BEKOM MANAGEDNextcloud HostingDatenhoheit aus deutschem Rechenzentrum
Nextcloud als Managed-Hosting im deutschen Rechenzentrum: DSGVO-konform, dedizierte Instanz, wählbare Verfügbarkeitsstufen und schriftliches Angebot nach Anforderungsgespräch.
Wann Nextcloud-Hosting bei BEKOM passt
Nextcloud hat sich als europäische Antwort auf Microsoft 365-, Google-Workspace- und Dropbox-Plattformen etabliert: Dateiablage, Collaboration, Office-Integration, Videokonferenzen und Mail in einer offenen, selbst-hostbaren Plattform. Wenn Datenhoheit, DSGVO-Konformität oder Compliance-Anforderungen ein US-Hyperscaler-Modell ausschließen, der interne Eigenbetrieb aber nicht dauerhaft tragfähig ist, brauchen Sie einen Compliance-erfahrenen Betriebspartner. BEKOM betreibt Nextcloud als dedizierte Instanz im deutschen Rechenzentrum: Apps-Stack nach Use-Case, Identity-Anbindung an Ihr AD/IdP, individualisierte Speicher-Architektur und definierte Backup-Disziplin.
Nextcloud-Hosting betrifft geschäftskritische Collaboration-Prozesse wie Dokumentenmanagement, Projektkoordination und standortübergreifende Teamarbeit. Die Verfügbarkeit der Plattform ist Betriebsvoraussetzung für den operativen Betrieb, da Arbeitsabläufe von der Dateiablage, Office-Integration und Kommunikationsfeatures abhängen.
Typische Konstellationen
Drei Konstellationen führen Organisationen erfahrungsgemäß zum Nextcloud-Hosting bei einem spezialisierten Betreiber statt zur kommerziellen Standard-Plattform. Sie unterscheiden sich in Auslöser, Compliance-Profil und Migrations-Komplexität.
Häufige Ausgangslagen:
DSGVO- und Datensouveränitäts-Anforderungen – Microsoft 365 oder Google Workspace lassen sich aus regulatorischen Gründen nicht (mehr) rechtfertigen, eine europäische Plattform mit deutscher Datenverarbeitung wird notwendig.
Branchenspezifische Compliance – Anwaltskanzleien (BRAO §43a), Gesundheitswesen (SGB V), Behörden, Forschungseinrichtungen oder mittelständische Unternehmen mit IP-Schutzbedarf brauchen eine Plattform mit dokumentierter Datenkontrolle.
Ablösung einer wachsenden Schatten-IT – Mitarbeitende nutzen unkontrolliert Cloud-Speicher und Mail-Anhänge; eine zentrale Plattform mit klaren Richtlinien soll die Datenflüsse zurückgewinnen.
Welche Konstellation auf die jeweilige Plattform-Landschaft zutrifft, wird im Anforderungsgespräch geklärt – bevor eine Architektur vorgeschlagen wird.
Wann sich Nextcloud-Hosting bei BEKOM rechnet
Wenn die Schatten-IT bei Cloud-Speicher und Mail-Anhängen wächst, Microsoft 365 die Compliance-Anforderungen nicht trägt oder die interne Nextcloud-Instanz aus dem Wartungsfenster gelaufen ist, ist ein Compliance-erfahrener Betriebspartner gefragt – kein Massen-Cloud-Tarif. BEKOM betreibt Nextcloud als dedizierte Instanz mit klar definierten Service-Bestandteilen.
Was BEKOM im Service-Vertrag liefert:
Dedizierte Nextcloud-Instanz – Im deutschen Rechenzentrum, ohne Multi-Tenancy auf gemeinsam genutzter Plattform
Apps-Stack nach Use-Case – Talk, Mail, Office-Online-Anbindung oder Group Folders je nach Anwendungsprofil und Nutzergruppen-Zuschnitt
Identity-Anbindung – Anbindung an bestehendes Active Directory oder IdP über LDAP, SAML oder OIDC; MFA auf Wunsch durchgesetzt
Backup- und Update-Disziplin – Definierte Backup-Routinen mit RPO/RTO-Profil und dokumentierte Update-Linie über die Vertragslaufzeit
Im Anforderungsgespräch klärt BEKOM mit dem Kundenteam Nutzeranzahl, Apps-Stack und Identity-Anbindung – das Ergebnis ist ein schriftliches Angebot mit dokumentiertem Leistungsumfang. Architekturhinweise zur Plattform Nextcloud finden sich ergänzend in den Clustern Collaboration und Office Suites.
Kostenstruktur des Nextcloud-Hostings im Überblick
Ein Managed-Nextcloud-Hosting wirkt auf drei Kostenebenen, die im Assessment gegeneinander gestellt werden. Eine belastbare Aussage zur Wirtschaftlichkeit entsteht erst, wenn alle drei Ebenen gegen die heutige Bestandssituation gerechnet werden.
