Self-Hosted vs. Local-First: welche Privacy-Architektur passt zu deinem Personal CRM?
Self-Hosting heißt volle Kontrolle plus Server-Pflege; Local-First hält Daten auf dem Gerät, Sync optional verschlüsselt. Bedrohungsmodelle, Kosten, Wahl.
Self-Hosted und Local-First sind die zwei ernsthaften Antworten auf dieselbe Sorge — Beziehungsnotizen in einer fremden Cloud —, und sie sind nicht austauschbar. Die eine tauscht Bequemlichkeit gegen Kontrolle und drückt dir einen Server in die Hand. Die andere hält die Primärkopie auf deinem Gerät und gibt dir fast nichts zu betreiben. Welcher Tausch passt, hängt an dir, nicht an der Software.
Zwei Architekturen, ein Motiv
Ein Personal CRM enthält die sensibelste Datenbank, die die meisten Menschen je freiwillig anlegen: wer dir wichtig ist, was dir anvertraut wurde, wann ihr zuletzt gesprochen habt, was im Leben einer Person gerade zerbrechlich ist. Das im Klartext auf die Server eines Anbieters zu legen heißt, nicht nur der heutigen Firma zu vertrauen, sondern jedem künftigen Eigentümer, jedem Preis-Schwenk, jeder stillen Übernahme.
Beide Architekturen in diesem Vergleich verweigern diese Wette — unterschiedlich. Ein Self-Hosted CRM holt den Server unter deine Kontrolle: Die Anwendung läuft auf einer Maschine, die du mietest oder besitzt, und der Anbieter verschwindet komplett aus dem Datenpfad. Local-First-Software schafft stattdessen den Pflicht-Server ab: Die Primärkopie lebt auf dem Gerät in deiner Hand, die App funktioniert vollständig offline, und ein Server — falls du einen aktivierst — schrumpft zum Relay für verschlüsselten Sync zwischen deinen eigenen Geräten. Der Begriff stammt von Kleppmann, Wiggins, van Hardenberg & McGranaghan (2019), deren Paper den Test formuliert, den jede „private“ App bestehen sollte: Wenn der Anbieter morgen verschwindet — läuft die Software dann noch, mit deinen Daten intakt, auf Hardware, die du kontrollierst?
Beide Architekturen bestehen diesen Test. So ziemlich alles andere an ihnen unterscheidet sich.
Self-Hosting: Kontrolle als Nebenjob
Das Referenzprodukt heißt Monica — Open Source unter AGPL v3, gepflegt seit 2017, installierbar per Docker oder von Hand, mit einer wirklich kostenlosen selbstgehosteten Edition. Wir vergleichen sie ausführlich auf der Seite Endearist vs. Monica, und die Kurzfassung gilt: Wer ein umfassendes, web-basiertes Aufzeichnungssystem will und gern Software betreibt, ist mit Monica self-hosted ausgezeichnet bedient.
Das Geld ist der einfache Teil. Ein kleiner VPS für rund einen Dollar im Monat bringt drei Jahre Self-Hosting auf etwa 30 € — gegenüber rund 270 € für Monica Cloud bei 9 $ im Monat über denselben Zeitraum. Billiger in Cash wird ein Personal CRM nicht.
Die ehrliche Rechnung ist die Zeit. Eine PHP/Laravel-Anwendung mit MySQL-Datenbank selbst zu hosten heißt: Betriebssystem-Patches, App-Upgrades samt gelegentlich brechender Migrationen, TLS-Verlängerung und Backups, die du restore-testest statt nur einzuplanen. Ein paar Stunden im Monat, wenn alles gut geht; ein ungeplanter Abend, wenn nicht. Und die Pflicht hat eine scharfe Kante: Ein selbstgehostetes CRM, das keine Patches mehr bekommt, verfällt nicht höflich. Es steht mit öffentlicher IP-Adresse im Netz, voll mit intimen Daten über alle, die du kennst, und sammelt bekannte Sicherheitslücken. Vernachlässigtes Self-Hosting ist keine kleinere Form von Privatsphäre — es ist eine Haftung, die die Anbieter-Cloud nie war. Aus DSGVO-Sicht kommt dazu: Du bist dann der Betreiber eines aus dem Internet erreichbaren Systems mit Daten über Dritte — ein Einbruch ist dein Vorfall, niemand sonst räumt auf.
Zwei weitere Trade-offs gehören klar benannt. Monica ist web-only: kein nativer Desktop-Client, und mobil heißt Web-App im Handy-Browser — benutzbar, nicht schön. Und die Kontrolle ist real, aber gebündelt: Du bist das Security-Team, der Backup-Operator und die Person, die um 23 Uhr merkt, dass das Zertifikat abgelaufen ist.
