Im März 2025 berichtete Krebs on Security , dass US-Bundesermittler einen Kryptowährungsdiebstahl in Höhe von 150 Mio. $ direkt mit dem LastPass-Einbruch von 2022 in Verbindung gebracht hatten. Der Mechanismus war einfach: Einige Kunden speicherten Seed-Phrasen in den Secure Notes von LastPass, Angreifer erbeuteten verschlüsselte Tresor-Backups, und schwache oder ältere Tresor-Schutzmaßnahmen ließen einige Tresorinhalte offline knacken.
Die Lehre ist nicht, dass LastPass besonders nachlässig war. Die Lehre ist, dass jeder Einbruch, von dem du liest, die Monetarisierung der Daten von jemand anderem ist, während die Entschuldigungs-E-Mail in deinem Posteingang liegt. Self-Hosting ändert, wer das mit deinen Daten tun kann. Es ändert nicht die Tatsache, dass es immer jemand kann.
Dieser Beitrag richtet sich an Leser, deren Bedrohungsmodell kommerzielle Datenoffenlegung ist, also Big-Tech-Monetarisierung und Anbieter-Einbrüche, nicht staatliche Überwachung, hochriskanter Journalismus, Aktivismus oder rechtliche Beweissicherung. Die Architektur unten ist ein fünfschichtiger Stack für dieses spezifische Bedrohungsmodell.
Die Kurzfassung
Dieser Stack hat fünf Schichten. Jede Schicht entfernt eine verbreitete Big-Tech-Abhängigkeit, aber keine von ihnen macht dich unsichtbar.
- Netzwerk: WireGuard ersetzt ein kommerzielles VPN und begrenzt die Sichtbarkeit für ISP oder lokales Netzwerk.
- Identität: Vaultwarden ersetzt gehostete Passwort-Manager und reduziert die anbieterseitige Einbruchs-Exposition.
- Suche: SearXNG reduziert das Such-Profiling, indem es Suchen über deinen VPS leitet und sie aus deinem eingeloggten Suchkonto heraushält.
- Dateien und Fotos: Nextcloud AIO und Immich ersetzen Google Drive und Google Photos und schneiden Cloud-Inhaltsscanning und produktübergreifende Datenverknüpfung ab.
- Team-Kommunikation: Mattermost oder Rocket.Chat verschieben die Team-Chat-Historie weg von Slack, Discord oder Teams.
- Hauptgrenzen: Dein VPS-Anbieter kann weiterhin Infrastruktur-Metadaten sehen, dein ISP kann weiterhin sehen, dass du dich mit deinem Server verbindest, und dieser Stack ist nicht für Gegner auf staatlicher Ebene gebaut.
- Hinweis zur Gerichtsbarkeit: EU-Hosting stärkt das Argument der Datenhoheit, aber es ist kein magischer Schutzschild.
Self-Hosting verschiebt Vertrauen, es entfernt es nicht

Es gibt ein langlaufendes Argument auf Hacker News, und es ist auf den ersten Blick korrekt: "Self-Hosting auf einem VPS löst Privatsphäre nicht, du vertraust nur einem anderen Anbieter." Jeder, der eine Privatsphäre-Architektur entwirft, sollte sich damit direkt und nicht drumherum auseinandersetzen. Die ehrliche Antwort ist, dass die Vertrauensverschiebung asymmetrisch ist. Sie ist nicht gleichwertig.
Beginne mit dem, was Self-Hosting reduziert. Das Geschäftsmodell deines SaaS-Anbieters besteht nicht mehr darin, deine Daten zu schürfen, weil der Anbieter weg ist. Die anbieterseitige Einbruchs-Exposition ändert ihre Form: Vaultwardens Tresor ist clientseitig verschlüsselt, aber serverseitig lesbare Dienste wie Nextcloud, Mattermost und Rocket.Chat brauchen weiterhin ordentliche Härtung, Backups und Zugriffskontrolle.
Die LastPass-Lehre war nicht, dass Tresor-Verschlüsselung nie existierte. Sie war, dass gestohlene verschlüsselte Tresor-Backups, unverschlüsselte Metadaten, ältere KDF-Einstellungen und schwache Master-Passwörter einen Offline-Knack-Pfad schufen. Auch das Verhaltensprofiling über Dienste hinweg schrumpft, weil es weniger dienstübergreifende Daten für ein Unternehmen zum Zusammensetzen gibt. Der Abo-Lock-in sinkt.
Nun, was Self-Hosting nicht beseitigt. Der Hypervisor deines VPS-Anbieters kann im Prinzip den Speicher deiner VM lesen. Dein VPS-Anbieter sieht deine Metadaten auf Infrastrukturebene: mit welchen IPs du dich verbindest, wann und wie viele Daten sich bewegen.