Drei Kostenebenen im Vergleich:
Bestandsseite (heute Eigenbetrieb, Microsoft 365 oder Google Workspace) – Lizenz-Subscriptions pro Nutzer, Speicherkosten, Compliance-Aufwand und gegebenenfalls Personalanteile für interne Pflege.
Hosting-Seite (laufender Service) – Monatliche Service-Pauschale abhängig von Nutzeranzahl, Speicher-Profil, Apps-Stack, Identity-Anbindung und Verfügbarkeitsstufe.
Migrations-Einmalkosten – Datenübertragung, Identity-Anbindung und Cutover-Begleitung mit definiertem Cutover-Tag und Rückfall-Pfad.
Ein strukturiertes Assessment ordnet diese Ebenen gegen die bestehende Plattform-Landschaft – ohne pauschale Einsparversprechen. Jede Konstellation hat eigene Bestandskosten, Migrations-Aufwände und einen eigenen Service-Schnitt.
BEKOM ist kein Massen-Cloud-Tarif
BEKOM legt jede Nextcloud-Instanz individuell aus. Apps-Stack, Identity-Anbindung, Speicher-Profil und Mandanten-Trennung werden im Anforderungsgespräch entlang Ihrer Use-Cases ausgewählt — vom DMS-Ersatz über die Collaboration-Plattform bis zur Office-Integration mit Talk, Mail und Group Folders. → Managed Collaboration
Die dedizierte Instanz im deutschen Rechenzentrum erfüllt DSGVO-Anforderungen ohne Cloud-Act-Risiko. Authentifizierung erfolgt gegen Ihr bestehendes Identity-System (LDAP, SAML, OIDC), MFA wird auf Wunsch durchgesetzt. Sie erhalten ein schriftliches Angebot mit Apps-Konfiguration, Storage-Auslegung und Service-Level-Profil — bewertbar für Datenschutz-Verantwortliche, IT-Leitung und Geschäftsführung.
Der Unterschied wirkt sich entlang vier Dimensionen aus: Beratung zur Plattform-Architektur, dedizierte statt geteilte Instanz, Datenhoheit in Deutschland und auditfähige Betriebsdokumentation. Massen-Cloud-Tarife sind günstig und schnell aktivierbar – sie passen zu Konstellationen mit überschaubarer Nutzeranzahl und ohne strenge Compliance-Vorgaben. Wo Datenkontrolle, Branchen-Regulatorik oder eine spezifische Apps- und Identity-Architektur entscheidend sind, kommt das Massen-Modell an seine Grenzen.
Beratung zur Plattform-Architektur
Die Spezifikation entsteht im Anforderungsgespräch zwischen Ihren Anwendungs-Verantwortlichen und einem BEKOM-Architekten – nicht im Online-Konfigurator. Nextcloud-Architektur ist selten generisch: Apps-Auswahl, Speicher-Schnitt nach Datenklasse und Identity-Anbindung an bestehende Strukturen prägen die Auslegung.
Geklärt im Anforderungsgespräch:
Anwendungsfälle – DMS-Ersatz, zentraler Cloud-Speicher, Collaboration-Plattform oder Office-Integration mit Online-Bearbeitung
Nutzeranzahl und Compliance-Anforderungen – Skalierungs-Profil, branchenspezifische Vorgaben (BRAO, SGB V, KRITIS) und Datenklassifizierung
Apps-Stack – Talk für Videokonferenzen, Mail-Modul, Office-Online-Anbindung (OnlyOffice, Collabora), Group Folders und Branding
Authentifizierung und Berechtigungen – LDAP, SAML, OIDC gegen AD oder IdP; MFA-Durchsetzung, Rollenmodell und Sharing-Policies
Das Gespräch ist unverbindlich und löst keine Folgeverpflichtung aus. Wenn das Profil zu einem Massen-Tarif passt, wird das im Gespräch genauso benannt – BEKOM verkauft nicht gegen den Bedarf.
Dedizierte Instanz statt Shared-Tenancy
Im Unterschied zu Anbietern, die mehrere Kunden auf einer Multi-Tenant-Plattform bedienen, läuft die Nextcloud-Instanz dediziert. Das hat operative und regulatorische Konsequenzen: eine Konfigurations-Änderung trifft ausschließlich die eigene Umgebung, und die Datentrennung lässt sich gegenüber Auditoren konkret nachweisen.
Was dediziert hier bedeutet:
Eigene Datenbank pro Instanz – Keine Shared-Tenancy auf Datenbank-Ebene; SQL-Backup, Migration und Rollback erfolgen pro Kunde
Eigener Speicher – Kunden-Volumes logisch und teilweise physisch getrennt, Verschlüsselungs-Schlüssel kunden-individuell
Eigene Anwendungs-Container – Nextcloud-Instanz, PHP-Worker und Hintergrundjobs nicht im Pool gegen andere Kunden
Updates auf den Kunden abgestimmt – Patches und Major-Upgrades im vereinbarten Wartungsfenster, nicht pauschal auf einer gemeinsamen Plattform eingespielt
Damit entsteht ein Betriebsmodell, in dem die Plattform der eigenen Compliance-Linie folgt – nicht dem kleinsten gemeinsamen Nenner einer geteilten Infrastruktur.
