Man mag es kaum glauben, aber es gibt tatsächlich noch Software, die hält, was sie verspricht. Nicht immer, nicht perfekt, aber im Kern überraschend solide. Die Rede ist von Nextcloud, dieser Plattform, die sich in den letzten Jahren vom Geheimtipp zum Standard entwickelt hat – zumindest in jenen Kreisen, die Wert auf Datenhoheit legen. Dass dieses Produkt aus Deutschland kommt, spielt dabei eine nicht zu unterschätzende Rolle. Nicht aus Patriotismus, sondern weil hierzulande die DSGVO nicht nur auf dem Papier existiert, sondern auch Konsequenzen hat. Und genau hier, an der Schnittstelle von Open Source, Cloud-Infrastruktur und europäischem Datenschutz, liegt der besondere Reiz von Nextcloud. Aber der Reihe nach.
Mehr als nur eine Cloud – die Grundidee hinter Nextcloud
Als 2016 der Vorgänger ownCloud zerfiel und die Entwickler sich trennten, hätten viele einen Stillstand erwartet. Stattdessen entstand mit Nextcloud etwas, das man durchaus als zweite Generation bezeichnen kann. Die Idee: Ein synchronisierter Dateispeicher, der auf dem eigenen Server läuft, erweitert um Kollaborationswerkzeuge, Kalender, Kontakte, E‑Mail, Videokonferenzen und – ja – auch um eine Art Office-Paket. Klingt nach einem Rundumsorglos-Paket, ist es aber nicht ganz. Denn die Stärke liegt nicht in der Funktionstiefe jedes einzelnen Moduls, sondern in der Integration. Man muss sich nicht mehr zwischen Dropbox, Google Drive, Zoom und Slack hin- und herbewegen. Sondern hat ein zentrales System, das selbst verwaltet wird. Das ist der Punkt, der für viele Administratoren und Entscheider zählt: Kontrolle.
Nun ist Nextcloud kein Hexenwerk. Die Installation ist dank Docker-Images und vorgefertigter Appliances vergleichsweise einfach. Wer schon einmal einen LAMP-Stack konfiguriert hat, kommt schnell zurecht. Aber die eigentliche Herausforderung liegt woanders: im Betrieb. Updates, Backup, Skalierung, Integration in bestehende Verzeichnisdienste – das sind die Aufgaben, die den Unterschied zwischen einer gut laufenden und einer ständig kränkelnden Instanz ausmachen. Und hier kommt ein Aspekt ins Spiel, der oft unterschätzt wird: Die Community und die professionellen Dienstleister drumherum. Nextcloud hat ein ausgeprägtes Ökosystem, vom App-Store über Partner bis hin zu Enterprise-Support. Das ist nicht selbstverständlich für ein Open-Source-Projekt.
GDPR-Konformität als Geschäftsmodell
Man muss kein Jurist sein, um zu verstehen, dass die DSGVO für viele Unternehmen ein Albtraum in Sachen Cloud ist. Jeder, der personenbezogene Daten in die USA überträgt, hat spätestens seit Schrems II ein mulmiges Gefühl. Die europäischen Datenschutzbehörden schauen genauer hin, und die Bußgelder können existenzbedrohend sein. Vor diesem Hintergrund ist Nextclouds Fokus auf GDPR nicht nur ein Marketing-Gag, sondern ein ernstzunehmendes Argument. Die Software ist so konzipiert, dass sie die Anforderungen der Datenschutzgrundverordnung standardmäßig erfüllt – wenn man sie korrekt betreibt. Das bedeutet: Daten bleiben auf dem Server, der Server steht in der EU (oder zumindest in einem Drittland mit angemessenem Schutzniveau). Der Administrator hat volle Kontrolle über Zugriffsrechte, Verschlüsselung und Protokollierung.
Ein interessanter Aspekt ist die Ende-zu-Ende-Verschlüsselung. Nextcloud bietet sie optional an, allerdings nicht ohne Kompromisse. Denn wenn der Server die Daten nicht mehr entschlüsseln kann, fallen bestimmte Funktionen wie die serverseitige Volltextsuche oder Vorschauen weg. Das ist ein klassischer Zielkonflikt: Sicherheit gegen Komfort. Entscheider müssen hier abwägen, welche Daten wirklich einer solchen Verschlüsselung bedürfen. In der Praxis sieht man oft Hybridmodelle: allgemeine Dateien werden serverseitig verschlüsselt, hochsensible Dokumente erhalten zusätzlich eine clientseitige Verschlüsselung. Das ist machbar, erfordert aber eine klare Richtlinie.