Dein ISP sieht weiterhin, dass du dich mit deinem Server verbindest. Rechtliche Anfragen aus der Gerichtsbarkeit gelten weiterhin auf VPS-Anbieterebene, und eine richterliche Anordnung ist weiterhin eine richterliche Anordnung. Ein kompromittierter VPS, eine kompromittierte App, Datenbank oder ein Admin-Konto kann weiterhin Daten offenlegen.
Die Vertrauensrechnung ist, was zählt. Ein VPS-Anbieter hat weniger kommerziellen Anreiz, deine Daten zu schürfen, als Google oder Meta, weil die Monatsgebühr das Geschäftsmodell ist und deine Daten es nicht sind. Ein VPS-Anbieter hat weniger aggregierte Daten über dich, nämlich deinen einen Server, nicht deinen Suchverlauf, Standortverlauf und Posteingang zusammen.
In der EU operiert der Anbieter unter der DSGVO und spezifischen Vertragsbedingungen. Nichts davon macht einen VPS in jeder Dimension sicherer als Google. Es ist ein anderes Bedrohungsmodell mit einem anderen Expositionsprofil, und für das Bedrohungsmodell, das dieser Beitrag adressiert, ist es eine bedeutende Verbesserung.
Es gibt noch eine Unterscheidung, bei der es sich lohnt, präzise zu sein. Privatsphäre ist "sie wissen nicht, was ich tue". Anonymität ist "sie wissen nicht, dass ich es bin, der es tut". Self-Hosting auf einem kommerziellen VPS verbessert die Privatsphäre gegenüber SaaS-Anbietern und Drittanbieter-Plattformen.
Es gibt dir keine Anonymität gegenüber deinem VPS-Anbieter. Wenn du Anonymität brauchst, nutzt du Tor, keinen VPS, und der Rest dieses Beitrags ist das falsche Werkzeug.
Kernaussage des Abschnitts: Ein VPS verschiebt dein Vertrauen von einem SaaS-Anbieter, dessen Geschäftsmodell die Monetarisierung deiner Daten ist, zu einem Infrastrukturanbieter, dessen Geschäftsmodell der Verkauf eines Servers an dich ist. Für das Bedrohungsmodell der meisten Leser ist das eine bedeutende Verbesserung, aber es ist keine Unsichtbarkeit.
Der fünfschichtige Stack auf einen Blick

Fünf Schichten, in dieser Reihenfolge bereitgestellt: Netzwerk, Identität, Suche, Dateien, Kommunikation. Jede adressiert eine eigene Bedrohung. Du kannst sie in Etappen bereitstellen, und du kannst Schichten überspringen, die auf dich nicht zutreffen. Das Modell ist nützlicher als eine App-Liste, weil es mit deinen Sorgen skaliert und nicht mit der Anzahl der auf deinem Server laufenden Dienste.
| Schicht | Empfohlene App | Ersetzt | Schützt vor | Schützt NICHT vor | RAM-Untergrenze |
|---|---|---|---|---|---|
| Netzwerk | WireGuard | Kommerzielles VPN | ISP- und lokale Netzwerkbeobachter, Angreifer im öffentlichen WLAN | VPS-Anbieter sieht deinen Egress, DNS-Lecks, sofern nicht konfiguriert | Unter 100 MB |
| Identität | Vaultwarden | LastPass, 1Password (gehostet) | Anbieterseitige Passwort-Einbrüche, Wiederverwendung von Zugangsdaten | Schwaches Master-Passwort, kein 2FA, Phishing, Geräte-Kompromittierung | Unter 200 MB |
| Suche | SearXNG | Google Search, Bing | Such-Anfrage-Profiling, Werbe-Targeting basierend auf Anfragen | Tracking auf Seiten, die du tatsächlich besuchst, Browser-Fingerprinting | ~250 MB |
| Dateien und Fotos | Nextcloud AIO + Immich | Google Drive, Google Photos | Cloud-Anbieter-Inhaltsscanning, produktübergreifende Datenverknüpfung | VPS-Speichervolumen (Verschlüsselung im Ruhezustand liegt bei dir), geräteseitige Kompromittierung | 4 GB floor for Nextcloud AIO alone; 8 GB / 4 vCPU safer once Immich ML is enabled |
| Kommunikation | Mattermost oder Rocket.Chat | Slack, Discord (Team-Nutzung) | Anbieterseitige Nachrichtenarchivierung und Inhaltsscanning | Ende-zu-Ende-Verschlüsselung (diese sind standardmäßig nicht E2EE) | Mattermost: 2 GB Untergrenze; Rocket.Chat: 4 GB+ |
Kernaussage des Abschnitts: Beginne mit WireGuard, Vaultwarden und SearXNG, wenn du den leichtesten Privatsphäre-Stack willst. Füge Nextcloud, Immich und Team-Chat erst hinzu, wenn du für höheren RAM-Verbrauch, Speicherplanung, Backups und mehr Admin-Arbeit bereit bist.
