, für den er sich ausgibt, was besonders wichtig ist, um kritische Infrastrukturen (KRITIS) zu schützen.
- Verschlüsselungsschlüssel für VoIP-Daten sicher zu verteilen: Nur autorisierte Parteien können so die Gespräche entschlüsseln. Dies schützt vor Abhörmaßnahmen und stärkt die Datensouveränität.
- die Übermittlung von Sprachdaten vor Manipulation zu schützen.
Warum ist Metadatenschutz in der Unternehmenskommunikation wichtig?
Metadaten (wer, wann, wie lange kommuniziert) sind strategisch sensibel. Die Information, wer wann mit wem, wie lange, von welchem Gerät und aus welchem Netzwerk kommuniziert, ist nachrichtendienstlich oft wertvoller als der konkrete Gesprächsinhalt. UC-Plattformen sammeln diese Telemetrie-Daten, etwa um mit der Anruf-Auswertung von XPhone Lastspitzen zu identifizieren & zu prognostizieren. Entscheidend ist, was dann damit passiert:
- Zoom hat nachweislich Nutzungsdaten an Facebook weitergeleitet (über das Facebook SDK in der iOS-App), selbst bei Nutzern ohne Facebook-Konto. Die Zoom-Datenschutzrichtlinie erlaubt die Nutzung von Kundendaten für „Produktverbesserungen" und KI-Training – ein Opt-out ist zwar möglich, aber nicht der Standard.
- Microsoft Teams überträgt Nutzungsdaten wie Meetingdauer, Antwortzeiten, Kommunikationsmuster und sogar zur Fokuszeit in Microsofts Cloud, wo sie analysiert werden. Auch dann, wenn der Kunde dies deaktiviert. Ein Punkt, den das Bundesamt für Sicherheit in der Informationstechnik in seinen Empfehlungen zu Microsoft 365 explizit kritisiert.
XPhone erzeugt zwar auch Anrufdatensätze (Call Detail Records) und Anwesenheitsprotokolle (Presence-Logs). Bei der On-Premises-Lösung verbleiben die Metadaten im Gegensatz zu Cloud-Plattformen aber stets im geschützten Firmennetzwerk. Der Schutz dieser Daten verhindert Rückschlüsse auf Organisationsstrukturen und Kommunikationsmuster und ist somit ein zentraler Baustein für DSGVO-Konformität & digitale Souveränität.
Welche Rolle spielt die Update- bzw. Release-Strategie?
Kommunikations-Plattformen wie Microsoft Teams oder Zoom rollen Updates automatisch und ohne Zustimmung des Nutzers aus. Im besten Fall erscheinen oder verschwinden Features ungewollt oder die Benutzeroberfläche verändert sich (nicht immer zum Positiven). Deutlich größer kann der Impact sein, wenn APIs „deprecated“ (als veraltet eingestuft) werden. Im schlimmsten Fall werden bestehende Zertifizierungen invalid, ohne dass der Kunde es verhindern kann. Ein Compliance-Albtraum insbesondere in regulierten Branchen.
XPhone setzt auf Rolling Releases, wodurch neue Funktionen und regulatorische Anpassungen regelmäßig ausgerollt werden. Der Kunde kann dabei jederzeit bestimmen, ob er ein Release einspielen oder die Software im Status quo weiter nutzen möchte.
Warum ist die Nutzung von KI-Funktionen in XPhone sicherer als bei Cloud-Plattformen?
Bei XPhone liegt die Entscheidung über KI-Nutzung vollständig beim Kunden: Wer MCP-Server oder KI-Anbindungen nutzen will, entscheidet selbst über Anbieter, Datenflüsse und Grenzen.
Bei Microsoft verarbeitet
Copilot Meeting-Transkripte, Chat-Inhalte und Dateien aus Teams, um
Zusammenfassungen und Vorschläge zu generieren. Diese Verarbeitung findet in
der Cloud statt. Für Kunden ist nicht transparent nachvollziehbar, ob
und wie diese Daten für das Training von KI-Modellen verwendet werden.
Microsoft hat die Nutzungsbedingungen mehrfach angepasst, stets zugunsten
erweiterter Datennutzung. Auch Zoom hat seine AGB so geändert, dass Kundendaten für KI-Training
genutzt werden dürfen. Nach massivem Widerstand wurde ein Opt-out eingeführt. Die Tatsache, dass ein Opt-out statt Opt-in nötig ist, zeigt die
Grundhaltung.