Nicht zuletzt spielt die Audit-Funktion eine wesentliche Rolle. Die DSGVO verlangt, dass Unternehmen nachweisen können, wer wann auf welche Daten zugegriffen hat. Nextcloud protokolliert das granular. Ob Logins, Dateioperationen oder Freigaben – alles wird festgehalten. In der Enterprise-Version gibt es sogar eine direkte Integration in SIEM-Systeme. Das ist nicht nur für Compliance wichtig, sondern auch im Falle einer internen Untersuchung oder eines Data Breaches Gold wert. Man sollte aber nicht unterschätzen, dass diese Logs selbst wieder personenbezogene Daten enthalten und daher ebenfalls geschützt werden müssen. Ein Kreislauf der Sorgfalt.
Die Sache mit den Apps und der Erweiterbarkeit
Nextcloud lebt von seinen Apps. Der offizielle App-Store enthält hunderte Erweiterungen, aber nicht alle sind gleich gut gepflegt. Da gibt es Perlen wie den Group-Ordner oder die Puzzled-Integration für Law and Order in Datenbeständen. Aber auch so manches Schrottstück, das seit Jahren nicht mehr aktualisiert wurde. Der Admin muss hier selektieren, was er wirklich braucht. Weniger ist oft mehr. Jede App erhöht die Angriffsfläche und den Wartungsaufwand. Gerade bei sicherheitskritischen Umgebungen sollte man genau prüfen, ob eine App notwendig ist oder ob es nicht einen schlankeren Weg gibt.
Ein Beispiel: Die Nextcloud Talk-App. Sie ersetzt nicht nur Slack oder Teams, sondern auch Telefonie – zumindest in Grundzügen. Wer einmal Videokonferenzen mit 20 Teilnehmern über die eigene Nextcloud-Instanz gemacht hat, weiß: Es funktioniert, aber die Performance hängt stark von der Serverleistung und der Netzwerkanbindung ab. Für ein kleines Team ist das völlig in Ordnung. Für 500 Mitarbeiter wird man vermutlich eher zu einer dedizierten Lösung greifen. Aber die Integration ist gut: Besprechungen lassen sich direkt aus Dateien heraus starten, Screensharing und chat sind dabei. Das ist ein Produktivitätsschub, der nicht von der Hand zu weisen ist.
Neben Talk gibt es Nextcloud Office, das auf Collabora Online basiert. Auch hier: Es reicht für die alltäglichen Dinge. Tabellenkalkulation mit 100.000 Zeilen? Eher nicht. Aber für Briefe, Präsentationen und einfache Kalkulationen absolut ausreichend. Der Clou: Es läuft alles im Browser, keine lokale Installation nötig. Und weil es auf dem eigenen Server läuft, bleiben die Daten dort. Kein Datenleck über externe Office-Kollaborationsplattformen.
Infrastruktur und Skalierung nicht vernachlässigen
Ein Fehler, den ich immer wieder sehe: Nextcloud wird auf einen kleinen VPS installiert, und dann wundert man sich, dass es langsam wird. Nextcloud ist kein leichtgewichtiges Ding. Es braucht einen ordentlichen Web-Server, eine performante Datenbank (PostgreSQL ist hier die erste Wahl, weil es bei parallelen Zugriffen besser skaliert als MySQL), Redis für Caching, und vor allem ausreichend Speicher-I/O. Die Datenbank ist oft der Flaschenhals. Wenn man dann noch die Volltextsuche aktiviert, wird es kritisch. Elasticsearch oder der eingebaute Volltextindex brauchen Ressourcen. Meine Empfehlung: Vor der Installation genau durchrechnen, was man braucht. Und dann lieber etwas großzügiger dimensionieren.