Datenhoheit in Deutschland
Server, Speicher, Backups und Verarbeitung erfolgen in deutschen Rechenzentren. Ein Auftragsverarbeitungsvertrag (AVV) nach DSGVO ist Standard-Bestandteil. Cloud-Plattformen mit US-Konzern-Mutter unterliegen dem CLOUD Act und können in regulatorischen Konstellationen zum Compliance-Risiko werden – diese Risikolage entfällt bei BEKOM-Hosting.
Datenhoheit in Deutschland bedeutet konkret:
Server und Speicher – In deutschen BEKOM-Rechenzentren mit dokumentiertem Standort und kontrolliertem physischem Zugriff
Backups – Innerhalb des deutschen Rechtsraums, mit definierten Aufbewahrungsfristen und protokollierten Restore-Test-Nachweisen
AVV nach DSGVO – Als Standard-Bestandteil mit dokumentierten technischen und organisatorischen Maßnahmen pro Verarbeitungs-Schritt
Subprocessor-Liste – Im Standard keine Datenweitergabe an Anbieter mit US-CLOUD-Act-Bindung, keine Sub-Auftragsverarbeitungen außerhalb der EU
Diese Trennung ist für viele Compliance-Profile dokumentierbar erforderlich – etwa bei DSGVO-Folgenabschätzungen, Branchen-Audits oder im Mandanten- und Patientenkontext mit besonderen Datenkategorien.
Audit-Vorbereitung als Vertragsthema
Audit-Anforderungen unterscheiden sich stark zwischen Organisationen – von DSGVO-Basisdokumentation bis zu KRITIS-, TISAX- oder branchenspezifischen Pflichtumfängen. Welche Artefakte vorgehalten werden, in welchem Detaillierungsgrad und mit welcher Aufbewahrungsfrist, wird im Anforderungsgespräch geklärt und im Service-Vertrag festgelegt – nicht aus einem festen Standardpaket abgeleitet.
Mögliche Bestandteile der Dokumentation:
Change-Prozesse und Patch-Historie – Konfigurations-Änderungen mit Genehmigungspfad, Vorher-/Nachher-Zustand und Wartungsfenster-Bezug
Backup-Reports und Restore-Nachweise – Backup-Status mit Aufbewahrungsfristen; protokollierte Restore-Tests in vereinbartem Turnus
Zugriffsprotokolle – Administrative Zugriffe mit Nutzer-Identität und Zeitstempel; auf Wunsch ergänzt um Audit-Logs auf Anwendungs-Ebene
Sub-Auftragsverarbeiter-Listen – Aktualisierte Übersicht eingebundener Verarbeiter, abrufbar für DSGVO-Folgenabschätzungen
Welcher Dokumentations-Umfang sinnvoll ist, hängt vom Compliance-Profil der Organisation ab – etwa ISO 27001, TISAX, KRITIS oder branchenspezifische Vorgaben (BRAO, SGB V, BSI-Grundschutz). Massen-Cloud-Tarife liefern dafür meist nur Standard-Auszüge mit begrenzter Audit-Tauglichkeit; eine individualisierte Audit-Linie wird vertraglich vereinbart und auf das konkrete Audit-Profil zugeschnitten. → BEKOM MANAGED Applications
Basis-Spezifikation als Ausgangspunkt
Die folgende Beschreibung zeigt, wie eine typische Nextcloud-Hosting-Spezifikation bei BEKOM strukturiert ist: vier Bausteine, die im Angebot durchgängig adressiert werden – Plattform und Speicher, Anwendungs-Module, inkludierte Betriebs-Services und individuell auszulegende Bereiche. Sie dient als Ausgangspunkt für das Anforderungsgespräch, nicht als fertiges Produktpaket.
Compliance-Anforderungen, Anwendungsspektrum, Nutzeranzahl, Speicher-Bedarf und Identity-Integration werden im Anforderungsgespräch gemeinsam mit dem Kundenteam festgelegt.
Plattform und Speicher
Die Plattform-Ebene umfasst Compute, Datenbank, Frontend, Hintergrund-Verarbeitung und die Speicher-Ebene mit Backup. Diese Bausteine werden bei jedem Setup angepasst – Speicher-Profil und Backup-Tiefe ergeben sich aus Datenklasse, Wiederherstellungs-Erwartung und Nutzer-Profil. Eine sauber dimensionierte Plattform ist die Grundlage für reproduzierbare Performance, planbare Wartung und Compliance-konforme Datenhaltung.
