Nextcloud & DSGVO: So betreiben Sie Ihre Cloud datenschutzkonform
Die Datenschutz-Grundverordnung (DSGVO) hat seit Mai 2018 grundlegend verändert, wie Unternehmen in Europa mit personenbezogenen Daten umgehen müssen. Wer Cloud-Speicher nutzt, steht vor einer zentralen Frage: Wo liegen meine Daten, wer hat Zugriff – und bin ich rechtlich auf der sicheren Seite? Besonders bei US-amerikanischen Cloud-Diensten wie Google Drive, Dropbox oder Microsoft OneDrive gibt es erhebliche datenschutzrechtliche Risiken, die vielen Unternehmen nicht bewusst sind.
Nextcloud bietet als Open-Source-Plattform einen grundlegend anderen Ansatz: Sie behalten die volle Kontrolle über Ihre Daten. Doch Nextcloud allein macht noch keine DSGVO-Konformität aus. Entscheidend ist, wie und wo Sie Nextcloud betreiben – und welche technischen und organisatorischen Maßnahmen Sie umsetzen. In diesem umfassenden Ratgeber erklären wir bei fokus it solutions, was Sie für eine datenschutzkonforme Nextcloud-Nutzung wirklich brauchen.
Warum Cloud-Speicher und DSGVO ein heikles Thema ist
Cloud-Dienste verarbeiten naturgemäß personenbezogene Daten. Ob Kundenlisten, Personalakten, Verträge, E-Mails oder einfach Kontaktdaten in einer Tabelle – sobald personenbezogene Daten in die Cloud wandern, gelten die strengen Vorgaben der DSGVO. Und diese Vorgaben betreffen nicht nur den Inhalt der Dateien, sondern auch die Metadaten: Wer hat wann auf welche Datei zugegriffen? Wo wird die Datei physisch gespeichert? Wer kann sie theoretisch einsehen?
Für Unternehmen in Deutschland bedeutet das konkret: Sie müssen jederzeit nachweisen können, dass personenbezogene Daten angemessen geschützt sind. Das umfasst technische Maßnahmen wie Verschlüsselung und Zugriffskontrolle, aber auch organisatorische Maßnahmen wie Verträge, Dokumentation und Löschkonzepte.
Das Problem mit US-Cloud-Diensten: Cloud Act und Schrems II
Viele Unternehmen nutzen Google Drive, Dropbox oder Microsoft OneDrive, weil diese Dienste bequem und bekannt sind. Doch aus datenschutzrechtlicher Sicht sind US-Cloud-Dienste problematisch – und das aus mehreren Gründen.
Der US Cloud Act
Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) von 2018 erlaubt US-Behörden den Zugriff auf Daten von US-Unternehmen – unabhängig davon, wo die Server physisch stehen. Das bedeutet: Selbst wenn Google oder Microsoft Daten auf Servern in Frankfurt speichern, können US-Behörden den Zugriff erzwingen. Für europäische Unternehmen ist das ein fundamentales Problem, denn die DSGVO verlangt den Schutz vor unbefugtem Zugriff durch Drittstaaten.
Das Schrems-II-Urteil
Im Juli 2020 erklärte der Europäische Gerichtshof das EU-US Privacy Shield für ungültig (Schrems II, Rechtssache C-311/18). Die Begründung: Die USA bieten kein angemessenes Datenschutzniveau, weil US-Geheimdienste weitreichende Überwachungsbefugnisse haben. Zwar gibt es seit Juli 2023 das EU-US Data Privacy Framework als Nachfolger, doch Datenschutzexperten und die Organisation NOYB haben bereits angekündigt, auch diesen Beschluss rechtlich anzufechten. Ein „Schrems III" gilt als wahrscheinlich.