Ein weiterer Punkt: Backup und Recovery. Das wird oft sträflich vernachlässigt. Nextcloud bietet keine eingebaute Backup-Funktion, die wirklich alles sichert. Man muss selbst eine Strategie entwickeln: Dateien, Datenbank, Konfiguration und vor allem die Datenbank. Ein typisches Vorgehen ist: tägliches Datenbank-Dump, stündliche Snapshots des Dateisystems, und beides an einen externen Standort replizieren. Klingt aufwendig, ist es auch. Aber wer schon einmal eine kaputte Datenbank wiederherstellen musste, weiß, dass dieser Aufwand sich lohnt. Es gibt gute Drittanbieter-Tools und Playbooks für die Automatisierung. Wer nicht selbst Hand anlegen will, kann auf Nextclouds Enterprise-Support zurückgreifen, der auch Backup-Komponenten anbietet.
Nextcloud im Vergleich zu den Großen
Man kann Nextcloud nicht sinnvoll mit Microsoft 365 oder Google Workspace vergleichen, ohne den entscheidenden Unterschied zu nennen: den Ort der Daten. Bei den US-Riesen laufen die Daten auf Servern, die dem US-amerikanischen Recht unterliegen – mit allen Implikationen durch CLOUD Act und ähnliche Gesetze. Das mag für manche Unternehmen irrelevant sein, für andere ist es ein Ausschlusskriterium. Nextcloud setzt dagegen auf Souveränität. Der Haken daran: Man trägt die Verantwortung selbst. Kein Anbieter, der einem den Betrieb abnimmt. Zwar gibt es gehostete Nextcloud-Angebote von verschiedenen Providern, aber auch hier muss man sich über den Standort und die Verträge im Klaren sein. Nicht jeder Hosting-Partner ist gleich sorgfältig mit den Daten.
Ein anderer Punkt ist die Lizenzökonomie. Nextcloud ist Open Source (AGPLv3), aber die Enterprise-Features sind kostenpflichtig. Das ist ein gängiges Modell, ähnlich wie bei GitLab oder Red Hat. Die Grundfunktionen sind frei, wer zusätzliche Sicherheits- und Compliance-Features braucht, zahlt. Das ist fair. Aber man sollte vorher genau wissen, welche Features man wirklich benötigt. Die Enterprise-Version für 50 User kostet nicht die Welt, aber die Kosten steigen linear mit der Benutzerzahl. Für große Organisationen kann das schnell fünfstellige Beträge pro Jahr bedeuten. Im Vergleich zu Microsoft ist das immer noch günstig. Aber es ist nicht umsonst.
Ein interessanter Randaspekt: Nextcloud bietet auch eine sogenannte “Branding”-Funktion, mit der man das Webinterface an die Corporate Identity anpassen kann. Das ist besonders für Dienstleister interessant, die ihren Kunden eine Cloud anbieten, ohne dass diese erkennen, dass es sich um Nextcloud handelt. Ein schöner Zug, der die Flexibilität unterstreicht.
Praxisnahe Tipps für den Betrieb
Wenn ich in Gesprächen mit Admins auf Stolpersteine stoße, dann sind es meist diese: Fehlkonfiguration des Caches, falsche PHP-Einstellungen oder vergessene Cronjobs. Nextcloud setzt darauf, dass bestimmte Aufgaben regelmäßig über den Hintergrund ausgeführt werden (URL-Crawling, Log-Rotation etc.). Wenn der Cronjob nicht läuft, stauen sich diese Aufgaben und die Performance leidet. Man sollte also unbedingt systemd-Timer oder einen zuverlässigen Cron-Dienst einrichten. Und dann regelmäßig kontrollieren, ob der auch wirklich läuft. Klingt banal, wird aber oft vergessen.
Ein weiteres typisches Problem: Die Upload-Limits. Standardmäßig erlauben PHP und Nginx oder Apache nur Dateigrößen von 2 MB oder 8 MB. Das muss man anpassen, wenn man größere Dateien wie Videos oder Archive hochladen will. Auch die Timeout-Einstellungen spielen eine Rolle. Nichts ist ärgerlicher als ein Upload, der nach 30 Sekunden abbricht. Hier hilft es, die Werte in php.ini, nginx.conf und der Nextcloud-Konfiguration zu erhöhen. Nebenbei: Die Dateien werden standardmäßig auf dem Server gespeichert. Man kann aber auch externe Speicher wie S3-kompatible Objektspeicher anbinden. Das ist besonders interessant für skalierbare Lösungen, erhöht aber die Komplexität.
