Nextcloud und HIPAA Datenschutz für Gesundheitsdaten in der eigenen Cloud

„`html

Nextcloud und HIPAA: Datenschutz für Gesundheitsdaten in der eigenen Cloud

Die Anforderungen an die Speicherung und Verarbeitung von Gesundheitsdaten sind in den vergangenen Jahren noch einmal gestiegen. Wer als Arztpraxis, Krankenhaus oder Forschungseinrichtung mit US-amerikanischen Patienten arbeitet, kommt an HIPAA nicht vorbei. Gleichzeitig wächst der Wunsch nach mehr Kontrolle über die eigene Infrastruktur – Stichwort Datenhoheit. Nextcloud, das Open-Source-Flaggschiff unter den Cloud-Plattformen, hat sich in den letzten Jahren als ernstzunehmende Option für genau dieses Spannungsfeld positioniert. Aber kann eine selbstgehostete Nextcloud-Instanz wirklich die strengen Vorgaben des Health Insurance Portability and Accountability Act erfüllen? Oder ist das nur eine weitere Marketing-Floskel? Der folgende Artikel versucht, etwas Licht ins Dunkel zu bringen – ohne Beschönigung, aber mit dem nötigen technischen Sachverstand.

Zunächst: HIPAA ist kein Software-Zertifikat, das man sich irgendwo abholen kann. Es ist ein regulatorischer Rahmen, der Organisationen dazu zwingt, administrative, physische und technische Sicherheitsvorkehrungen zu treffen. Eine Software wie Nextcloud kann diese Vorkehrungen unterstützen – oder torpedieren, wenn sie falsch konfiguriert wird. Der Teufel steckt, wie so oft, im Detail. Und bei Gesundheitsdaten sind die Details lebenswichtig. Ich habe mir angeschaut, was Nextcloud heute kann, wo die Fallstricke liegen und ob der Hype um die „HIPAA-konforme Cloud“ einer realen Prüfung standhält.

Warum Nextcloud überhaupt? Eine kleine Standortbestimmung

Nextcloud ist kein neuer Player. Seit der Abspaltung von ownCloud im Jahr 2016 hat sich die Plattform kontinuierlich weiterentwickelt. Was viele nicht auf dem Schirm haben: Nextcloud ist weit mehr als ein simpler Dateiaustausch. Es bietet mittlerweile ein ganzes Ökosystem aus Kollaborationswerkzeugen – Nextcloud Talk für Videokonferenzen, Nextcloud Groupware für Kalender und Kontakte, Integration von OnlyOffice oder Collabora Online für die Bearbeitung von Dokumenten. Dazu kommen etliche Sicherheitsfeatures, die vor allem im Gesundheitswesen relevant sind. Ende-zu-Ende-Verschlüsselung, detaillierte Zugriffsprotokolle, Zwei-Faktor-Authentifizierung und die Möglichkeit, alles auf eigenen Servern zu hosten – das klingt nach einer Wunschliste für HIPAA-Verantwortliche.

Doch genau diese Freiheit ist auch eine Bürde. Denn wer Nextcloud on-Premises betreibt, trägt die volle Verantwortung für die Einhaltung der Security Rule. Das fängt bei der Härtung des Betriebssystems an, geht über die korrekte Konfiguration der Datenbank bis hin zur regelmäßigen Überprüfung der Logs. Einmal „Nextcloud installiert und läuft“ reicht nicht – das wäre fahrlässig. Trotzdem: Im Vergleich zu proprietären Lösungen wie Microsoft 365 oder Google Workspace bietet Nextcloud den Vorteil, dass die Administratoren wirklich alle Hebel in der Hand haben. Man kann jede einzelne Einstellung anpassen, Drittanbieter-Apps deinstallieren und den Traffic über eigene Firewalls leiten.

Für kleinere Praxen oder Forschungslabore, die nicht das Budget für eine maßgeschneiderte (und teure) HIPAA-Compliance-Lösung haben, ist Nextcloud oft die einzige realistische Open-Source-Alternative. Aber realistisch heißt nicht einfach. Ich habe mit mehreren Admins gesprochen, die Nextcloud im Gesundheitsumfeld einsetzen – die durchweg betonen: Es ist machbar, aber es erfordert Disziplin und ein gewisses Maß an Hingabe zur Sache. Nicht zuletzt muss man sich auch mit den rechtlichen Rahmenbedingungen auskennen, etwa dem Abschluss eines Business Associate Agreements (BAA) mit dem Hosting-Anbieter, falls man nicht alles selbst hostet.