Vergleich: US-Cloud vs. Nextcloud in Deutschland
| Kriterium | Google Drive / Dropbox / OneDrive | Nextcloud (deutscher Server) |
|---|---|---|
| Serverstandort | USA, Irland, Niederlande (variabel) | Deutschland (fest) |
| Datenzugriff durch US-Behörden | Möglich (Cloud Act) | Ausgeschlossen |
| AV-Vertrag | Standardvertrag, kaum verhandelbar | Individuell mit deutschem Hoster |
| Quellcode einsehbar | Nein (proprietär) | Ja (Open Source, AGPL) |
| Verschlüsselung | Transportverschlüsselung, serverseitig | Transport + serverseitig + optional E2E |
| Kontrolle über Updates | Keine (Anbieter bestimmt) | Vollständig |
| Datenportabilität | Export möglich, aber aufwändig | Volle Kontrolle, offene Standards |
| Löschung auf Anfrage | Muss beim Anbieter beantragt werden | Sofort selbst durchführbar |
Der Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO
Wenn Sie Nextcloud nicht selbst auf eigener Hardware betreiben, sondern einen Hosting-Anbieter nutzen, verarbeitet dieser Daten in Ihrem Auftrag. Das macht einen Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO zwingend erforderlich. Ohne AV-Vertrag ist die Datenverarbeitung rechtswidrig – unabhängig davon, wie gut die technische Absicherung ist.
Was muss im AV-Vertrag stehen?
Ein vollständiger AV-Vertrag regelt folgende Punkte:
- Gegenstand und Dauer der Verarbeitung: Was genau wird verarbeitet und wie lange?
- Art und Zweck der Verarbeitung: Hosting von Nextcloud mit Dateispeicherung, Kalender, Kontakte etc.
- Art der personenbezogenen Daten: Dateien, Kontaktdaten, Kalendereinträge, Metadaten
- Kategorien betroffener Personen: Mitarbeiter, Kunden, Geschäftspartner
- Technische und organisatorische Maßnahmen (TOMs): Detaillierte Beschreibung der Schutzmaßnahmen
- Unterauftragsverarbeiter: Welche Drittanbieter sind beteiligt (z.B. Rechenzentrumsbetreiber)?
- Weisungsgebundenheit: Der Auftragsverarbeiter handelt nur nach Ihren Weisungen
- Kontrollrechte: Sie dürfen die Einhaltung prüfen (Audit-Recht)
- Löschung nach Vertragsende: Was passiert mit den Daten nach Kündigung?
Bei fokus it solutions ist der AV-Vertrag Bestandteil jedes Nextcloud-Hosting-Pakets. Sie erhalten einen vollständigen, DSGVO-konformen Vertrag, der alle oben genannten Punkte abdeckt – ohne Extrakosten und ohne juristischen Aufwand Ihrerseits.
Serverstandort Deutschland: Warum das entscheidend ist
Der physische Standort der Server ist für die DSGVO-Konformität von zentraler Bedeutung. Art. 44 ff. DSGVO regeln die Übermittlung personenbezogener Daten in Drittländer außerhalb des EWR. Eine Übermittlung ist nur zulässig, wenn das Drittland ein angemessenes Datenschutzniveau bietet – was für die USA umstritten ist.
Wenn Ihre Nextcloud auf einem Server in Deutschland läuft, stellt sich dieses Problem erst gar nicht. Deutsche Rechenzentren unterliegen dem deutschen Datenschutzrecht, dem Bundesdatenschutzgesetz (BDSG) und der DSGVO. Es gibt keinen Zugriff durch ausländische Behörden, keine Datenübermittlung in Drittstaaten und keine rechtliche Unsicherheit.
Wir bei fokus it solutions betreiben unsere Nextcloud-Server ausschließlich in deutschen Rechenzentren, die nach ISO 27001 zertifiziert sind. Die Rechenzentren verfügen über redundante Stromversorgung, Klimatisierung, Brandschutz und physische Zugangskontrollen. Die Daten verlassen Deutschland zu keinem Zeitpunkt – weder im laufenden Betrieb noch bei Backups.
Verschlüsselung: Drei Ebenen für maximalen Schutz
Verschlüsselung ist eine der wichtigsten technischen Maßnahmen, die die DSGVO fordert (Art. 32 Abs. 1 lit. a). Bei Nextcloud setzen wir auf ein dreistufiges Verschlüsselungskonzept:
1. Transportverschlüsselung (TLS 1.3)
Jede Verbindung zwischen Ihrem Browser oder der Nextcloud-App und dem Server ist mit TLS 1.3 verschlüsselt. Das ist der aktuelle Standard für sichere Kommunikation im Internet. Wir nutzen ausschließlich starke Cipher-Suites und erhalten bei SSL-Tests regelmäßig die Bestnote A+. Let's-Encrypt-Zertifikate werden automatisch erneuert.