Und noch etwas zum Thema Update: Nextcloud bringt etwa alle paar Monate ein neues Minor-Release heraus, dazu regelmäßig Sicherheitspatches. Wer auf einem Major-Release springt, sollte vorher die Kompatibilität aller installierten Apps prüfen. Ein unvorbereitetes Update kann zu einer nicht funktionierenden Instanz führen. Das Update selbst ist über das Webinterface oder die Kommandozeile möglich. Letzteres ist zuverlässiger. Ein Tipp: Vor jedem Update ein vollständiges Backup machen – und das nicht nur einmal, sondern jedes Mal. Ja, das ist lästig. Aber es erspart viel Ärger.
Die Rolle des Datenschutzbeauftragten
Datenschutz ist kein Add-on, sondern ein Prozess. Nextcloud kann Werkzeuge liefern, aber die Verantwortung bleibt beim Betreiber. Ein Datenschutzbeauftragter sollte unbedingt in die Planung einbezogen werden. Denn die DSGVO verlangt eine Datenschutz-Folgenabschätzung, wenn personenbezogene Daten verarbeitet werden. Das betrifft auch die Verwendung von Nextcloud. Der Gesetzgeber erwartet, dass man dokumentiert, welche Daten wo liegen, wer darauf zugreifen kann und wie die Löschfristen aussehen. Nextcloud bietet Funktionen wie automatisierte Ablaufregeln für Dateien und eine rechtssichere Löschung. Aber das muss konfiguriert und überwacht werden.
Ein interessanter Punkt: Die DSGVO sieht auch das Recht auf Datenübertragbarkeit vor. Nextcloud unterstützt das über den Export von Benutzerdaten im gängigen Format. Das ist mehr, als viele kommerzielle Anbieter bieten. Auch das Recht auf Vergessenwerden ist umsetzbar: Ein Administrator kann Benutzer mitsamt all ihrer Daten endgültig löschen. Das klingt selbstverständlich, ist es aber nicht bei vielen Cloud-Diensten, wo Daten oft in Backups verbleiben. Nextcloud gibt die Kontrolle.
Offene Wunden: Die Herausforderungen
So begeistert ich von der Idee bin, ich will nicht schönreden. Nextcloud hat auch seine Schwachstellen. Die Oberfläche wirkt manchmal überladen, vor allem wenn viele Apps installiert sind. Die mobilen Apps sind funktional, aber die Synchronisation kann hakelig sein – insbesondere bei vielen kleinen Dateien. Auch die Suchfunktion ist verbesserungswürdig. Volltextsuche über große Datenbestände hinweg ist nicht immer performant. Und das Thema Videokonferenzen: Für zwei Personen okay, aber sobald mehr als zehn Teilnehmer gleichzeitig reden, ruckelt es gerne mal. Das liegt nicht nur an Nextcloud, sondern auch an der zugrunde liegenden Technik und der Netzwerklatenz. Aber es ist ein Fakt.
Ein weiteres Problem: Die Abhängigkeit von PHP. Die Sprache ist nicht gerade für ihre Performance bekannt. Nextcloud arbeitet daran, aber ein Wechsel zu einer kompilierten Sprache steht nicht zur Debatte. Für die meisten Anwendungen reicht die Leistung aus, aber wer Hunderttausende von Benutzern hat, wird sich überlegen, ob Nextcloud die richtige Wahl ist. Dafür sind dann eher die großen Anbieter oder spezialisierte Lösungen die bessere Option.
Und dann wäre da noch die Sache mit dem Support. Die Community ist aktiv, aber nicht immer schnell. Für kritische Produktionssysteme sollte man einen Support-Vertrag abschließen. Nextcloud GmbH bietet da verschiedene Stufen. Der Preis ist akzeptabel, aber man sollte nicht erwarten, dass ein Ticket innerhalb von Minuten beantwortet wird. Reaktionszeiten von ein paar Stunden sind realistisch. Das ist in Ordnung, aber nicht mit dem Niveau eines 24/7-Angebots von Microsoft zu vergleichen. Aber hey, man bezahlt auch nur einen Bruchteil.
Integration in die bestehende Landschaft
Nextcloud ist kein Inselprodukt. Es lässt sich gut in Active Directory oder LDAP einbinden, sodass Benutzer aus dem zentralen Verzeichnis kommen. Auch Single Sign-On über SAML oder OAuth ist möglich. Das ist besonders für Unternehmen wichtig, die nicht noch ein weiteres Passwort verwalten wollen. Die Einrichtung ist nicht trivial, aber es gibt gute Dokumentationen. Einmal eingerichtet, funktioniert es zuverlässig.