Schicht 1: Die Netzwerkschicht (WireGuard)

WireGuards Konfigurationsdatei für ein typisches Einzelnutzer-Setup ist zwölf Zeilen lang. Sein Handshake schließt in einer Hin- und Rückrunde ab und nutzt das Noise-Protokoll-Framework. Das Kernel-Modul ist seit 5.6 in der Mainline von Linux, was bedeutet, dass das Protokoll, das du 2026 bereitstellst, dasselbe ist, das seit Jahren auditiert und stabil ist. Das ist die richtige Voreinstellung.
Was diese Schicht adressiert: ISP- und lokale Netzwerkbeobachter, die sonst jede Domain sehen würden, mit der du dich verbindest, Angreifer im öffentlichen WLAN und deine Heim-IP, die jedem von dir besuchten Dienst offengelegt wird. Dein Traffic verlässt das Netz über deinen VPS statt über deine Wohnung.
Was sie nicht adressiert: die Sicht deines VPS-Anbieters auf deinen Traffic-Egress. Sie sehen, womit sich dein VPN-Endpunkt verbindet, wann und wie viel. WireGuard verbirgt den Traffic vor deinem ISP. Es verbirgt den Traffic nicht vor dem Server, der den Egress betreibt.
DNS-Lecks sind ebenfalls ein separates Problem und werden nicht automatisch gehandhabt; du musst deine VPN-Clients auf einen Resolver zeigen, dem du vertraust. Betreibe Unbound auf demselben VPS, oder nutze einen vertrauenswürdigen Upstream über DoT oder DoH. Vollständiges DNS-basiertes Werbeblocking mit Pi-hole ist ein separates Thema und für die meisten Nutzer nicht das Richtige, um es mit einem VPN-Egress zu kombinieren (mehr dazu unten).
WireGuard im Vergleich zu den Alternativen, kurz. OpenVPN funktioniert noch. Der Handshake ist größer, der Metadaten-Fußabdruck ist größer, und der Durchsatz ist niedriger. Es gibt keinen Grund, es für ein neues Deployment zu wählen, es sei denn, du brauchst speziell eine Funktion, die WireGuard nicht bietet.
Tailscale ist ein anderes Tool: Es ist ein zero-config-Mesh, das auf WireGuard aufbaut, und ist hervorragend, um deine eigenen selbst gehosteten Dienste über Maschinen hinweg zusammenzufügen. Es ist nicht das, was du als Privatsphäre-Egress ins Internet willst, weil die Koordinationsebene von Tailscale gehostet wird.
Hinweis: Das Ändern des Standard-Ports 51820/UDP kann Scans mit geringem Aufwand reduzieren, aber es lässt WireGuard nicht wie gewöhnlichen HTTPS-Traffic aussehen und umgeht keine ernsthafte Filterung. Behandle es als Scan-Reduktion, nicht als Tarnung.
Für die Bereitstellung haben wir eine Schritt-für-Schritt- WireGuard-Einrichtungsanleitung für Ubuntu die mit dieser Architektur zusammenpasst.
Kernaussage des Abschnitts: WireGuard auf deinem VPS gibt dir einen privaten Netzwerk-Egress, den dein ISP nicht inspizieren kann, aber es verbirgt deinen Traffic nicht vor dem VPS-Anbieter, der den Egress betreibt.
Schicht 2: Die Identitätsschicht (Vaultwarden)

Vaultwarden läuft mit unter 200 MB RAM. Es ist eine Rust-Neuimplementierung der Bitwarden-API, kompatibel mit jedem offiziellen Bitwarden-Client (Browser-Erweiterungen, Desktop-Apps, mobile Apps), und es erfordert nicht das schwergewichtige Bitwarden-Server-Referenz-Image. Für einen einzelnen Nutzer oder einen Haushalt ist das die richtige Größe.
Was diese Schicht adressiert: anbieterseitige Passwort-Einbrüche, wie das LastPass-artige Versagen, bei dem Tresorinhalte ausgelaufen und schließlich offline entschlüsselt wurden. Die Wiederverwendung von Zugangsdaten über Dienste hinweg wird mechanisch schwerer, sobald du einen Passwort-Manager hast, den du tatsächlich nutzt. Die Aggregation von Identitätsprofilen über Dienste hinweg sinkt, weil kein Dritter die Liste sieht.
Was sie nicht adressiert: deine eigene OpSec. Ein schwaches Master-Passwort, kein 2FA auf dem Tresor oder ein erfolgreicher Phishing-Angriff auf dich macht diese Schicht vollständig zunichte. Ein kompromittiertes Gerät mit einer eingeloggten Browser-Erweiterung macht sie noch vollständiger zunichte. Vaultwarden ist ein Tresor, kein Ersatz für die Grundlagen.