Local-First: das Gerät ist die Quelle der Wahrheit
Local-First dreht die Topologie um. Die Datenbank lebt auf deinem Handy oder Laptop — bei Endearist als lokaler Speicher, der sich jederzeit nach reinem Markdown exportieren lässt —, und die App ist so gebaut, dass sie ganz ohne Netz vollständig ist. Sync über Geräte hinweg ist optional und Ende-zu-Ende-verschlüsselt (AES-256-GCM, Schlüssel verlassen deine Geräte nie), geroutet wahlweise über den Relay des Anbieters oder über Speicher, den du ohnehin kontrollierst: iCloud, Google Drive, WebDAV. Was auch immer den Traffic trägt, sieht Ciphertext.
Was du dafür bekommst, ist die Abwesenheit einer Betriebslast statt der Anwesenheit eines Servers. Nichts zu patchen, nichts öffentlich adressierbar, keine Angriffsfläche jenseits des Geräts, das du ohnehin mit Code und Festplattenverschlüsselung sicherst. Der Privacy-Boden liegt standardmäßig hoch — und das zählt, denn Standardeinstellungen sind das, was die meisten Menschen tatsächlich betreiben. Rein private Nutzung fällt zudem unter die Haushaltsausnahme der DSGVO — du wirst nicht ungewollt zum Verantwortlichen mit Melde-Pflichten.
Was es dich kostet, ist eine andere Abhängigkeit: vom App-Binary des Anbieters. Es gibt keine AGPL-Codebasis, die du heute Nachmittag forken könntest, keinen Community-Fork in Wartestellung, falls die Entwicklung stoppt. Ehrliche Local-First-Anbieter kompensieren das strukturell — und genau das solltest du einfordern: Exporte in offenen Formaten, testbar in der Trial; Offline-Betrieb, der einen Anbieter-Shutdown zur Unannehmlichkeit macht statt zum Notfall; und ein schriftliches Source-Release-Versprechen, dass der Code bei Schließung oder Übernahme veröffentlicht wird. Mit diesen dreien hat die Abhängigkeit einen Boden. Ohne sie ist „local-first“ nur ein Cache mit gutem Marketing.
Self-Hosted (z. B. Monica)
Dein Server, deine Datenbank, AGPL-Code zum Lesen und Forken. Kostenlose Software plus ~30 € VPS über drei Jahre. Web-only — keine nativen Mobile- oder Desktop-Apps. Der wiederkehrende Preis ist Betrieb: Patches, Upgrades, TLS, getestete Backups — solange dir die Daten wichtig sind. Beste Kontrolle für Menschen, die Server als Handwerk betreiben.
Local-First
Primärkopie auf deinem Gerät; voll funktionsfähig offline; optionaler E2E-verschlüsselter Sync über einen Relay, der nur Ciphertext sieht. Native Apps, null Betrieb, hoher Privacy-Boden ab Werk. Die Abhängigkeit wandert zum App-Anbieter — abgefedert durch offene Exporte, Offline-Betrieb und Source-Release-Versprechen. Alle drei vor dem Vertrauen prüfen.
Bedrohungsmodelle, ehrlich sortiert
„Privater“ ist bedeutungslos, solange der Gegner keinen Namen hat. Also Namen.
Geschäftsmodell-Drift des Anbieters — der realistische Fall: Preis-Schwenks, Übernahmen, Features, die hinter Paywalls wandern, Klartext-Daten, die still eine KI-Roadmap füttern. Beide Architekturen verteidigen gut. Self-Hosting nimmt den Anbieter aus dem Datenpfad; Local-First nimmt den Klartext aus seiner Reichweite. Das — nicht Spionage — ist die Bedrohung, gegen die die meisten Menschen tatsächlich Schutz kaufen.
Server-Einbruch. Hier gehen die Architekturen wirklich auseinander. Self-Hosting konzentriert das Risiko auf eine Maschine, deren Sicherheit deiner Sorgfalt entspricht — exzellent bei Pflege, fatal ohne. Local-First hat keinen eigenen Server, in den jemand einbrechen könnte; ein Angreifer braucht dein physisches Gerät, das Code und Festplattenverschlüsselung bereits verteidigen.
Geräteverlust. Die Umkehrung des vorigen Falls. Dem selbstgehosteten Server ist es egal, ob dein Handy ertrinkt. Einer Local-First-Primärkopie nicht — verschlüsselter Sync oder regelmäßige Backups sind hier kein Extra, sondern der Überlebensplan für genau dieses Szenario.