Für Entwickler bietet Nextcloud eine API und Webhooks. Man kann also Eigenentwicklungen anbinden, etwa eigene Authentifizierungslösungen oder Workflows. Der App-Store ist auch für Unternehmen nutzbar, die eigene Apps veröffentlichen möchten. Allerdings ist die Entwicklung von Nextcloud-Apps nicht ganz einfach, da man sich mit der MVC-Struktur und den Besonderheiten von PHP und JavaScript auseinandersetzen muss. Aber für einen erfahrenen Webentwickler ist das machbar.
Ein weiterer wichtiger Punkt: Die Migration von bestehenden Systemen. Umstieg von ownCloud? Relativ einfach, da Nextcloud ein Migrationsskript mitbringt. Umstieg von einer proprietären Cloud wie Dropbox oder Google Drive? Da wird es schon schwieriger, denn Nextcloud importiert keine Daten direkt. Man muss die Dateien manuell oder über Skripte übertragen. Das ist mühsam, aber machbar. Für größere Projekte gibt es Consultings, die das übernehmen. Ich würde empfehlen, vorab einen Piloten zu starten – mit einer kleinen Gruppe von Usern, um das System zu testen, bevor man die ganze Organisation umstellt.
Zukunftsperspektiven: Was kommt nach der Nextcloud?
Es ist schwer, die Entwicklung von Nextcloud vorherzusagen. Das Unternehmen wächst, die Community auch. Themen wie dezentrale Identitäten, Verknüpfung mit dem Fediverse oder Integration von KI-basierten Diensten sind in der Pipeline. Die Version 25 brachte eine überarbeitete Oberfläche, die als moderner gilt, aber nicht allen gefällt. Ich persönlich finde sie gelungen, auch wenn der eine oder andere Langzeitnutzer sich erst umgewöhnen muss.
Ein interessanter Trend ist der Fokus auf lokale KI: Nextcloud Assistant, der auf dem eigenen Server läuft, ohne Daten an Dritte zu senden. Das ist genau der Geist, den ich gut finde. Statt die Daten in die Cloud zu geben, bringt man die KI zur Datenquelle. Das ist datenschutzkonform und zukunftsweisend. Allerdings benötigt man dafür ordentlich Rechenleistung – GPUs sind teuer. Aber für Organisationen, die Wert auf Souveränität legen, ist das ein starkes Argument.
Und was ist mit der DSGVO? Die bleibt natürlich ein Dauerthema. Die neuen Entwicklungen wie der EU Data Act oder der AI Act werden auch auf Nextcloud Auswirkungen haben. Das Unternehmen scheint gut aufgestellt zu sein, da es ohnehin auf Offenheit und Transparenz setzt. Ich rechne damit, dass Nextcloud in den nächsten Jahren noch stärker in den Fokus von Behörden und öffentlichen Einrichtungen rücken wird, wo Datenschutz nicht nur ein nice-to-have ist.
Fazit: Ein Werkzeug mit Haltung, aber kein Allheilmittel
Wer eine Cloud-Lösung sucht, die die Kontrolle über die Daten in die eigenen Hände legt, kommt an Nextcloud kaum vorbei. Die DSGVO-Konformität ist kein Versprechen, sondern eine Eigenschaft, die man selbst verwirklichen kann – mit dem entsprechenden Betriebsknow-how. Nextcloud ist kein Gigant wie Microsoft, aber das ist auch nicht sein Anspruch. Es ist die Alternative für alle, die nicht Teil des Daten-Ökosystems eines Großkonzerns sein wollen. Dafür nimmt man gerne in Kauf, dass nicht alles perfekt ist: manchmal etwas ruckelig, manchmal hakelig, aber immer ehrlich. Für Admins ist es ein spannendes Ökosystem, das fordert und fördert. Für Entscheider eine Investition in Souveränität, die sich langfristig auszahlt.
Am Ende steht die Frage: Vertraue ich lieber einem Anbieter, der meine Daten als Geschäftsmodell sieht, oder investiere ich in eigene Infrastruktur und Wissen? Nextcloud gibt die Antwort – und das ohne Verfallsdatum.