Es gibt eine operative Warnung, die in diesem Stack mehr als jede andere zählt. Deinen Passwort-Manager selbst zu hosten bedeutet, dass du für Backups verantwortlich bist. Ein VPS, der im falschen Moment ausfällt, oder ein Server, den du versehentlich löschst, sperrt dich aus jedem Konto aus, das diese Schicht schützt.
XDA Developers hat dieses Risiko ebenfalls direkt behandeltund gewarnt, dass ein selbst gehosteter Passwort-Manager dich aus wichtigen Konten aussperren kann, wenn Zugriff, Backups oder Wiederherstellungsplanung versagen.
Warnung: Führe automatisierte verschlüsselte Backups des Vaultwarden-Datenverzeichnisses durch. Behalte einen verschlüsselten Offline-Export, bewahre Wiederherstellungscodes separat auf und teste die Wiederherstellung auf einem Ersatzgerät oder in einem temporären Container. Verlasse dich nicht auf ein einziges VPS-Backup. Das ist nicht optional. Das ist der Preis dafür, den Tresor aus der Anbieter-Infrastruktur herauszunehmen.
Wenn du später Single Sign-on über mehrere selbst gehostete Dienste zentralisierst, ist Authentik der quelloffene Identitätsanbieter, bei dem die meisten Leute landen. Das ist eine fortgeschrittene Schicht und liegt außerhalb des Umfangs des Kern-Stacks.
Für die Bereitstellung ist unsere Vaultwarden-Self-Hosting-Anleitung der Bereitstellungsbegleiter. Für einen tieferen Blick auf die Passwort-Manager-Landschaft siehe unseren Leitfaden zu den besten selbst gehosteten Passwort-Managern.
Kernaussage des Abschnitts: Vaultwarden verschiebt deinen Passwort-Tresor aus einbruchsanfälliger Anbieter-Infrastruktur heraus, aber es legt die Backup- und Wiederherstellungslast auf dich, und diese Last ist real.
Schicht 3: Die Such- und Browsing-Schicht (SearXNG)

Eine SearXNG-Instanz empfängt deine Anfrage, fächert sie an Upstream-Engines auf (Google, Bing, DuckDuckGo, andere, die du aktivierst), entfernt einige identifizierende Parameter und gibt eine einheitliche Ergebnisseite zurück.
Deine Anfragen erreichen Google, aber sie erreichen Google als Anfragen von deinem VPS, nicht von deinem eingeloggten Suchkonto. Eine Einzelnutzer-Instanz erzeugt keinen großen Anonymitätspool, sodass Upstream-Engines Anfragemuster weiterhin mit dieser VPS-IP verknüpfen können.
Was diese Schicht adressiert: Such-Anfrage-Profiling, verhaltensbasiertes Werbe-Targeting, das an deinen eingeloggten Suchverlauf gekoppelt ist, und das lange Gedächtnis eines Suchkontos. Das "Warum sehe ich Werbung für das, wonach ich gestern gesucht habe"-Problem wird auf der Ebene des Suchkontos reduziert.
Was sie nicht adressiert: Tracking durch Seiten, auf die du tatsächlich durchklickst. Cookies, Fingerprinting und Tracker auf Drittanbieter-Seiten sind ein browserseitiges Problem, kein suchseitiges. Nutze eine gehärtete Browser-Konfiguration, um das zu adressieren.
SearXNG anonymisiert dich auch nicht gegenüber der Upstream-Suchmaschine, wenn dein VPS nur deine Anfragen an sie sendet; aggregierter Traffic von einer geschäftigen Instanz verbirgt einzelne Nutzer im Rauschen, aber eine Einzelnutzer-Instanz kann immer noch wie das Suchmuster eines einzelnen Nutzers aussehen.
Whoogle Search ist die leichtere Alternative. Es ist ein Google-Frontend, einfacher, und macht eine Sache. SearXNG aggregiert mehrere Engines, was nützlicher ist, wenn dein Grund, Google zu verlassen, nicht speziell Google war. Wähle auf Basis dessen, wie viele Quellen du tatsächlich willst.
Eine operative Anmerkung für Einzelnutzer-Instanzen. SearXNG leitet Anfragen an Upstream-Engines weiter, und Google kann verdächtige Traffic-Muster ratenbegrenzen. Ein einzelner Nutzer stößt selten daran. Eine kleine öffentliche Instanz könnte es. Wenn Anfragen zu scheitern beginnen, reduziere die Anzahl der Upstream-Engines, justiere SearXNGs Limiter-Einstellungen, oder stütze dich stärker auf weniger feindselige Upstream-Engines.
Kernaussage des Abschnitts: SearXNG leitet deine Suchen über deinen VPS und hält sie aus deinem eingeloggten Suchkonto heraus. Es reduziert direktes Such-Profiling, aber eine private Einzelnutzer-Instanz erzeugt keinen großen Anonymitätspool.