2. Serverseitige Verschlüsselung (AES-256)
Nextcloud bietet eine integrierte serverseitige Verschlüsselung. Dabei werden alle Dateien vor dem Speichern auf der Festplatte mit AES-256 verschlüsselt. Selbst wenn jemand physischen Zugriff auf die Festplatte erhalten würde, wären die Daten nicht lesbar. Die Verschlüsselungsschlüssel werden getrennt von den Daten gespeichert und zusätzlich geschützt.
3. Ende-zu-Ende-Verschlüsselung (E2EE)
Für besonders sensible Daten bietet Nextcloud eine optionale Ende-zu-Ende-Verschlüsselung. Dabei werden Dateien bereits auf Ihrem Gerät verschlüsselt, bevor sie den Server erreichen. Nicht einmal wir als Hosting-Anbieter können diese Dateien einsehen. E2EE eignet sich besonders für vertrauliche Verträge, Personalakten oder Mandantendaten.
Zusätzlich verschlüsseln wir alle Backups mit AES-256 und übertragen sie über verschlüsselte Verbindungen auf separate Backup-Server. So entsteht ein lückenloses Verschlüsselungskonzept vom Gerät über den Server bis zum Backup.
Zugriffsrechte und Benutzerveraltung
Die DSGVO fordert nach dem Prinzip der Datenminimierung, dass nur befugte Personen auf personenbezogene Daten zugreifen können (Need-to-know-Prinzip). Nextcloud bietet hierfür ein umfangreiches Berechtigungssystem:
- Gruppenbasierte Zugriffsrechte: Erstellen Sie Gruppen (z.B. „Buchhaltung", „Geschäftsführung", „Vertrieb") und weisen Sie Ordner gezielt zu. Mitarbeiter sehen nur die Daten, die sie für ihre Arbeit benötigen.
- Freigaben mit Ablaufdatum: Teilen Sie Dateien mit externen Partnern und setzen Sie ein automatisches Ablaufdatum. Nach Ablauf wird der Zugriff automatisch entzogen.
- Passwortgeschützte Links: Öffentliche Freigabelinks können mit einem Passwort geschützt werden.
- Download-Beschränkung: Sie können festlegen, dass Dateien nur angezeigt, aber nicht heruntergeladen werden dürfen.
- Zwei-Faktor-Authentifizierung (2FA): Erzwingen Sie 2FA für alle oder ausgewählte Nutzer. Nextcloud unterstützt TOTP-Apps, WebAuthn/FIDO2-Hardware-Keys und Backup-Codes.
- Brute-Force-Schutz: Nextcloud sperrt Accounts nach mehreren fehlgeschlagenen Login-Versuchen automatisch.
- IP-Beschränkung: Optional können Sie den Zugriff auf bestimmte IP-Bereiche beschränken (z.B. nur aus dem Firmennetzwerk).
Audit-Trail: Lückenlose Protokollierung
Die DSGVO fordert Nachweispflichten (Accountability, Art. 5 Abs. 2). Sie müssen jederzeit belegen können, wer wann auf welche Daten zugegriffen hat. Nextcloud unterstützt dies mit einem umfassenden Audit-Trail:
Aktivitätenprotokoll
Nextcloud protokolliert automatisch alle relevanten Aktionen: Datei-Uploads, Downloads, Löschungen, Freigaben, Änderungen an Berechtigungen und Login-Vorgänge. Das Aktivitätenprotokoll ist für jeden Nutzer einsehbar (eigene Aktionen) und für Administratoren vollständig zugänglich.
Nextcloud Audit-Log (Enterprise-Funktion)
Für erweiterte Anforderungen bietet Nextcloud ein detailliertes Audit-Log, das alle Zugriffe und Änderungen in einer separaten Log-Datei speichert. Dieses Log kann in SIEM-Systeme (Security Information and Event Management) exportiert werden und eignet sich für die Nachweisführung bei Datenschutzprüfungen.
Versionierung
Nextcloud speichert automatisch alle Versionen einer Datei. Wenn eine Datei geändert oder überschrieben wird, bleibt die vorherige Version erhalten. Das ist nicht nur praktisch, sondern auch datenschutzrechtlich relevant: Sie können nachvollziehen, welche Version einer Datei zu welchem Zeitpunkt gültig war.
Wir bei fokus it solutions konfigurieren das Audit-Logging für unsere Kunden so, dass alle DSGVO-relevanten Vorgänge lückenlos dokumentiert werden. Die Logs werden mindestens 12 Monate aufbewahrt und können bei Bedarf exportiert werden.