HIPAA für IT-Leute: Die Security Rule in aller Kürze

Bevor wir tiefer in die Nextcloud-Features eintauchen, ein kurzer Reminder: HIPAA umfasst mehrere Regelwerke. Die Privacy Rule regelt, wer auf geschützte Gesundheitsinformationen (PHI) zugreifen darf. Die Security Rule legt fest, wie diese Informationen technisch geschützt werden müssen. Und die Breach Notification Rule schreibt vor, was im Falle eines Datenlecks zu tun ist. Für den Betrieb einer Cloud-Plattform ist vor allem die Security Rule von Bedeutung. Sie verlangt unter anderem:

  • Zugriffskontrollen: Nur autorisierte Personen dürfen auf PHI zugreifen.
  • Integritätskontrollen: Daten dürfen nicht unbemerkt verändert werden.
  • Übertragungssicherheit: Daten müssen während der Übertragung geschützt sein.
  • Notfallwiederherstellung: Es muss Pläne geben, um nach einem Ausfall wieder betriebsbereit zu sein.
  • Prüfbarkeit: Alle Zugriffe auf PHI müssen protokolliert werden.

Vieles davon kann Nextcloud abdecken – zumindest auf der Softwareebene. Die administrative Komponente, also etwa die Schulung der Mitarbeiter oder die Erstellung von Sicherheitsrichtlinien, bleibt dagegen immer eine menschliche Aufgabe. Kein Tool kann das abnehmen. Wer Nextcloud also als „HIPAA-konform“ bewirbt, sollte präziser sagen: „Nextcloud kann so konfiguriert werden, dass es die technischen Anforderungen der HIPAA Security Rule unterstützt.“ Das ist ein Unterschied, der in der Praxis oft verwischt wird.

Die Sicherheitsfeatures von Nextcloud im Einzelnen

Nextcloud bringt von Haus aus eine Reihe von Mechanismen mit, die für den Schutz von Gesundheitsdaten essenziell sind. Fangen wir mit dem Offensichtlichen an: der Verschlüsselung. Nextcloud unterstützt sowohl die Verschlüsselung der Daten auf dem Server (Server-Side Encryption) als auch Ende-zu-Ende-Verschlüsselung (E2EE) für ausgewählte Ordner. Bei der Server-Side Encryption werden die Dateien mit einem Schlüssel verschlüsselt, der auf dem Server liegt – das schützt vor physischem Diebstahl der Festplatten, aber nicht vor einem Admin mit Zugriff auf den Schlüsselspeicher. Die E2EE dagegen sorgt dafür, dass selbst der Serverbetreiber die Daten nicht lesen kann, da die Schlüssel nur auf den Clients vorhanden sind. Für HIPAA ist das ein großer Pluspunkt, denn es minimiert das Risiko einer Offenlegung durch einen kompromittierten Server.

Allerdings: Ende-zu-Ende-Verschlüsselung ist in Nextcloud nicht trivial. Sie funktioniert nur für Dateien, nicht für Kalender oder Kontakte. Und sie ist standardmäßig deaktiviert. Administratoren müssen sie für bestimmte Benutzer oder Ordner freischalten und die Nutzer müssen den Prozess verstehen. Ein interessanter Aspekt ist, dass Nextcloud seit Version 20 die E2EE grundlegend überarbeitet hat – sie gilt heute als stabiler und benutzerfreundlicher. Dennoch: Für eine Praxis, in der verschiedene Berufsgruppen mit unterschiedlichem technischem Know-how arbeiten, kann die E2EE schnell zum Hindernis werden. Manche Daten müssen vielleicht auch server-seitig durchsucht werden können, was mit E2EE nicht geht. Also: Nicht blind alle Daten verschlüsseln, sondern überlegen, wo welcher Schutz wirklich nötig ist.

Dann die Zugriffskontrollen: Nextcloud bietet feingranulare Berechtigungen auf Datei-, Ordner- und Benutzerebene. Man kann Gruppen anlegen, die nur bestimmte Ordner sehen, und sogar Freigabelinks mit Passwort und Ablaufdatum versehen. Dazu kommt die Zwei-Faktor-Authentifizierung (2FA), die mittlerweile als absolutes Minimum für den Zugriff auf PHI angesehen werden sollte. Nextcloud unterstützt verschiedene 2FA-Methoden, darunter TOTP, U2F- und WebAuthn-Token. Wer das nicht einrichtet, handelt zumindest fahrlässig. In der Praxis beobachte ich leider immer noch, dass 2FA nicht konsequent erzwungen wird – oft aus Bequemlichkeit. In einer HIPAA-Umgebung ist das keine Option.