Schicht 4: Die Dateien- und Fotos-Schicht (Nextcloud AIO + Immich)

Nextcloud AIO ist das All-in-One-Docker-Deployment von Nextcloud und ist der Weg des geringsten Widerstands zu einem funktionierenden Server für Dateisynchronisation, Kalender, Kontakte und Dokumentenzusammenarbeit.
Immich ist das Foto-Gegenstück: Timeline-Ansicht, mobiler Auto-Upload von iOS und Android, Gesichtserkennung im Google-Photos-Stil, verarbeitet auf deinem eigenen Server oder gewählten ML-Host, und ein ehrlicher Community-Konsens, dass es der derzeit nutzbarste Google-Photos-Ersatz ist, der ausgeliefert wird.
Das sind keine leichtgewichtigen Anwendungen. Nextcloud AIO sollte als 4-GB-/2-vCPU-Grundlinie behandelt werden; Immichs maschinelles Lernen, Thumbnail-Generierung und der erste Bibliotheks-Scan nutzen, was du ihnen gibst.
Was diese Schicht adressiert: Cloud-Speicher-Anbieter-Scanning, Foto-Inhaltserkennung und cloudseitige Verarbeitung, die eine sensible persönliche Bibliothek innerhalb eines Anbieterkontos halten, sowie Datenzentralisierung auf Kontoebene, die Dateien, Fotos, Suche, Standortverlauf und Identitätssignale unter einem Unternehmenskonto hält.
Dies durch einen Server zu ersetzen, den du kontrollierst, bricht diese Zentralisierung auf.
Was sie nicht adressiert: Die Bytes liegen weiterhin auf einem Speichervolumen, das dein VPS-Anbieter betreibt. Verschlüsselung im Ruhezustand ist deine Verantwortung, nicht standardmäßig ihre. Geräteseitige Kompromittierung ist ein separates Problem; wenn dein Telefon gerootet ist, ist der Nextcloud-Client darauf exponiert, egal wo der Server lebt.
Wenn dein einziger Bedarf "diese Ordner zwischen meinen Geräten synchron halten" ist, ist Syncthing das einfachere Tool. Es ist Peer-to-Peer, hat keinen Server in der Mitte und macht diese eine Aufgabe gut. Es ist kein Ersatz für die Kalender-, Kontakt- und Kollaborationsfunktionen, die Nextcloud bietet; es ist ein Ersatz für die Teilmenge der Dateisynchronisation.
Für Immich speziell zählt eine praktische Dimensionierungsregel. Nextcloud AIO sollte als 4-GB-/2-vCPU-Grundlinie behandelt werden. Immich ist kein leichtes Foto-Beiwerk, sobald maschinelles Lernen, Thumbnails und ein erster Bibliotheks-Scan ins Spiel kommen. Plane rund 6-8 GB RAM für Immich-lastige Setups ein, besonders während der Migration.
Für die Bereitstellung haben wir einen Nextcloud-vs.-ownCloud-Vergleich für Nutzer, die noch zwischen den beiden wählen, und einen breiteren selbst gehostete Cloud-Plattformen mit Web-UI Überblick, falls du den Bereich sondierst.
Kernaussage des Abschnitts: Nextcloud und Immich können Dateien und Fotos aus Google-artigen Cloud-Konten herausbewegen, aber sie sind die erste Schicht in diesem Stack, die ernsthaften RAM, Speicher, Backup-Planung und Migrationsgeduld braucht.
Schicht 5: Die Kommunikationsschicht (Mattermost oder Rocket.Chat)

Slack-Workspaces sind von Slack durchsuchbar. Discord scannt Inhalte auf ToS-Verstöße. Microsoft Teams bewahrt Chat-Aufzeichnungen unter den Richtlinien deines Mandanten auf, die Richtlinien sind, die deine IT-Organisation sehen kann.
Für Team- oder Familien-Chat, der an keinem dieser Orte leben sollte, ist ein selbst gehostetes Mattermost oder Rocket.Chat die Standardantwort. Bei dieser Schicht geht es darum, Team-Archive aus SaaS herauszuhalten, nicht um privaten Ende-zu-Ende-Chat.
Was diese Schicht adressiert: anbieterseitige Nachrichtenarchivierung, anbieterseitiges Inhaltsscanning und den Zugriffsverlust, der passiert, wenn der Anbieter entscheidet, dass dein Konto ein Problem ist. Die Nachrichtenhistorie deines Teams liegt auf deinem Server.
Was sie nicht adressiert, und das ist wichtig: Ende-zu-Ende-Verschlüsselung. Mattermost und Rocket.Chat sind standardmäßig nicht E2EE. Der Server-Admin kann Nachrichten lesen. Der Server-Admin bist jetzt du, was besser ist, als wenn es die Mitarbeiter eines SaaS-Anbieters wären, aber das Prinzip zählt weiterhin für das Bedrohungsmodell deines Teams.