Deine eigene künftige Nachlässigkeit. Der unschmeichelhafteste Gegner und der verlässlichste. Self-Hosting nimmt an, dass du auch in Jahr drei noch patchst und Backups restore-testest; Local-First nimmt an, dass du irgendwo eine zweite Kopie hältst. Beide Annahmen scheitern manchmal — aber sie scheitern unterschiedlich. Ein vergessenes Local-First-Backup kostet dich Daten nur, wenn zusätzlich das Gerät stirbt; ein vergessener Server-Patch legt Daten offen, während alles scheinbar normal weiterläuft.
Rechtliche und jurisdiktionelle Exposition. Daten auf einem gemieteten VPS liegen in einem Rechenzentrum samt dessen Compliance-Apparat. Daten auf deinem persönlichen Gerät stehen unter stärkerem praktischem — und vielerorts rechtlichem — Schutz. Für Beziehungsnotizen ein Randfall, aber er zeigt in dieselbe Richtung wie der Rest: je weniger Dritte überhaupt etwas halten, desto besser.
Wer sollte was wählen
Wähle Self-Hosting, wenn du ohnehin Server betreibst — Homelab, VPS, Monitoring zum Morgenkaffee — und ein breites web-basiertes Aufzeichnungssystem mit auditierbarem, forkbarem Code willst. Monica hat sich diese Position als Standard-Antwort seit 2017 verdient.
Wähle Local-First, wenn du dieselbe Hoheit über deine Daten willst, ohne irgendetwas zu betreiben: native Apps, offline ab Werk, verschlüsselter Sync, wenn du ihn einschaltest. Das ist die Konstellation, die aus unserer Sicht zu den meisten Menschen passt, die Privatsphäre ernst nehmen, aber nie liebevoll eine Linux-Kiste pflegen werden — und zu den meisten, die glauben, dass sie es tun werden, achtzehn Monate später.
Und die Wahl ist keine Ehe. Weil beide Architekturen mit offenen Exporten stehen und fallen, kannst du heute Nachmittag local-first anfangen, später auf ein selbstgehostetes System aufsteigen, wenn der Homelab-Juckreiz kommt — oder beides parallel fahren: das umfassende Web-Archiv auf deinem Server, die leichtere lokale App in der Tasche. Die einzige Konstellation ohne Ausgang ist die, zu deren Vermeidung dieser ganze Vergleich existiert: Beziehungsnotizen im Klartext in einer Cloud, die jemand anderem gehört, exportierbar zu dessen Bedingungen.
FAQ
Was ist der Unterschied zwischen Self-Hosted und Local-First?
Der Ort der Primärkopie deiner Daten. **Self-Hosted** bedeutet: Die Anwendung läuft auf einem Server, den du betreibst — VPS oder Heimserver —, und deine Geräte reden übers Netz mit ihm. **Local-First** bedeutet: Die Primärkopie liegt auf dem Gerät in deiner Hand; ein Server, falls überhaupt, transportiert nur verschlüsselten Sync zwischen deinen eigenen Geräten. Beide entmachten die Anbieter-Cloud als Daten-Heimat — auf verschiedenen Wegen mit verschiedenen Pflichten.
Ist Self-Hosting privater als Local-First?
Nur, wenn der Betrieb gut gemacht ist. Ein **gepflegter** selbstgehosteter Server — gepatcht, per Firewall geschützt, gesichert — ist so privat, wie es geht. Ein vernachlässigter ist ein Datenleck mit öffentlicher IP-Adresse, das auf seinen Moment wartet. Local-First streicht genau diesen Fehlermodus: Es gibt keinen eigenen Server, den du falsch konfigurieren könntest, und bei **Ende-zu-Ende-verschlüsseltem Sync** sieht die Anbieter-Infrastruktur nur Ciphertext. Das ehrliche Ranking hängt an deiner Disziplin, nicht am Architektur-Diagramm.
Was bedeutet es konkret, ein CRM selbst zu hosten?
Wiederkehrende, unglamouröse Arbeit. Betriebssystem-Updates, App-Upgrades (samt gelegentlich brechender Migrationen), **TLS-Zertifikats-Verlängerung**, Datenbank-Backups, die du tatsächlich testest, und Monitoring, damit du Probleme vor einem Angreifer bemerkst. Rechne mit ein paar Stunden pro Monat, mehr wenn ein großes Upgrade ansteht. Nichts davon ist schwer für jemanden, der Server mag — alles davon ist Pflicht, weil eine ungepatcht im Internet stehende Maschine zur Haftung verfällt.
Was kostet es, Monica selbst zu hosten?