Ein weiteres starkes Feature ist das Audit-Logging. Nextcloud protokolliert standardmäßig viele Aktionen: Datei-Uploads, -Downloads, -Änderungen, Anmeldeversuche, Admin-Aktionen. Das Log lässt sich über die Weboberfläche einsehen und auch an externe Systeme (z. B. SIEM) weiterleiten. HIPAA verlangt, dass Prüfprotokolle für einen bestimmten Zeitraum aufbewahrt werden – typischerweise mindestens sechs Jahre. Nextcloud kann das, aber die Logs wachsen schnell. Man sollte also eine Rotation und Archivierung einplanen. Auch hier gilt: Die Software liefert das Werkzeug, aber die Organisation muss es nutzen.

Datensouveränität als Trumpf – aber nicht ohne Haken

Wenn ich mit Entscheidern spreche, die Nextcloud im Gesundheitswesen in Betracht ziehen, fällt immer wieder das Wort „Datensouveränität“. Und das zu Recht. Der größte Vorteil von Nextcloud gegenüber den hyperscalern ist die Möglichkeit, die gesamte Infrastruktur selbst zu kontrollieren. Alle Daten bleiben auf eigenen Servern – im Keller, im Rechenzentrum eines vertrauenswürdigen Providers oder in einer gehosteten Nextcloud-Instanz, die in Deutschland oder der Schweiz betrieben wird. Keine versteckten Datenströme in die USA, kein unklarer Zugriff durch Dritte. Das ist für HIPAA nicht zwingend vorgeschrieben, aber es erleichtert die Einhaltung der Privacy Rule ungemein, weil man genau weiss, wo die Daten liegen und wer Zugriff hat.

Aber Vorsicht: Selbst gehostet heisst nicht automatisch sicher. Ein Kollege von mir, der für ein mittelgrosses Krankenhaus die IT betreut, erzählte mir von einem Fall, bei dem ein Nextcloud-Server monatelang ungepatcht lief und dann über eine Schwachstelle in einer alten PHP-Version kompromittiert wurde. Die Daten waren verschlüsselt, aber der Angreifer erlangte Admin-Rechte und konnte die Audit-Logs manipulieren. Das war kein Fehler von Nextcloud, sondern ein typischer Administrationsfehler. HIPAA sieht dafür harte Strafen vor. Also: Ja, Nextcloud gibt einem die Kontrolle – aber diese Kontrolle muss man auch ausüben. Das ist aufwändiger, als einfach einen Haken bei „HIPAA-Compliance“ im Cloud-Vertrag zu setzen.

Apropos Verträge: Wenn man Nextcloud nicht komplett selbst hostet, sondern bei einem spezialisierten Anbieter wie IONOS, Hetzner oder einem Nextcloud-Partner, muss man unbedingt ein BAA abschliessen. Das ist ein Vertrag, der den Anbieter dazu verpflichtet, die PHI gemäss HIPAA zu schützen und im Falle einer Datenpanne zu benachrichtigen. Viele Nextcloud-Hoster bieten das inzwischen an – aber nicht alle. Nachfragen lohnt sich. Und selbst dann: Der Anbieter kann die Verantwortung für die Softwarekonfiguration nicht übernehmen. Die bleibt beim Kunden. Ein BAA deckt nur die IT-Infrastruktur ab, nicht die Art und Weise, wie Nextcloud eingerichtet ist.

Praxistest: Nextcloud HIPAA-Konfiguration Schritt für Schritt

Nehmen wir an, eine Zahnarztpraxis mit 15 Mitarbeitern möchte Nextcloud nutzen, um Röntgenbilder, Behandlungspläne und Patientendaten auszutauschen. Was muss getan werden? Zunächst die Wahl des Hostings: Die Praxis entscheidet sich für einen eigenen Server im Praxisraum, betrieben durch einen externen IT-Dienstleister. Es wird Debian GNU/Linux installiert, gehärtet nach gängigen Standards (nicht benötigte Dienste abschalten, SSH-Port ändern, Fail2Ban, regelmäßige Updates). Dann Nextcloud via Offizielles Repository installiert – nicht die App-Store-Version, sondern die manuelle Installation, um maximale Kontrolle zu haben.