Für sichere Einzelgespräche ist Signal die richtige Antwort, kein selbst gehosteter Server. Wenn die Kommunikationsschicht standardmäßig E2EE sein muss, schau dir Matrix/Element an oder nutze stattdessen Signal für persönliche Chats. Self-Hosting löst Team-Messaging ohne Anbieter; es ersetzt Signal nicht für persönliche Bedrohungsmodelle.
Mattermost im Vergleich zu Rocket.Chat. Beide sind gültig. Mattermost ist straffer, stärker enterprise-geformt und hat standardmäßig weniger optionale Funktionen aktiviert. Rocket.Chat ist breiter, integriert mehr Kanaltypen und hat ein größeres Plugin-Ökosystem. Beide sind für den typischen Privatsphäre-Stack-Anwendungsfall eines kleinen Team- oder Familien-Chats in Ordnung.
2026-Vorbehalt: Prüfe die genaue kostenlose Edition, bevor du Mattermost bereitstellst. Mattermost Entry hat eine Historien-Obergrenze von 10.000 Nachrichten, während die Team Edition diese Obergrenze vermeidet, aber ihre eigenen Limits hat. Für Rocket.Chat plane mehr als einen winzigen 1-GB-VPS ein, weil MongoDB, Uploads und Integrationen Overhead hinzufügen.
Kernaussage des Abschnitts: Ein selbst gehostetes Mattermost oder Rocket.Chat entfernt das Chat-Archiv deines Teams von einem SaaS-Anbieter, aber wenn du echte Ende-zu-Ende-Verschlüsselung zwischen zwei Personen brauchst, ist Signal weiterhin das richtige Werkzeug.
Was man NICHT selbst hosten sollte (und warum)
Manche Dinge, die so aussehen, als gehörten sie in einen Privatsphäre-Stack, tun es nicht. Sie aufzulisten ist Teil des Aufbaus eines vertrauenswürdigen Stacks.
E-Mail. Hoste keine E-Mail selbst, wenn du nicht bereits ein erfahrener Linux-Operator bist, der das speziell will. PrivacyGuides hat dazu eine klare und bekannte Position, und es ist die richtige: Nur fortgeschrittene Nutzer sollten ihren eigenen Mailserver betreiben. Die Gründe sind nicht technische Neugier. SPF, DKIM und DMARC müssen konfiguriert und korrekt gehalten werden.
IP-Reputation muss verdient und gepflegt werden. Spam-Filterung ist ein permanenter Zustand. Der Zustellbarkeitskampf mit Gmail ist kein Einrichtungsschritt; er ist eine fortlaufende Bedingung. Für alle anderen ist ein verwalteter, privatsphäre-respektierender Anbieter wirklich die richtige Antwort für diese Schicht.
Proton Mail, Tuta (früher Tutanota) und Mailbox.org sind alle gute Wahlen. Das ist eine harte Regel dieses Beitrags: Hoste E-Mail nicht selbst für Privatsphäre im allgemeinen Publikum.
Pi-hole als primärer DNS-Resolver deines Heimnetzwerks, auf einem VPS. Pi-hole ist großartig. Es als rekursiven Resolver für das gesamte Internet deines Haushalts auf einen VPS zu legen, ist ein Single Point of Failure, der das Internet für alle im Haus bricht, wenn der VPS Schluckauf hat. Pi-hole gehört auf einen Raspberry Pi zu Hause. Es ist nicht Teil dieses Stacks.
Föderierte soziale Medien. Mastodon, Pleroma und der Rest sind interessant und benachbart. Die Adoption ist die Hauptbeschränkung, nicht die Privatsphäre. Sie sind für manche Leute die richtige Antwort, aber nicht zentral für einen Privatsphäre-Stack, der darauf ausgerichtet ist, deine eigenen Daten von Big Techs Servern zu holen.
Anonymitäts-Tools. Tor, I2P, Mixnets. Anderes Bedrohungsmodell, anderer Beitrag. Wenn du sie brauchst, weißt du es bereits.
Die Zusammenfassung: Proton Mail oder ein Pendant ist eine verwaltete Alternative für eine spezifische Schicht, und das anzuerkennen ist Teil eines Stacks, der es wert ist, genutzt zu werden. Self-Hosting hilft dort, wo diese Anbieter nicht den vollen Workflow abdecken: Fotos, Suche, eigene Analysen und Team-Chat. Für Privatsphäre im allgemeinen Publikum ist E-Mail die eine Schicht, die dieser Stack auslagern sollte.
Kernaussage des Abschnitts: Die meisten Nutzer sollten E-Mail nicht selbst hosten. Ein privatsphäre-respektierender verwalteter Anbieter wie Proton Mail ist wirklich die bessere Antwort für diese eine Schicht, und das anzuerkennen ist Teil des Aufbaus eines vertrauenswürdigen Stacks.