Typische Bausteine im Angebot:
Nextcloud-Instanz und Datenbank – Dedizierte Installation auf gehärteter Linux-Basis (typisch Ubuntu LTS oder Debian) mit PostgreSQL oder MariaDB im redundanten Setup; Datenbank-Replikation und Connection-Pooling abhängig von Nutzeranzahl und Concurrent-Last
Web-Frontend – TLS-Zertifikat (Let's Encrypt oder unternehmenseigene CA), Reverse-Proxy mit Lastverteilung und HTTP-Header-Härtung gegen XSS, Clickjacking und MIME-Sniffing
Hintergrund-Services – Cron-Jobs für Wartungs-Tasks, Background-Worker für asynchrone Operationen (Indexierung, Konvertierung) und Push-Notifications für Echtzeit-Updates auf Web- und Mobile-Clients
Dedizierter Speicher – Kunden-isolierte Speicherquelle mit Server-side Encryption für Daten in Ruhe; Storage-Profil je nach Datenklasse (heißer Speicher für aktive Files, kalter Speicher für Archive)
Backup-Strategie – Definierte Wiederherstellbarkeit mit dokumentierten RPO/RTO-Profilen je Datenklasse; getrennte Aufbewahrung von Datenbank-Dumps, File-Snapshots und Konfigurations-Backups
Versionsverwaltung – Auf File-Ebene innerhalb Nextcloud aktiviert für Nutzer-Selbstrücksetzung; konfigurierbare Aufbewahrungsfristen je Datei-Typ und Speicher-Profil
Welche Storage-Topologie konkret eingesetzt wird – lokales Storage, repliziert oder über S3-kompatible Object-Storage – hängt vom Datenvolumen, der Wachstumsprognose und vom Verfügbarkeitsanspruch ab und wird im Anforderungsgespräch festgelegt. → Nextcloud als Plattform im Detail
Anwendungs-Module
Nextcloud ist eine modulare Plattform – welche Apps aktiviert werden, ergibt sich aus dem Anwendungsprofil. Die Auswahl wird im Anforderungsgespräch nach Nutzergruppen und Use-Cases zusammengestellt. Eine restriktive Modul-Auswahl reduziert Angriffsoberfläche und Update-Aufwand; eine breite Modul-Auswahl deckt mehr Use-Cases auf einer einzigen Plattform ab.
Typische Module je nach Anwendungsprofil:
Files – Mit Group Folders für team- oder projektbezogene Ordnerstrukturen, Tagging für strukturierte Wiederauffindbarkeit und externer Speicheranbindung an bestehende Fileserver, S3-Targets oder andere Cloud-Speicher
Talk – Chat, Audio- und Videokonferenzen mit Bildschirmfreigabe, Whiteboard-Funktion und Konferenz-Aufzeichnung auf Wunsch; Web-Client-basiert, kein zusätzlicher Endgeräte-Stack erforderlich
Mail – Integrierter Mail-Client als Webfrontend für IMAP-/SMTP-Postfächer (optional); Anbindung an bestehende Mailserver, kein Ersatz für Exchange oder Microsoft 365
Office-Integration – Online-Bearbeitung über Collabora Online oder OnlyOffice mit kollaborativem Editing in Echtzeit; Office-Server kann dediziert oder gemeinsam mit Nextcloud betrieben werden
Kalender und Kontakte – Über CalDAV und CardDAV synchronisierbar mit gängigen Endgeräten (iOS, Android, Outlook via Plug-in, Thunderbird) und mit Mail-Clients
Authentifizierung – LDAP-, SAML- oder OIDC-Integration mit MFA-Option und Single-Sign-On gegen bestehende AD- oder Identity-Plattformen
Welche Module aktiviert werden, ergibt sich aus dem Anwendungs-Mix der Nutzergruppen – die Aktivierung im Vertrag schafft Klarheit über Funktionsumfang, Lizenzbedarf und Support-Schnitt.
Inkludierte Services
Im Unterschied zu Self-Service-Tarifen sind operative Services bereits enthalten – nicht als Add-on, sondern als Bestandteil des Service-Vertrags. Damit liegt der laufende Plattform-Betrieb bei BEKOM, nicht in einer Grauzone zwischen Plattform-Anbieter und interner IT. Die Service-Tiefe lässt sich am Compliance-Schnitt der Organisation orientieren – von Basis-Monitoring bis zu erweitertem Incident-Reporting für Datenschutz- oder Sicherheits-Beauftragte.
Typisch im Service-Vertrag enthalten:
Plattform-Monitoring – Auswertung auf Hardware-Ebene (Disk, Memory, CPU, Netzwerk), OS-Ebene (Last, Patches, Logs) und Anwendungs-Ebene (Nextcloud-Status, Background-Jobs, Speicher-Auslastung); Alarmierung bei Ausfällen oder kritischen Fehlern an das BEKOM-Betriebsteam
Patch-Management – Dokumentierter Change-Prozess mit Sicherheits-Updates innerhalb definierter Fristen, größeren Updates in geplanten Wartungsfenstern und kritischen CVEs außerplanmäßig nach abgekürztem Verfahren
Major-Version-Begleitung – Größere Nextcloud-Versions-Sprünge als Service-Bestandteil mit Vorbereitung auf Test-Stage, validierter Migration in vereinbartem Wartungsfenster und dokumentiertem Rollback-Pfad
Incident-Response – Dokumentierte Eskalationskette mit definierten Rollen (1st-/2nd-/3rd-Level), Reaktionspfaden und Kommunikationswegen; auf Wunsch ergänzt um Reporting für Informationssicherheit, Datenschutz oder Geschäftsführung
Welche Service-Tiefe sinnvoll ist, hängt von der Geschäftskritikalität der Plattform und dem internen Service-Schnitt ab – das wird im Service-Vertrag transparent ausgewiesen.