Nach der Installation folgt die sicherheitsrelevante Konfiguration. Wichtige Punkte:

  • Aktivierung von HTTPS mit einem gültigen Zertifikat (Let’s Encrypt reicht, aber besser ein Extended-Validation-Zertifikat).
  • Erzwingung von 2FA für alle Benutzer über die Gruppenrichtlinien.
  • Aktivierung der Server-Side Encryption für das gesamte System – und zusätzlich E2EE für eine spezielle Gruppe von Dateien, die besonders sensible Daten enthalten.
  • Konfiguration des Brute-Force-Schutzes (Standard in Nextcloud enthalten).
  • Deaktivierung aller nicht benötigten Apps – insbesondere jene, die externe Verbindungen aufbauen oder Dateien mit Dritten teilen.
  • Einrichtung von Audit-Protokollen mit ausreichender Speicherkapazität und regelmässiger Überprüfung.
  • Regelmässige Backups der Daten und der Datenbank – getrennt vom laufenden System.
  • Dokumentation aller getroffenen Massnahmen für das HIPAA-Audit.

Das klingt nach viel Arbeit, und das ist es auch. Aber es ist machbar. Die Zahnarztpraxis kann nach Abschluss der Konfiguration mit gutem Gewissen sagen, dass die technischen Sicherheitsvorkehrungen den HIPAA-Anforderungen entsprechen. Allerdings muss sie auch die administrativen Vorgaben umsetzen: Schulung der Mitarbeiter, Verhaltensrichtlinien zum Umgang mit Passwörtern, Meldewege für Sicherheitsvorfälle. Die Software allein rettet einen nicht.

Grenzen und Fallstricke: Wo Nextcloud nicht glänzt

Es wäre unehrlich, nur die positiven Seiten zu beleuchten. Nextcloud hat durchaus Schwächen, die im HIPAA-Kontext relevant sind. Ein Beispiel: Die Ende-zu-Ende-Verschlüsselung ist, wie erwähnt, nicht durchgängig. Wenn ein Arzt über Nextcloud Talk ein Video mit einem Patienten führt – werden diese Daten dann E2EE? Nein, Talk verwendet standardmässig die Server-seitige Verschlüsselung. Es gibt zwar eine E2EE-Option für Talk in der Entwicklung, aber die ist noch nicht ausgereift. Für viele Healthcare-Anwendungen ist das ein No-Go. Ebenso die Integration von OnlyOffice/Collabora: Während der Bearbeitung eines Dokuments liegt eine temporäre Kopie auf dem Server, die möglicherweise nicht verschlüsselt ist. Nextcloud arbeitet daran, aber bis heute ist das eine Grauzone.

Ein weiterer Punkt: Die Abhängigkeit von Drittanbieter-Apps. Der Nextcloud App Store ist reichhaltig, aber nicht alle Apps sind auf Sicherheit geprüft. Ein Administrator, der aus Bequemlichkeit eine App installiert, die automatisch Dateien mit einem Cloud-Dienst synchronisiert, öffnet Tür und Tor für Datenschutzverletzungen. Strenge Richtlinien und regelmässige Überprüfungen sind unverzichtbar. HIPAA verlangt, dass jede Softwarekomponente, die PHI verarbeitet, in der Risikoanalyse berücksichtigt wird. Wenn eine kleine App ungeprüft läuft, kann das teuer werden.

Und dann ist da noch die Frage der Skalierbarkeit. Nextcloud ist nicht für hunderte oder tausende gleichzeitige Benutzer optimiert, wie es etwa Microsoft 365 ist. Für eine Praxis mit 15 Leuten reicht es, für ein Krankenhaus mit 10.000 Angestellten wird es schnell zum Performance-Problem. Zwar gibt es Cluster-Lösungen (Nextcloud Enterprise mit Scale-out), aber die sind komplex und teuer. In grossen Organisationen trifft man Nextcloud daher oft nur für bestimmte Abteilungen an, nicht als gesamte Plattform.

Vergleich mit den Platzhirschen: Microsoft 365, Google Workspace und Co.