Wo man es betreibt: VPS-Dimensionierung und Gerichtsbarkeit

Die Dimensionierungsfrage ist nicht abstrakt. Dieser Stack hat drei praktische Formen: den leichten Privatsphäre-Kern, die Dateien-Schicht und die foto-lastige Version, die Immichs maschinelles Lernen ins Spiel bringt. Der Sprung von einem zum nächsten ist nicht kosmetisch. Dateien, Thumbnails, Gesichtserkennung und die Erstbibliotheks-Migration sind das, was einen kleinen VPS in ein richtiges Server-Budget verwandelt.
| Deployment-Form | Enthaltene Apps | Realistische VPS-Untergrenze |
|---|---|---|
| Minimal funktionsfähiger Stack | WireGuard, Vaultwarden, SearXNG | 2 GB RAM / 1 vCPU |
| Nextcloud-Grundlinie | WireGuard, Vaultwarden, SearXNG, Nextcloud AIO | 4 GB RAM / 2 vCPU |
| Dateien- und Fotos-Stack | WireGuard, Vaultwarden, SearXNG, Nextcloud AIO, Immich | 8 GB RAM / 4 vCPU |
| Hinweis zu Speicher und Backup | Hauptsächlich Nextcloud und Immich | NVMe-Speicher + serverexterne Backups |
Lies die Tabelle so:
- Minimal-Stack deckt die drei ertragreichsten Schichten ab: Netzwerk, Identität und Suche.
- Nextcloud-Grundlinie braucht mehr Spielraum, weil PHP, Datenbankarbeit, Datei-Indizierung, Sync-Jobs und die Web-UI alle zusammen laufen.
- Dateien- und Fotos-Stack braucht ein größeres Budget, weil Immichs maschinelles Lernen, Thumbnails, Gesichtserkennung und der erste Fotobibliotheks-Scan den Server während der Migration hart treffen können.
- Speicher ist wichtig, weil Rechenleistung nur die halbe Planung ist. Dateien und Fotos brauchen Platz zum Wachsen, Backups abseits des VPS und einen Wiederherstellungspfad, der noch funktioniert, wenn der Server weg ist.
Dann gibt es die Gerichtsbarkeit. Im Juni 2025 sagte Microsoft vor dem französischen Parlament aus , dass es nicht garantieren könne, dass EU-gehostete Daten vor US-Rechtszugriff geschützt würden. Diese Aussage rückte das Argument der Datenhoheit aus der Theorie in die politische Mainstream-Diskussion.
Für Nutzer, die Datenhoheit priorisieren, sind die Gerichtsbarkeit des Unternehmens, der Rechenzentrumsstandort, Verträge, das Verschlüsselungsmodell und der Backup-Standort allesamt wichtig.
If CLOUD Act Exposition ist Teil der Sorge, behandle ein EU-Rechenzentrum allein nicht als die ganze Antwort. Ein Anbieter mit Hauptsitz außerhalb der USA und einer europäischen Region passt sauberer als die EU-Region eines US-Hyperscalers, aber das macht die Daten dennoch nicht rechtlich unantastbar.
Der Vorbehalt: Gerichtsbarkeit ist Reibung, nicht Unverwundbarkeit. Eine deutsche richterliche Anordnung ist weiterhin eine richterliche Anordnung. Eine niederländische ebenfalls. Genauso eine Schweizer Rechtsanfrage. Europäisches Hosting kann einige direkte Exposition gegenüber US-Cloud-Anbietern reduzieren und lokale Rechtsverfahren hinzufügen, aber es macht Daten nicht rechtlich unantastbar.
Für das Bedrohungsmodell der meisten Leser ist die zusätzliche Reibung nützlich. Sie ist kein magischer Schutzschild.
Kernaussage des Abschnitts: Der leichte Stack kann auf einem kleinen VPS laufen, aber Dateien und Fotos ändern das Budget. Nutze 4 GB / 2 vCPU als reine Nextcloud-Grundlinie, und plane näher an 8 GB / 4 vCPU für ein foto-lastiges Immich-Setup. Cloudzy Marketplace senkt den Einrichtungsaufwand für die Kern-Apps, während die Gerichtsbarkeit rechtliche Reibung hinzufügt, nicht Unsichtbarkeit.
Wie man den Stack bereitstellt, ohne die Einrichtung zum Projekt zu machen
Du kannst jede Schicht manuell bauen. Das ist in Ordnung, wenn die Einrichtungsarbeit Teil des Reizes ist. Für die meisten Leser ist sie es nicht. Der Sinn dieses Stacks ist, von Big Techs Datengravitation wegzukommen, nicht eine Woche damit zu verbringen, Docker, Ports, DNS und Service-Dateien zu debuggen, bevor die erste App überhaupt läuft.