Was BEKOM mit dem Kundenteam individualisiert
Über die typischen Bausteine hinaus gibt es Bereiche, die erst aus den konkreten Anforderungen heraus festgelegt werden – und damit nicht in eine generische Vorlage gehören. Diese vier Felder sind im Anforderungsgespräch der eigentliche Hebel: Sie entscheiden über Wirtschaftlichkeit, Auditfähigkeit, Integrations-Reichweite und Verantwortungsschnitt.
Individuell pro Setup ausgelegt:
Speicherdimensionierung – Aktueller Bedarf, Wachstumsprognose und Nutzer-Quotas pro Gruppe oder Mandant; Reservierungs-Modell für planbare Lasten, elastisches Profil für stark schwankendes Aufkommen
Compliance-Profil – DSGVO-Basis, branchenspezifisch (BRAO, SGB V, KHZG, KRITIS), mit zugeschnittenen TOMs, Reporting-Tiefe und Sub-Auftragsverarbeiter-Liste; auf Wunsch ergänzt um Datenschutz-Folgenabschätzung
Integrationen – Identity-Provider (AD, Entra ID, Keycloak), Outlook-/Mail-Anbindung, externe Speichersysteme oder CRM-Schnittstellen; Nextcloud-Apps oder Custom-Integrationen über die Nextcloud-API
Vertragsmodell – Fully Managed (BEKOM trägt den vollständigen Betrieb), Co-Managed mit eigener IT (geteilter Zugriff mit dokumentiertem RACI-Schnitt) oder beratungsbegleiteter Betrieb mit primärem Zugriff beim Kunden
Diese vier Felder werden im Anforderungsgespräch geklärt und im schriftlichen Angebot festgehalten – sie sind die Schnittstelle zwischen typischen Bausteinen und individuellem Setup.
Verfügbarkeit und Datensicherheit
Nextcloud trägt häufig geschäftskritische und personenbezogene Daten – Verfügbarkeit und Datensicherheit sind direkt verbunden mit operativem Risiko und Compliance-Pflichten.
Konkrete Verfügbarkeits-Werte werden ausschließlich im individuellen Service-Vertrag dokumentiert – nicht auf der Webseite. Reale Verfügbarkeit hängt von Architektur, Backup-Strategie und Wartungsfenstern ab und wird für jede Konstellation einzeln vereinbart.
Stufe 1: Einfache Verfügbarkeit
Eine Nextcloud-Instanz mit Backup und dokumentiertem Wiederanlauf. Geeignet, wenn ein toleranzfähiges Ausfallzeitfenster akzeptabel ist – das Setup ist wirtschaftlich und passt zu Plattformen ohne unmittelbare Echtzeit-Anforderung.
Architektur – Single-Server-Instanz mit täglichem Voll- oder inkrementellem Backup auf ein separat verwaltetes Speicherziel; Datenbank und File-Storage werden konsistent zueinander gesichert.
Typische Workloads – Kleinere Teams, projektbezogene Plattformen, Standorte mit toleranzfähiger Ausfallzeit oder Plattformen ohne 24/7-Geschäftskritikalität.
Ausfallverhalten – Bei Hardware-Defekt erfolgt Wiederanlauf aus dem Backup nach dokumentiertem Verfahren mit definierter Reaktionskette und protokolliertem Restore-Pfad.
Stufe 2: Erweiterte Verfügbarkeit (HA-Setup)
Nextcloud in einem Hochverfügbarkeits-Setup mit redundanter Datenbank, Speicher-Replikation und Lastverteilung. Geeignet für produktive Plattformen mit täglicher Nutzung, bei denen längere Ausfallzeiten direkt geschäftliche Auswirkungen haben.
Architektur – Mehrere App-Knoten hinter einem Load Balancer; Datenbank im Primary-Replica-Setup mit automatischem Failover; gemeinsamer oder replizierter Speicher; Quorum-fähige Cluster-Auslegung gegen Split-Brain-Szenarien.
Ausfallverhalten – Automatische Übernahme bei Knoten-, Datenbank- oder Pfad-Ausfall ohne manuellen Eingriff; aktive Verbindungen werden auf gesunde Knoten umgeleitet, neue Anfragen direkt zugestellt.
Wartung – Updates und Patches erfolgen rolling über die App-Knoten, ohne Service-Unterbrechung; Datenbank-Updates werden fenstergesteuert eingespielt.
Stufe 3: Multi-Site-Redundanz
Nextcloud über zwei räumlich getrennte BEKOM-Standorte. Geeignet für Plattformen mit hoher Geschäftskritikalität, etwa als zentrales Dokumenten-Repository einer KRITIS-Einrichtung oder bei Versicherungs- und BCM-Anforderungen mit dokumentiertem Standort-Failover.