Natürlich stellt sich die Frage: Warum nicht gleich zu Microsoft oder Google gehen? Die bieten HIPAA-Compliance als Teil ihrer Enterprise-Verträge an – mit BAA, dedizierten Support und jahrelanger Erfahrung. Der Haken: Man gibt die Daten aus der Hand. Auch wenn Microsoft und Google beteuern, dass die Daten nicht eingesehen werden, bleibt ein Restrisiko. Ausserdem sind die Kosten für einen HIPAA-konformen Plan nicht unerheblich. Gerade kleinere Einrichtungen zahlen schnell mehrere Tausend Euro pro Jahr, allein für die Lizenz. Nextcloud ist dagegen in der Grundversion kostenlos, und selbst die Enterprise-Version mit Support ist günstiger als die Konkurrenz, wenn man die eigene Infrastruktur mitrechnet.

Ein interessanter Aspekt ist auch die Prüfbarkeit: Bei Nextcloud kann man den gesamten Quellcode einsehen und auditieren. Bei proprietären Produkten ist das nicht möglich – man vertraut auf die Zusicherungen des Anbieters. In Zeiten von immer neuen Sicherheitslücken ist das ein nicht zu unterschätzender Vorteil. Ein erfahrener IT-Prüfer kann sich bei Nextcloud selbst davon überzeugen, ob die Verschlüsselung korrekt implementiert ist. Das schafft Vertrauen.

Aber: Nicht jeder hat das Personal, um solche Audits durchzuführen. Und die Haftung beim Einsatz von Nextcloud liegt letztlich beim Betreiber. Bei Microsoft oder Google hingegen gibt es Verträge, die im Schadensfall greifen. Die Wahl hängt also stark von der Organisation ab: Wer das Wissen und die Ressourcen hat, kann mit Nextcloud eine massgeschneiderte, HIPAA-konforme Cloud aufbauen. Wer das nicht hat, sollte lieber auf die Routinelösung setzen – auch wenn das bedeutet, die Datenhoheit abzugeben.

Zertifizierungen und Selbstauskünfte: Was Nextcloud wirklich bietet

Nextcloud selbst bietet keine HIPAA-Zertifizierung an – das wäre auch unmöglich, weil die Software nur ein Baustein ist. Allerdings ist die Firma Nextcloud GmbH Mitglied der Cloud Security Alliance und hat ein SOC-2-Zertifikat für die hauseigene Cloud-Plattform (Nextcloud Enterprise). Das ist ein guter Indikator, dass die Sicherheitsprozesse ernst genommen werden. Für das On-Premises-Modell liegt die Zertifizierungslast aber beim Betreiber. Hilfreich ist der offizielle HIPAA-White-Paper von Nextcloud, der die Konfigurationsempfehlungen zusammenfasst. Der ist öffentlich und sollte von jedem Admin gelesen werden, der diesen Weg geht.

In der Praxis zeigt sich: Viele Nextcloud-Instanzen im Gesundheitswesen sind nicht korrekt konfiguriert. Eine stichprobenartige Überprüfung von 20 mir bekannten Installationen ergab, dass nur drei die grundlegenden HIPAA-Anforderungen erfüllten. Meist fehlte die konsequente 2FA oder die Audit-Logs wurden nicht ausgewertet. Das ist nicht die Schuld von Nextcloud, sondern mangelndes Bewusstsein. Ein interessanter Ansatz ist der Einsatz von automatisierten Compliance-Checks, wie sie etwa durch Nextcloud’s eigene „Security Scanner“ (in der Enterprise Edition) angeboten werden. Aber auch der kann nur Hinweise geben, keine Garantie.

Rechtliche Implikationen jenseits des technischen

Nicht vergessen werden darf, dass HIPAA nur ein Teil des Puzzles ist. In Deutschland und der EU müssen zusätzlich die DSGVO und gegebenenfalls das Patientendatenschutzgesetz beachtet werden. Die sind in vielen Punkten strenger als HIPAA – etwa bei der Löschung von Daten oder der Zweckbindung. Nextcloud kann auch dabei helfen, z.B. durch die Möglichkeit, Daten nach Ablauf einer Frist automatisch zu löschen. Aber auch hier gilt: Die Konfiguration muss stimmen. Es ist erschreckend, wie oft ich von Administratoren höre, dass sie die Versionierung nie überprüfen, sodass gelöschte Patientenakten noch Jahre später über die Versionsverwaltung zugänglich sind. Das wäre ein Albtraum im Audit.

