Deshalb ja die Frage was du darunter verstehst. Mir fällt jetzt kein Land ein, dass ich in diesem Zusammenhang als frei bezeichnen würde. So wie ich das sehe gibt es Länder, die riesige Geheimnisse tragen (geheime Gesetze, geheime Gerichte, geheime Interpretationen, geheime Abkommen, geheime politische Instrumente, geheime Militär-/Spionagebasen - alles allein durch die Geheimhaltung nicht wirklich demokratisch, weil das Volk wohl kaum über etwas wovon es nichts weiß entscheiden kann), Ländern, denen es egal ist, ob ihre dreckigen Praktiken bekannt sind und Mischungen daraus. In Europa ist es meist eine Mischung aus beidem. Zumindest fällt mit spontan kein Gegenbeispiel ein.
Aber wie gesagt, ich würde Server X nehmen und keinesfalls auf den Provider auch nur im Entferntesten vertrauen. Wenn du das tust, dann machst du meines erachtens ohnehin einen Fehler, denn nach anständiger Verschlüsselung (eben allem voran OTR) geht's um Metadaten und werden ja ohnehin auf allen möglichen Enden gesammelt.
Wenn du Metadaten sammeln vorbeugen willst, dann ist XMPP nicht unbedingt was du willst. Dann entweder auf eine Zukunft von
Pond (oder vielleicht Freenet, GNUnet und andere Sachen) hoffen, denn nach der Verschlüsselung geht es um ein "wer mit wem" und wenn da zwei Leute kommunizieren, vielleicht sogar auf zwei verschiedenen Servern, dann haben mindestens dein Provider, der Provider der anderen Person, die Leute, die den bzw. die Server betreiben, so wie die ISPs dahinter, etc. diese Informationen und kann sogar in vielen Fällen auf den Inhalt schließen. Tor kann da ein wenig helfen deine Verbindung von einem Exit-Node zustande kommen zu lassen, was es schwerer macht, aber wenn da zwei Leute zur selben Zeit online gehen, sich zu XMPP-Servern verbinden, etc., dann entspricht das ungefähr dem, was man auch sonst weiß.
Ist eben je nach Grad der Paranoia, die man hat, aber ich würde sehr empfehlen nicht in die Falle zu tappen und dann erst wieder jemanden blind vertrauen, denn gerade so große Vertrauenspersonen sind häufig Angriff von allen möglichen Formen von Attacken, lassen trotzdem Buggy Code laufen, etc. Je mehr du in Richtung dezentral gehst und das ist sowohl eigener Server, als auch lokal verschlüsseln, desto größer ist für gewöhnlich die Hürde Teil eines generellen Daten Abgreifens zu sein.
Und um nochmal auf Gesetze zurückzukommen. Ich will zwar jetzt nicht allzu politisch werden aber mal ehrlich, die USA scheinen nicht die Einzigen mit geheimen Gesetzen zu sein. Österreich hat geheime Abkommen, Deutschland hat ein
Gesetz zur Beschränkung des Brief-, Post- und Frenmeldegeheimnisses im Grundgesetz und wenn man auf Skandinavien hofft muss man feststellen, dass die USA dort für die Sicherheit verantwortlich sind. Als frei in diesem Zusammenhang würde ich keines dieser Länder bezeichnen.
Ich auch nur geschrieben, dass das die Situation ist und keinen der beiden vorgeschlagen, sondern gemeint man solle zum CCC (der unter DOS-Attakcken steht) gehen oder einen Server betreiben sollte.
Kurzum: Bitte, bitte vertraut keinesfalls darauf, dass ein Land euch was vor irgendwas schützt, vor allem nicht, wenn es hart auf hart kommt. Ein gut bezahlter Anwalt hilft vielleicht ein wenig, aber außerhalb von politische Aktivität sollte man seine Sicherheiten eher auf der technischen Seite suchen. Schlussendlich könnt ihr weder wissen, was mit dem nächsten Gesetz passiert, ob sich Leute an Gesetze halten, wie im schlimmsten Fall der Richter drauf ist, ob es irgendwas von den oben genannten geheimen Sachen gibt.
Ja, ich weiß schon, man kann trotzdem das Beste nehmen, nur zum Einen hat man dann das Problem, dass dort dann alle sind und es deshalb gezielte Attacken gibt (ob jetzt politisch oder anders) und zum Anderen kann(!) das dazu führen, dass man glaubt man ist eh relativ sicher vor irgendwas. Soll heißen: Ja, wäre toll in einem tollen Land zu sein, aber passt auf, dass euch das nicht zu sehr täuscht.
) gibt es Conversations (per F-Droid kostenlos) oder Xabber, beide können OTR (aber es darf nur 1 OTR-Schlüssel pro Account installiert sein und dieser ist nicht importierbar/exportierbar).