Architektur – Daten- und Konfigurations-Replikation zwischen Standorten mit konsistenter Anwendungs-Stage; getrennte Strom-, Klima- und Netzdomänen je Standort, eigene Internet-Anbindungen ohne gemeinsame Provider-Pfade.
Failover – Definierte Failover-Strategie mit dokumentiertem Runbook, regelmäßige Failover-Tests in vereinbartem Turnus und protokollierte Wiederanlauf-Übungen mit dokumentiertem Ausgangs-Zustand.
Schutzziel – Toleranz gegen Standort-Komplettausfall (Strom, Brand, Netz, regionale Störung) sowie gegen geplante Großwartungen am primären Standort und Austausch zentraler Plattform-Komponenten.
BEKOM-Ansatz und Kostenstruktur
Über die technischen Verfügbarkeitsstufen hinaus entscheidet das Betriebsmodell, wie eine Nextcloud-Instanz langfristig wirkt. Der BEKOM-Ansatz setzt auf einen festen Ansprechpartner mit Nextcloud-Expertise, ein Hosting in zertifizierten deutschen Rechenzentren mit Defense-in-Depth-Verschlüsselung und eine Kostenstruktur, die variable Eigenbetriebs-Aufwände in eine planbare Monatspauschale überführt.
Fester Ansprechpartner mit Nextcloud-Expertise
Jede Nextcloud-Installation wird einem festen Ansprechpartner mit Nextcloud-Erfahrung zugeordnet, der App-Konfigurationen, Identity-Anbindung und Speicher-Themen direkt bearbeitet. Reaktionspfade und Eskalationsstufen sind je Installation im Service-Vertrag dokumentiert — statt anonymer Ticket-Queues oder rotierender Bereitschaft.
Aufgaben des festen Ansprechpartners:
Konfiguration der Nextcloud-Instanz, der Files-App und der Group Folders
App-Pflege für Talk, Calendar, Contacts, Mail und kundenspezifische Erweiterungen
Storage-Mount-Themen (External Storage, S3-Backend, WebDAV-Endpunkte)
Anbindung an AD, LDAP, SAML- oder OIDC-Backends (Keycloak, Entra ID)
Reaktionspfade und Eskalation:
- Service-Levels und Reaktionspfade je Nextcloud-Installation im Vertrag fixiert
- Definierte Eskalation an 2nd- und 3rd-Level-Spezialisten im Störungsfall
- Quartalsweise Service-Reviews mit Nutzungs- und Speicher-Kennzahlen
- Reporting in Abstimmung mit Datenschutz-Beauftragten und Compliance-Stellen
Hosting und Betrieb im DACH-Raum
BEKOM nutzt für Nextcloud-Installationen zertifizierte Rechenzentren in Deutschland. Konfigurations- und Wartungs-Tätigkeiten erfolgen durch deutschsprachige Techniker; Verschlüsselung und Zugriffskontrolle folgen einer Defense-in-Depth-Logik, sodass jede Schicht – Transport, Speicher, Authentifizierung, Audit – eigenständig abgesichert ist.
Betriebsumgebung:
Hosting in zertifizierten deutschen Rechenzentren (BEKOM als Nutzer)
Deutschsprachige Techniker für Konfiguration und Incident-Response
Patch-Management entlang der offiziellen Nextcloud-Release-Linie
Monitoring von File-Sync, Storage-Auslastung und Hintergrund-Jobs (Cron)
Datenhoheit und Verschlüsselung:
- Transport-Verschlüsselung mit TLS 1.2 oder höher, HSTS-Header und automatischer Zertifikats-Erneuerung
- Server-Side-Encryption für Daten in Ruhe; auf Wunsch End-to-End-Encryption für besonders schutzwürdige Inhalte
- Rollenbasiertes Zugriffsmodell mit Gruppen, Tags und Group Folders; Audit-Logs auf Anwendungs-Ebene
- Identity-Anbindung an AD, LDAP, SAML oder OIDC mit MFA über TOTP, U2F/FIDO2 oder Push-Verfahren
Planbare Kostenstruktur statt variabler Aufwände
Im Eigenbetrieb fallen Kostentreiber an, die in der internen Kalkulation oft unterschätzt werden — von der Linux-Basis bis zur Office-Integration. BEKOM überführt diese Aufwände in eine monatliche Pauschale; ein vorgelagertes Anforderungsgespräch klärt den konkreten Betriebsumfang und die zugehörige Kostenstruktur.
Typische Kostentreiber im Eigenbetrieb:
Wartung der Linux- und PHP-Basis sowie Sicherheits-Patches der Nextcloud-Instanz
Major-Updates der Nextcloud-Release-Linie mit App-Kompatibilität und Upgrade-Pfad
Storage-Skalierung, Quotas-Management und Backup-Strategien für große Datenbestände
Integration und Pflege der Office-Server (Collabora Online oder OnlyOffice Document Server)
Inhalte der Monatspauschale:
- Linux-, PHP- und Nextcloud-Patches sowie Major-Updates der Release-Linie
- Monitoring von Storage, File-Sync-Clients (Desktop, Mobile, WebDAV) und Hintergrund-Jobs
- Incident-Response über die definierten Reaktionspfade je Installation
- Service-Reviews und Reporting für Geschäftsleitung und Datenschutz-Beauftragte
Häufige Fragen zum Nextcloud-Hosting
Worin unterscheidet sich BEKOM-Nextcloud-Hosting von Standard-Cloud-Tarifen oder Massen-Hostern?