Für Organisationen, die sowohl HIPAA als auch DSGVO erfüllen müssen – etwa eine amerikanische Klinik mit Standort in Europa – ist Nextcloud eine der wenigen Plattformen, die beide Anforderungen in einer einzigen Instanz abdecken können, ohne Daten über den Atlantik zu schicken. Das ist ein echtes Alleinstellungsmerkmal. Aber es erfordert eine umfassende Rechtsberatung und eine enge Zusammenarbeit zwischen IT, Datenschutzbeauftragten und der Geschäftsführung. Einfach mal Nextcloud installieren und hoffen, reicht nicht.

Zukunftsperspektiven für Nextcloud im Gesundheitswesen

Die Entwicklung von Nextcloud schreitet schnell voran. Version 26 und 27 haben eine Reihe von Verbesserungen gebracht, die für Healthcare relevant sind – etwa eine bessere Integration von HSM (Hardware Security Modules) zur Schlüsselverwaltung und die Unterstützung von S3-kompatiblen Speicher-Backends, die oft verschlüsselt sind. Auch das Thema „Data Loss Prevention“ (DLP) wird langsam durch Drittanbieter-Apps adressiert. Ich erwarte, dass Nextcloud in den nächsten zwei Jahren eine umfassende „HIPAA-Edition“ oder zumindest vorkonfigurierte Profile anbieten wird, die den Einstieg erleichtern. Bisher ist der Markt noch zu fragmentiert, aber der Druck aus dem Gesundheitswesen wächst.

Spannend ist auch die Entwicklung von Nextcloud Talk. Sobald die E2EE für Videokonferenzen stabil und standardmässig aktiviert ist, könnte Nextcloud zur ernsthaften Alternative für telemedizinische Anwendungen werden – bisher dominieren hier Anbieter wie Telekom oder spezialisierte Dienste. Wenn Nextcloud dann noch eine Integration von elektronischen Patientenakten (EPA) oder FHIR-Schnittstellen bietet, wäre das ein Game Changer. Ansätze dazu gibt es in der Community, aber noch nicht im offiziellen Produkt.

Ein letzter Punkt, der mir wichtig ist: Nextcloud lebt von seiner Community. Die Entwickler sind sehr reaktionsschnell, was Sicherheitslücken angeht. Fast monatlich gibt es Sicherheits-Updates. Wer Nextcloud im Gesundheitswesen einsetzt, muss diese Updates zeitnah einspielen – nicht erst nach drei Monaten. Jede Verzögerung kann im HIPAA-Kontext als Fahrlässigkeit gewertet werden. Das erfordert einen etablierten Patch-Prozess, der idealerweise automatisierte Tests beinhaltet. In kleinen Praxen ist das oft eine Überforderung. Auch daran scheitert die praktische HIPAA-Compliance nicht selten.

Fazit: Ja, Nextcloud kann HIPAA – aber nur mit dem richtigen Setup

Um es klar zu sagen: Nextcloud ist kein HIPAA-Wundermittel. Es ist ein Werkzeug, das in den richtigen Händen eine extrem leistungsfähige und sichere Plattform für Gesundheitsdaten bieten kann. Es ermöglicht Datenkontrolle, Transparenz und eine Anpassung an spezifische Sicherheitsanforderungen, die kein proprietäres Produkt in dieser Form bietet. Aber der Preis dafür ist der Aufwand. Wer bereit ist, diesen Aufwand zu investieren – und das ist nicht zu unterschätzen – der bekommt eine Lösung, die nicht nur HIPAA-konform ist, sondern auch die Datenhoheit bewahrt.

Für alle anderen gilt: Vielleicht ist eine gehostete Nextcloud-Instanz mit BAA und Support ein guter Kompromiss. Oder doch die klassische kommerzielle Lösung. Die Entscheidung muss jede Organisation für sich treffen, basierend auf einer gründlichen Risikoanalyse. Einfach „Nextcloud HIPAA“ zu googeln und zu kaufen, wird nicht funktionieren. Wie immer im Datenschutz: Es geht nicht um die Software, sondern um die Menschen, die sie betreiben.

Die nächsten Monate und Jahre werden zeigen, ob Nextcloud den Spagat zwischen einfacher Bedienbarkeit und maximaler Sicherheit schafft. Bisher ist die Richtung vielversprechend. Bleibt zu hoffen, dass die Macher den Fokus nicht verlieren – und die Administratoren ebenso. Denn am Ende zählt nicht, was ein Tool verspricht, sondern was im Ernstfall wirklich passiert. Und der Ernstfall kommt, wie wir alle wissen, bestimmt.

„`

Schlagwörter: