Knackpunkt Kommunikation

„Nein, das kann ich nicht.“ Die Antwort von Anton Carniaux, Chefjustiziar von Microsoft France, schockierte Millionen Microsoft-Kunden & Regierungen in Europa. Warum? Weil Microsoft – wie schlussendlich alle US-amerikanischen Firmen – nicht garantieren kann, dass die Daten europäischer Kunden vor der Weitergabe an US-Behörden geschützt sind. What happens in Europe does not stay in Europe.

Erste systematische Warnungen dazu sprachen Politik, Forschung und Thinktanks bereits während der 2010er Jahre aus. Die Diskussion fand neben den gesellschafts- und gesundheitspolitischen Krisen jedoch schlicht keinen Platz in der Öffentlichkeit. Gerade, als sich ein zartes Gefühl von Normalität und Aufschwung einstellte, kam der Krieg nach Europa und Trump ins Weiße Haus. Und einst verlässliche Partnerschaften waren es plötzlich nicht mehr.

Als der Chefankläger des Internationalen Strafgerichtshofs kurzfristig keinen Zugriff mehr auf seine E-Mails hatte, nachdem die US-Administration Sanktionen gegen das Gericht verhängt hatte, wuchsen die Unruhe und die Unsicherheit: Werden vielleicht nicht nur Daten übermittelt, sondern bei einer weiteren „Verspannung“ der transatlantischen Partnerschaft sogar Cloud-Dienste abgeschaltet? Europa war alarmiert – und treibt seither seine technologische Emanzipation massiv voran. Zum Beispiel mit NIS-2 und KRITIS: Beide Regelwerke zielen darauf ab, die digitale Souveränität zu stärken, indem sie Unternehmen und staatliche Akteure verpflichten, ihre ITSysteme, Lieferketten und Daten wirksam gegen Cyberangriffe abzusichern.

Die Speicherung von Daten in Europa allein garantiert noch keine digitale Souveränität

Die aktuelle Diskussion um digitale Souveränität wird vor allem von infrastrukturellen Themen dominiert. Warum? Infrastruktur lässt sich vergleichen, regulieren und politisch adressieren. Sie passt in bestehende Beschaffungslogiken, erfüllt regulatorische Anforderungen und bietet scheinbar klare Antworten auf komplexe Fragestellungen. Wer den Speicherort von Daten kontrolliert, kontrolliert die Daten selbst. Oder nicht?

Der Schein trügt. Selbst, wenn Informationen in europäischen Rechenzentren gespeichert werden, können nicht-europäische Gesetze oder Plattformarchitekturen dazu führen, dass Dritte Zugriff erhalten oder Daten in übergeordnete Systeme eingebunden werden. Deswegen kann Anton Carniaux den Schutz europäischer Kundendaten nicht garantieren: Weil Microsoft seinen Hauptsitz in den USA hat, unterliegt die Firma der dortigen Gesetzgebung – und muss im Rahmen von Ermittlungsarbeiten persönliche, unternehmensbezogene oder auch geheim eingestufte Daten selbst dann herausgeben, wenn diese Daten im Ausland erzeugt und gespeichert werden.

Vor diesem Hintergrund greift der Fokus auf den Standort von Cloud-Anbietern oder Rechenzentren allein zu kurz. Selbst wenn Daten physisch in Europa gespeichert werden, bleibt die Frage, wer Zugriff auf die Kommunikationsdaten hat – und unter welchen rechtlichen Rahmenbedingungen. Digitale Souveränität entscheidet sich daher nicht nur auf Infrastruktur-Ebene. Sie entscheidet sich vor allem dort, wo die Daten entstehen.

Digitale Souveränität beginnt bei der Kommunikation

Sehr viele sensible Daten entstehen im Bereich der Kommunikation: E-Mails, Telefonate, Chats, Meetings – und auch solche, die gar nicht bewusst wahrgenommen werden, aber weit über die eigentlichen Inhalte hinausgehen.

Jeder Anruf, jede Nachricht und jede Interaktion ist wie ein bunter Briefumschlag: Man muss nicht wissen, was darinsteht, um ein detailliertes Bild der Beziehungen, Abläufe und Entscheidungsstrukturen in Firmen und Verwaltungen zu malen – dazu braucht man nur die Farben der Umschläge. Denn während Inhalte zunehmend verschlüsselt und geschützt werden, bleiben Kommunikations- und Metadaten in vielen Systemen sichtbar und auswertbar. Wer wann wie lange mit wem und wie häufig kommuniziert, lässt sich technisch vergleichsweise einfacher systematisch und automatisiert auswerten als konkrete Inhalte.

Zu diesen unscheinbaren Daten gehören Kontaktdaten und Verzeichnisse: Wer ist erreichbar? Wer gehört zu welcher Organisationseinheit? Welche externen Ansprechpartner bestehen? Sie sind die Grundlage jeder Kommunikation. Hinzu kommen Präsenzinformationen, die Aufschluss geben, wann Kommunikation stattfinden kann. Besonders relevant sind jedoch Verbindungs- und Interaktionsdaten. Dazu zählen:

• Wer kommuniziert mit wem
• zu welchem Zeitpunkt
• über welchen Kanal (Telefon, Chat, Meeting)
• wie häufig und in welchen Mustern

Diese sogenannten Metadaten enthalten keine Gesprächsinhalte – und sind gerade deshalb so aufschlussreich. Denn sie machen informelle Strukturen innerhalb einer Organisation sichtbar, legen zentrale Knotenpunkte und Entscheidungsträger offen und zeigen Abhängigkeiten zwischen Abteilungen oder externen Partnern. Für die öffentliche Hand kann dies besonders sensibel sein. Aus diesen Daten lassen sich beispielsweise Rückschlüsse ableiten zu internen Verantwortungsstrukturen und Eskalationsketten, zu Betriebsprozessen in kritischen Infrastrukturen, zur Notfall- und Krisenkommunikation oder zur Zusammenarbeit mit Dienstleistern und anderen Behörden.

Kommunikationsdaten sind damit weit mehr als „Begleitinformationen“. Sie sind das digitale Abbild der organisatorischen Realität – und deswegen ein unterschätztes Risiko. Besonders, da die dominierenden Kommunikations-Plattformen und Ökosysteme nicht dem europäischen Recht unterliegen. Organisationen haben damit faktisch keine Kontrolle über diese hochsensiblen Daten – weder rechtlich noch technisch. Denn Firewalls, Verschlüsselung oder Zugriffskontrollen schützen Systeme und Inhalte, nicht jedoch die strukturellen Informationen, die durch Nutzung entstehen.

Wie wird Kommunikation souverän?

Zwangsläufig stellt sich die Frage, wie Organisationen ihre Kommunikation souverän gestalten können. Der radikale Ansatz – vollständig auf etablierte Plattformen zu verzichten – ist in der Praxis für die meisten kommunalen Unternehmen keine realistische Option. Zu stark sind bestehende Prozesse, Integrationen und Nutzergewohnheiten gewachsen.

Praktikabler ist der Perspektivwechsel. Nicht die Plattform sollte im Zentrum stehen, sondern die Frage, wo Daten entstehen, wo sie gespeichert werden und wer dauerhaft die Hoheit darüber behält. Daraus lassen sich folgende Prinzipien ableiten:

1. Trennung von Plattform und Datenhaltung
Kommunikationsplattformen sollten nicht zwangsläufig auch die primäre Datenquelle sein. Insbesondere Kontakt- und Organisationsdaten sollten in bestehenden, unternehmenseigenen Systemen verbleiben – etwa in Verzeichnisdiensten, CRM- oder ERP-Systemen.

2. Kontrolle über Kommunikations- und Metadaten
Organisationen müssen nachvollziehen und steuern können, welche Daten entstehen, wo sie verarbeitet werden und wer darauf zugreifen kann. Das betrifft nicht nur Inhalte, sondern insbesondere strukturierende Metadaten.

3. Integration statt Migration
Statt Daten in Plattformökosysteme zu verlagern, sollten bestehende Systeme angebunden werden. Ziel ist es, Kommunikationsprozesse zu unterstützen, ohne die Datenbasis aus der eigenen Kontrolle herauszulösen.

4. Vermeidung struktureller Abhängigkeiten
Vendor Lock-in entsteht nicht nur durch Software, sondern vor allem durch Daten. Je stärker Kommunikationsdaten in proprietären Systemen gebunden sind, desto schwieriger wird ein späterer Wechsel.

5. Transparenz über Datenflüsse
Eine souveräne Architektur zeichnet sich vor allem dadurch aus, dass Datenflüsse klar nachvollziehbar sind – technisch wie rechtlich. Nur so lässt sich beurteilen, ob Anforderungen an Datenschutz und Souveränität tatsächlich erfüllt werden. Diese Prinzipien zeigen: Digitale Souveränität entsteht nicht allein durch Infrastrukturentscheidungen, sondern durch eine bewusste Gestaltung der Datenarchitektur im Hintergrund der Kommunikation. Die zentrale Herausforderung liegt weniger darin, neue Plattformen einzuführen – sondern bestehende Kommunikationslösungen so zu ergänzen, dass die Kontrolle über sensible Daten erhalten bleibt.