Löschfristen und Recht auf Löschung (Art. 17 DSGVO)
Das „Recht auf Vergessenwerden" (Art. 17 DSGVO) gibt betroffenen Personen das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen. Für Cloud-Speicher bedeutet das: Sie müssen in der Lage sein, bestimmte Daten gezielt und vollständig zu löschen – einschließlich Backups und Versionierungen.
Löschung in Nextcloud umsetzen
- Dateien löschen: Dateien werden zunächst in den Papierkorb verschoben und nach einer konfigurierbaren Frist (Standard: 30 Tage) automatisch endgültig gelöscht.
- Versionen bereinigen: Alte Dateiversionen werden nach einem gestaffelten Schema automatisch entfernt. Die genaue Aufbewahrungsdauer können wir an Ihre Anforderungen anpassen.
- Benutzerkonten löschen: Beim Löschen eines Benutzerkontos werden alle zugehörigen Daten (Dateien, Kalender, Kontakte, Freigaben) vollständig entfernt.
- Backups: Gelöschte Daten werden im nächsten Backup-Zyklus überschrieben. Nach 30 Tagen sind auch die Backup-Kopien entfernt.
Aufbewahrungsfristen dokumentieren
Gleichzeitig müssen Sie gesetzliche Aufbewahrungsfristen beachten. Steuerrelevante Unterlagen müssen beispielsweise 10 Jahre aufbewahrt werden (§ 147 AO). Ein Löschkonzept dokumentiert, welche Datenarten welchen Fristen unterliegen und wann sie gelöscht werden. Wir unterstützen unsere Kunden bei der Erstellung eines solchen Löschkonzepts und konfigurieren Nextcloud entsprechend.
Technische und organisatorische Maßnahmen (TOMs)
Art. 32 DSGVO verlangt „geeignete technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten. Für Nextcloud-Hosting bedeutet das konkret:
Technische Maßnahmen
- Verschlüsselung in Transit und at Rest (TLS 1.3, AES-256)
- Regelmäßige Sicherheitsupdates (Nextcloud, PHP, Betriebssystem)
- Firewall und Intrusion Detection
- Automatisierte tägliche Backups auf separatem Server
- Zwei-Faktor-Authentifizierung
- Brute-Force-Schutz und Rate Limiting
- Getrennte Datenbanken pro Kundeninstanz
- Monitoring und Alarmierung bei Anomalien
Organisatorische Maßnahmen
- Auftragsverarbeitungsvertrag mit dokumentierten TOMs
- Zugriffsbeschränkung auf Kundendaten (nur autorisierte Administratoren)
- Verpflichtung aller Mitarbeiter auf Vertraulichkeit
- Regelmäßige Schulungen zum Datenschutz
- Dokumentierte Prozesse für Datenpannen (Data Breach Notification)
- Löschkonzept mit definierten Fristen
Nextcloud vs. US-Clouds: Praxisbeispiele
Anwaltskanzlei mit 8 Mitarbeitern
Eine Anwaltskanzlei speichert Mandantenakten, Schriftsätze und vertrauliche Korrespondenz. Diese Daten unterliegen nicht nur der DSGVO, sondern auch dem anwaltlichen Berufsgeheimnis (§ 203 StGB). Die Nutzung von US-Cloud-Diensten ist hier besonders kritisch, da selbst ein theoretischer Zugriff durch US-Behörden eine Verletzung des Berufsgeheimnisses darstellen könnte. Mit Nextcloud auf deutschen Servern und aktivierter Ende-zu-Ende-Verschlüsselung ist die Kanzlei auf der sicheren Seite.
Arztpraxis mit Patientendaten
Patientendaten gehören zu den besonders schützenswerten Kategorien personenbezogener Daten (Art. 9 DSGVO). Ein Verstoß gegen den Datenschutz kann hier nicht nur Bußgelder nach sich ziehen, sondern auch berufsrechtliche Konsequenzen. Nextcloud mit serverseitiger Verschlüsselung, strikten Zugriffsrechten und deutschem Serverstandort bietet hier das nötige Schutzniveau.
Steuerkanzlei mit Mandantendaten
Steuerberater verarbeiten hochsensible Finanzdaten. Die Mandantendaten müssen 10 Jahre aufbewahrt (§ 147 AO), aber bei Mandatsende nach Ablauf der Fristen sicher gelöscht werden. Nextcloud bietet mit konfigurierbaren Aufbewahrungsfristen, automatischer Versionierung und sicherer Löschung genau die Werkzeuge, die eine Steuerkanzlei braucht.