Standard-Tarife laufen typischerweise auf einer geteilten Multi-Tenant-Plattform mit einheitlicher Konfiguration für alle Kunden, einheitlichem Update-Zyklus und keinem Verhandlungs-Spielraum bei Apps oder Speicher. BEKOM betreibt jede Instanz dediziert, mit individueller Speicher-Dimensionierung, individuellem Apps-Stack, individueller Identity-Anbindung und auditfähiger Dokumentation. Der Aufpreis gegenüber Standard-Tarifen ist die Beratungs- und Individualisierungs-Komponente, die bei Compliance-Anforderungen schnell den Aufwand kompensiert.
Können wir aus Microsoft 365 oder Google Workspace strukturiert zu Nextcloud migrieren?
Ja, das ist ein typisches Szenario. Migration umfasst Mailboxen (über IMAP-Sync oder dedizierte Migrations-Tools), OneDrive- oder Drive-Inhalte (Bulk-Transfer mit Berechtigungs-Mapping), Kalender und Kontakte (CalDAV/CardDAV-Synchronisation) und SharePoint-/Group-Drive-Strukturen (Mapping auf Nextcloud Group Folders). Der Migrationsplan entsteht im Anforderungsgespräch, wird im Angebot mit Stufen-Logik dokumentiert und enthält definierte Rollback-Optionen je Migrationsstufe, sodass auch sehr große Bestände sicher übertragen werden.
Wie wird die DSGVO-Konformität konkret nachgewiesen?
Über drei Bausteine: ein AVV-Vertrag mit dokumentierten technischen und organisatorischen Maßnahmen (TOM), eine Liste der Sub-Auftragsverarbeiter mit deutscher Verortung, und ein Audit-Bericht mit den umgesetzten Schutzmaßnahmen. Auf Wunsch werden zusätzliche Nachweise (ISO 27001 des Rechenzentrums, BSI-Zertifizierung, branchenspezifische Bestätigungen) ergänzt. Das ist Teil des Standard-Pakets, kein Aufpreis — und genau das, was Datenschutz-Beauftragte als Vorlage für Audits brauchen.
Welche Office-Integration ist möglich, und wie unterscheiden sich die Optionen?
Zwei Wege stehen zur Verfügung: Collabora Online (LibreOffice-basiert, vollständig Open Source) oder ONLYOFFICE Document Server (proprietär, sehr nahe an Microsoft-Office-Format-Kompatibilität). Beide laufen entweder auf der gleichen BEKOM-Plattform oder werden separat als dedizierter Service angebunden. Welcher Weg passt, hängt von Office-Format-Kompatibilitätsbedarf (insbesondere komplexe Word-/Excel-Dateien), Lizenz-Präferenz, Performance-Profil bei kollaborativem Arbeiten und Budget ab.
Ist die Anbindung an unser bestehendes Active Directory oder andere Identity-Systeme möglich?
Ja, das ist Standard. Nextcloud unterstützt LDAP- und Active-Directory-Anbindung mit Gruppen-Mapping, Foto-Übernahme und automatischer Benutzer-Bereitstellung über bestehende Verzeichnis-Strukturen. Alternativ ist SAML- oder OIDC-Single-Sign-On möglich, etwa gegen Keycloak, Microsoft Entra ID oder andere Identity-Provider. Authentifizierungs-Architektur, MFA-Strategie und Rollen-Mapping werden im Anforderungsgespräch geklärt und im Vertrag fixiert, sodass Audit-Anforderungen ohne nachträgliche Anpassungen abdeckbar bleiben.
Wie wird Nextcloud auf Endgeräten genutzt, und ist die User Experience mit Dropbox- oder OneDrive-Clients vergleichbar?
Nextcloud bietet Desktop-Clients für Windows, macOS und Linux mit selektiver Synchronisation, Mobile-Apps für iOS und Android sowie ein modernes Web-Frontend. WebDAV-Anbindung erlaubt zusätzlich die Einbindung als Netzlaufwerk in bestehende Workflows. Funktional ist die Nutzererfahrung mit Dropbox- und OneDrive-Clients vergleichbar, mit dem entscheidenden Unterschied der Datenhoheit, der individuellen Konfigurationskontrolle und der Möglichkeit branchenspezifischer App-Erweiterungen.
Was passiert bei Verlust eines Endgeräts mit Nextcloud-Daten?