Ein Lösungsansatz

Die pragmatische Idee ist, bestehende Systeme weiterhin zu nutzen (etwa für Chat, Meetings oder Telefonie), gleichzeitig jedoch die sensiblen Kommunikationsdaten im eigenen Einflussbereich zu behalten. Konkret bedeutet das: Kontakt- und Organisationsdaten verbleiben in den bestehenden, unternehmenseigenen Systemen, etwa in Verzeichnisdiensten, CRM- oder ERP-Lösungen. Die Kommunikationsplattform greift lediglich auf diese Daten zu, ohne sie selbst dauerhaft zu speichern oder zu verwalten.

So wird die Kommunikationsoberfläche klar von der Datenhaltung getrennt. Für die Nutzer ändert sich dabei wenig. Ansprechpartner sind weiterhin direkt in der gewohnten Umgebung verfügbar, lassen sich übergreifend suchen und unmittelbar für Anrufe, Chats oder Meetings nutzen. Der wichtige Unterschied: Im Hintergrund bleibt die Datenhoheit erhalten.

Ein solcher Ansatz reduziert nicht nur die Abhängigkeit von einzelnen Plattformanbietern, sondern schafft auch Transparenz darüber, wo sensible Kommunikationsdaten entstehen und verarbeitet werden. Gleichzeitig lassen sich bestehende Datenschutz-Anforderungen konsequenter umsetzen, da die Daten nicht in zusätzliche Systeme repliziert werden müssen.

Technisch basiert dieses Modell auf Integrationen, die Daten kontextbezogen bereitstellen, statt sie zu duplizieren. Ein weiterer Vorteil: Kommunikations- und Kontaktdaten müssen nicht in mehreren Systemen parallel gepflegt oder unkontrolliert verteilt werden.

Ein Beispiel für eine solche Architektur ist die Integration von Kommunikations-Lösungen wie XPhone Connect, die bestehenden Plattformen um genau diese Funktionalität erweitern: Kontaktdaten aus unternehmenseigenen Systemen werden in der Kommunikationsumgebung verfügbar gemacht, ohne die Datenhaltung zu verlagern. Als deutscher Hersteller ist das Unternehmen mit allen Anforderungen der DSGVO vertraut – und unterstützt diese mit seiner Kommunikations-Software. Zum Beispiel, indem Daten auf dem Behörden-eigenen Server oder in einer Private Cloud gespeichert werden. So entsteht eine Kommunikationsarchitektur, die sich in bestehende Plattformen einfügt und gleichzeitig die Kontrolle über zentrale Datenstrukturen im eigenen Verantwortungsbereich belässt. Bundesweit nutzen bereits mehrere Hundert Behörden XPhone Connect, darunter die Bundesstand Bonn.

Fazit: Wer Kommunikation nicht kontrolliert, ist nicht souverän

Digitale Souveränität wird noch immer zu oft als Infrastrukturfrage verstanden. Wo stehen die Server? In welchem Land werden Daten gespeichert? Welche Cloud wird genutzt?

Das greift zu kurz.

Denn die eigentliche Abhängigkeit entsteht nicht im Rechenzentrum – sondern dort, wo Organisationen täglich arbeiten: in ihrer Kommunikation. Hier entstehen die Daten, die Abläufe sichtbar machen, Entscheidungswege offenlegen und Strukturen abbilden. Wer diese Daten nicht unter Kontrolle hat, gibt mehr preis als Inhalte – er gibt Einblick in seine Funktionsweise.

Gerade für kommunale Unternehmen ist das keine theoretische Frage. Es geht um Betriebsabläufe, kritische Prozesse und die Fähigkeit, auch unter veränderten politischen oder technologischen Rahmenbedingungen handlungsfähig zu bleiben.

Die Konsequenz daraus ist klar – und für viele Organisationen unangenehm: Digitale Souveränität lässt sich nicht einkaufen und auch nicht allein durch Hosting-Entscheidungen herstellen. Sie entsteht durch Architektur. Durch die bewusste Entscheidung, wo Daten liegen, wie sie genutzt werden – und wer sie kontrolliert.

Oder zugespitzt: Wer seine Kommunikation nicht kontrolliert, bleibt abhängig – unabhängig von der Infrastruktur.