Checkliste: DSGVO-konforme Nextcloud in 10 Schritten
- Serverstandort prüfen: Ausschließlich Deutschland oder EU
- AV-Vertrag abschließen: Vollständiger Vertrag nach Art. 28 DSGVO
- Transportverschlüsselung: TLS 1.3 mit starken Cipher-Suites
- Serverseitige Verschlüsselung: AES-256 aktivieren
- Zugriffsrechte konfigurieren: Gruppen und Rollen nach Need-to-know
- Zwei-Faktor-Authentifizierung: Für alle Nutzer aktivieren
- Audit-Logging einrichten: Alle Zugriffe protokollieren
- Backup-Strategie: Tägliche verschlüsselte Backups
- Löschkonzept erstellen: Fristen und Prozesse dokumentieren
- Verzeichnis der Verarbeitungstätigkeiten: Nextcloud als Verarbeitungstätigkeit dokumentieren
Bußgelder bei DSGVO-Verstößen
Die DSGVO sieht empfindliche Bußgelder vor: bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Auch für kleine und mittlere Unternehmen sind Bußgelder im fünf- bis sechsstelligen Bereich keine Seltenheit. Die Datenschutzbehörden in Deutschland sind zunehmend aktiv und verhängen regelmäßig Bußgelder für unzureichenden Schutz personenbezogener Daten in Cloud-Diensten.
Ein besonders häufiger Verstoß: fehlende oder unvollständige AV-Verträge. Wer personenbezogene Daten bei einem Cloud-Anbieter speichert, ohne einen ordnungsgemäßen AV-Vertrag zu haben, riskiert allein dafür ein Bußgeld. Ein weiterer häufiger Verstoß: die Nutzung von US-Cloud-Diensten ohne ausreichende Schutzmaßnahmen nach Schrems II.
Häufig gestellte Fragen (FAQ)
Ist Nextcloud automatisch DSGVO-konform?
Nextcloud als Software ist datenschutzfreundlich, aber nicht automatisch DSGVO-konform. Entscheidend ist, wo und wie Sie Nextcloud betreiben: Serverstandort in Deutschland, AV-Vertrag mit dem Hoster, Verschlüsselung und dokumentierte TOMs sind notwendig. Bei unserem Managed Hosting sind alle diese Punkte abgedeckt.
Brauche ich einen AV-Vertrag für Nextcloud Hosting?
Ja, zwingend. Sobald ein externer Dienstleister Ihre Nextcloud hostet und dabei personenbezogene Daten verarbeitet werden, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO Pflicht. Bei fokus it solutions ist der AV-Vertrag im Hosting-Paket enthalten – ohne Aufpreis.
Was ist besser für die DSGVO: Nextcloud oder Google Drive?
Nextcloud auf deutschen Servern ist datenschutzrechtlich klar im Vorteil. Google Drive unterliegt dem US Cloud Act, die Datenverarbeitung in den USA ist nach Schrems II rechtlich unsicher. Mit Nextcloud behalten Sie die volle Datenkontrolle, haben den Quellcode einsehbar und speichern Daten ausschließlich in Deutschland.
Welche Verschlüsselung bietet Nextcloud?
Nextcloud bietet drei Verschlüsselungsebenen: Transportverschlüsselung via TLS 1.3, serverseitige Verschlüsselung mit AES-256 und optionale Ende-zu-Ende-Verschlüsselung für besonders sensible Ordner. Zusammen mit verschlüsselten Backups ergibt sich ein lückenloses Verschlüsselungskonzept.
Können US-Behörden auf meine Nextcloud-Daten zugreifen?
Wenn Ihre Nextcloud bei einem deutschen Hoster auf deutschen Servern läuft, haben US-Behörden keinen rechtlichen Zugriff. Der US Cloud Act greift nur bei US-Unternehmen. Das ist der entscheidende Vorteil gegenüber Google, Microsoft und Dropbox – egal wo diese ihre Server betreiben.
Nextcloud DSGVO-konform betreiben – wir machen das für Sie
Managed Nextcloud Hosting auf deutschen Servern, inklusive AV-Vertrag, Verschlüsselung und persönlichem Support. DSGVO-Konformität ohne technischen Aufwand.