Standard-Schutz: Geräte-Authentifizierung mit App-Passwörtern (separat sperrbar pro Gerät), Remote-Wipe-Optionen für Mobile-Apps, optionale Verschlüsselung der lokalen Cache-Inhalte. Bei Verlust kann der Geräte-Zugriff zentral widerrufen werden, ohne den Benutzer-Account oder andere autorisierte Geräte anzutasten. Dieser Prozess ist im Betriebshandbuch dokumentiert und kann bei Bedarf in das interne Incident-Management des Kunden eingebunden werden.
Was kostet das Nextcloud-Hosting bei BEKOM, und wie wird kalkuliert?
Konkrete Preise stehen nicht auf der Webseite, weil Speicher-Dimensionierung, Anzahl Nutzer, aktivierte Anwendungs-Module, Identity-Integration und Verfügbarkeitsstufe stark variieren. Im Anforderungsgespräch entsteht eine Kosten-Struktur ohne Verbindlichkeit; das schriftliche Angebot enthält dann die transparente Aufschlüsselung pro Service-Bestandteil — getrennt nach Plattform-Anteil, Speicher-Anteil, Office-Server-Anteil, Migrations-Einmalkosten und optional Subscription für Apps mit kommerzieller Lizenz.
Welche Vertragslaufzeiten und Wechseloptionen gibt es?
Übliche Bandbreite reicht von 12 Monaten Mindestlaufzeit bis zu mehrjährigen Verträgen bei Multi-Site-Architekturen mit dedizierter Hardware. Eine Anpassung der Service-Stufe (z. B. Wechsel von HA auf Multi-Site, oder Erweiterung des Speicher-Profils) während der Laufzeit ist im Vertrag geregelt. Bei Vertragsende erfolgt eine strukturierte Daten-Übergabe in Standardformaten an den Kunden oder einen Folgedienstleister – es gibt keine technischen Lock-ins, da Nextcloud Open Source ist.
Wie wird die Performance bei wachsender Nutzerzahl beobachtet und skaliert?
Plattform-Monitoring beobachtet kontinuierlich Antwortzeiten, Datenbank-Last, Speicher-Auslastung und Hintergrund-Job-Durchsatz. Bei Annäherung an Schwellenwerte werden Kapazitätsanpassungen vorgeschlagen, bevor Performance-Engpässe für die Nutzer spürbar werden. Quartalsweise Service-Reviews adressieren Wachstum, Lastentwicklung und planen Skalierungs-Schritte gemeinsam mit dem Kunden im Rahmen der bestehenden Vertragsstruktur — ohne dass eine Notfall-Skalierung im laufenden Betrieb mit erhöhtem Risiko stattfinden muss.
Welche Vertragsbindung besteht beim Nextcloud-Hosting und können wir später zum Eigenbetrieb zurückkehren?
BEKOM arbeitet ohne langfristige Mindestlaufzeit beim Nextcloud-Hosting. Der Vertrag kann mit dreimonatiger Frist gekündigt werden. Bei einer Rückkehr zum Eigenbetrieb erhalten Sie alle Konfigurationsdaten, Benutzerstrukturen und Dateibestände in einem standardisierten Format. Die Nextcloud-Instanz basiert auf Open-Source-Technologie ohne proprietäre Erweiterungen, sodass eine Migration auf eigene Server oder andere Anbieter technisch problemlos möglich ist. BEKOM dokumentiert die implementierte Architektur und unterstützt bei der Datenübergabe.
Nächster Schritt: Nextcloud-Hosting-Angebot anfragen
Den Einstieg bildet ein unverbindliches Anforderungsgespräch zur geplanten Nextcloud-Nutzung. Auf Basis der Eckpunkte entsteht ein schriftliches Angebot mit individualisierter Spezifikation, Verfügbarkeitsstufe und Service-Umfang.
Das Assessment verschafft Ihnen Klarheit über die optimale Nextcloud-Architektur für Ihre Collaboration-Anforderungen. BEKOM analysiert Ihre aktuelle Datenstruktur, Identity-Landschaft und Compliance-Vorgaben und entwickelt eine konkrete Empfehlung für Apps-Auswahl, Speicher-Design und Integration in bestehende Systeme. Das Service-Design-Dokument definiert den Betriebsumfang der deutschen Nextcloud-Instanz und schafft eine auditfähige Grundlage für Ihre Datensouveränitäts-Strategie.
Anwendungsfälle gemeinsam strukturieren
Im Anforderungsgespräch klären BEKOM-Spezialisten mit Ihrem Team die Eckpunkte: geplante Anwendungen, Nutzeranzahl, Compliance-Anforderungen, Identity-Anbindung. Das Gespräch ist unverbindlich.
Spezifikation auf Ihre Anforderungen anpassen
Auf Basis des Gesprächs entsteht eine angepasste Spezifikation mit Apps-Stack, Speicher-Dimensionierung, Verfügbarkeitsstufe und Migrations-Plan, falls eine Bestandsmigration vorgesehen ist.
Schriftliches Angebot mit dokumentiertem Leistungsumfang
Das Angebot dokumentiert Leistungsumfang, AVV, Migrations-Schritte, SLA, Vertragsbedingungen und Kostenstruktur. Es bildet die Grundlage für die Vertragsverhandlung – ohne versteckte Bestandteile.