Der reibungsärmere Pfad ist, von einem funktionierenden VPS-Image auszugehen und von dort aus zu härten. Cloudzy Marketplace enthält Ein-Klick-VPS-Images für WireGuard, Vaultwarden, SearXNG, Nextcloud AIO und andere selbst gehostete Tools, sodass das Basis-Deployment nicht der Teil ist, der das Wochenende auffrisst.
Die Arbeit, die weiterhin zählt, ist die Arbeit, die kein Marketplace für dich erledigen kann: DNS, Firewall-Regeln, Backups, Zugriffskontrollen, Updates und das Testen der Wiederherstellung.
Der Server darunter zählt auch weiterhin. Dieser Stack ist Speicher, Netzwerk, Regionswahl und Spielraum, nicht nur App-Namen in einer Tabelle. Cloudzy gibt dir NVMe-gestützte VPS-Infrastruktur, vollen Root-Zugriff, 13 Regionen, 40-Gbps-Netzwerk, 99,95 % Verfügbarkeit und ein 14-Tage-Geld-zurück-Fenster.
Beginne klein für WireGuard, Vaultwarden und SearXNG. Steige für Nextcloud auf. Plane ernsthafter für Immich, sobald maschinelles Lernen, Thumbnails und Foto-Migration ins Spiel kommen.
Wie man anfängt
Fünf Schichten, jede adressiert eine spezifische Bedrohung. Keine von ihnen behauptet, dich unsichtbar zu machen. Alle reduzieren spezifische kommerzielle Datenoffenlegung, die du derzeit standardmäßig akzeptierst.
Wähle die eine Schicht, die deinen konkretesten aktuellen Schmerz adressiert. Wenn du jemals eine Einbruchs-Benachrichtigungs-E-Mail geöffnet hast, ist das die Identitätsschicht. Wenn du bemerkt hast, dass dir Werbung über Seiten folgt, die du nie besucht hast, ist das die Suchschicht. Stelle diese bereit. Die Architektur skaliert. Die Entscheidung anzufangen muss es nicht.
Die Einrichtung einer einzelnen Schicht dauert höchstens ein Wochenende. Die Konfigurationsdateien sind kurz. Es gibt keinen Grund, dass es komplizierter sein muss als das.
Häufig gestellte Fragen
Schützt Self-Hosting auf einem VPS meine Privatsphäre tatsächlich, oder vertraue ich nur einem anderen Anbieter?
Ja, für dieses Bedrohungsmodell. Es verschiebt Vertrauen von SaaS-Anbietern, die Nutzerdaten monetarisieren, zu einem VPS-Anbieter, der Infrastruktur verkauft. Das reduziert kommerzielle Exposition und dienstübergreifendes Profiling, aber es verbirgt keine VPS-Metadaten, ISP-Verbindungsaufzeichnungen, kompromittierte Geräte oder Überwachung auf staatlicher Ebene.
Was ist der minimale selbst gehostete Privatsphäre-Stack, mit dem ich anfangen sollte?
Beginne mit WireGuard, Vaultwarden und SearXNG. Diese decken Netzwerksichtbarkeit, das Einbruchsrisiko des Passwort-Anbieters und das Profiling der eingeloggten Suche auf einem VPS mit 2 GB RAM ab. Füge Nextcloud später hinzu; füge Immich erst hinzu, wenn du mehr RAM, Speicher und Backup-Disziplin hast.
Ist Hosting in Frankfurt oder Amsterdam tatsächlich besser für die Privatsphäre als die USA?
Europäische Regionen können einige direkte Exposition gegenüber Anbietern mit US-Hauptsitz reduzieren, aber sie machen Daten nicht rechtlich unantastbar. Die Gerichtsbarkeit des Unternehmens, der Rechenzentrumsstandort, Verträge, Verschlüsselung und der Backup-Standort sind allesamt wichtig. Deutsche, niederländische oder Schweizer Rechtsanfragen können weiterhin gelten.
Sollte ich meine E-Mail aus Privatsphäregründen selbst hosten?
Für fast jeden, nein. E-Mail-Self-Hosting erfordert SPF, DKIM, DMARC, IP-Reputation, Spam-Filterung und konstante Zustellbarkeitsarbeit. Nutze einen verwalteten Privatsphäre-Anbieter wie Proton Mail, Tuta oder Mailbox.org. PrivacyGuides empfiehlt selbst gehostete E-Mail nur für fortgeschrittene Nutzer.
Wovor schützt mich WireGuard tatsächlich?
WireGuard leitet den Traffic über deinen VPS und begrenzt, was dein ISP und lokales Netzwerk sehen können. Es verbirgt den Egress-Traffic nicht vor dem VPS-Anbieter. Sie können weiterhin Verbindungs-Metadaten, Ziel-IPs, Timing und Volumen sehen. Es ist Privatsphäre vor deinem ISP, nicht Unsichtbarkeit.