Die Software ist kostenlos — **Monica ist Open Source unter AGPL v3**, mit dokumentierter Docker- und Handinstallation. Bezahlt wird die Maschine: Ein kleiner VPS für rund 1 $ im Monat bringt die Drei-Jahres-Summe auf etwa **30 €**, gegenüber rund **270 €** für Monica Cloud bei 9 $ pro Monat im selben Zeitraum. Der eigentliche Preis ist Zeit: einmal Einrichtung, danach Wartungsstunden in jedem Monat, in dem dir die Daten wichtig sind.
Läuft ein selbstgehostetes CRM auf einem Raspberry Pi oder Heimserver?
Ja — Monicas Stack (PHP/Laravel mit **MySQL**-Datenbank) läuft problemlos auf einer Pi-Klasse-Maschine oder jeder Homelab-Kiste, und ein Server im eigenen Netz verkleinert die Angriffsfläche gegenüber einem öffentlichen VPS. Der Tausch heißt Erreichbarkeit: Ein Heimserver hinter einem Privatanschluss ist von unterwegs schwer sicher zu erreichen — plane also VPN-Zugang (WireGuard, Tailscale) ein, wenn das CRM auch auf dem Handy außer Haus funktionieren soll.
Ist Ende-zu-Ende-verschlüsselter Sync so privat wie gar kein Sync?
Nicht ganz, aber nah dran — und die Lücke ist für die meisten Bedrohungsmodelle theoretisch, nicht praktisch. Bei echter **E2E-Verschlüsselung** (etwa AES-256-GCM mit Schlüsseln, die deine Geräte nie verlassen) sieht der Sync-Relay Ciphertext und Metadaten wie Zeitstempel und ungefähres Datenvolumen — nie Inhalte. Gar kein Sync entfernt auch diese Metadaten. Wenn dein Bedrohungsmodell Traffic-Analyse durch Gegner enthält, lass Sync aus. Für alle anderen ist E2E-Sync der vernünftige Standard.
Was passiert, wenn ein Local-First-Anbieter aufgibt?
Die entscheidende Eigenschaft: Eine Local-First-App **läuft offline weiter** — ein toter Anbieter kostet dich künftige Updates, nicht deine Datenbank. Vorher prüfen solltest du zweierlei: Exporte in offenen Formaten (CSV, Markdown, JSON oder eine lesbare Datenbankdatei) und idealerweise ein schriftliches **Source-Release-Versprechen**, dass der Code bei Shutdown oder Übernahme veröffentlicht wird. Mit beidem ist der schlimmste Fall ein gemütlicher Umzug — kein Wettlauf gegen einen Server-Abschalttermin.
Funktionieren Local-First-Apps auf mehreren Geräten?
Ja, über Sync — die Privacy-Frage lautet nur: *wessen* Sync. Das gute Muster ist optionale, Ende-zu-Ende-verschlüsselte Replikation zwischen deinen Geräten — über den Relay des Anbieters (der nur Ciphertext sieht) oder über Speicher, den du ohnehin kontrollierst: **iCloud, Google Drive oder WebDAV**. Prüfenswert ist, ob Sync wirklich optional ist — und ob die App ohne ihn ein vollwertiges Ein-Geräte-Werkzeug bleibt statt einer beschnittenen Demo.
Welche Architektur ist besser für die DSGVO?
Für rein private Beziehungsnotizen greift in beiden Fällen meist die **Haushaltsausnahme** der DSGVO — persönliche, nicht-kommerzielle Nutzung ist keine regulierte Verarbeitung. Der praktische Unterschied: Beim Self-Hosting betreibst du ein aus dem Internet erreichbares System mit Daten über andere Menschen — ein Einbruch ist *dein* Vorfall. Local-First hält die Daten auf Hardware in deiner Tasche, ohne öffentlich adressierbaren Endpunkt. Weniger bewegliche Teile, weniger Wege, versehentlich für ein Leck verantwortlich zu sein.
Kann ich später zwischen den Architekturen wechseln?
Ja, wenn beide Seiten offene Formate respektieren — genau deshalb sollte die Export-Qualität schon die erste Wahl bestimmen. Monica exportiert einen **SQL-Dump plus JSON**; brauchbare Local-First-Tools importieren CSV oder JSON und exportieren dasselbe. Kontakte und Notizen wandern sauber; selten überlebt die Struktur — eigene Felder, Aktivitätsprotokolle —, plane also einen Aufräumabend ein. Zwischen ehrlichen Tools umzuziehen ist lästig. Aus einem geschlossenen Garten auszubrechen ist eine Krise.
Muss ich für eine der beiden Optionen technisch sein?
Fürs Self-Hosting ehrlicherweise ja — Terminal, Docker, DNS und Backups gehören zur Eintrittskarte, und die Anforderung läuft nie ab, weil die Wartung nie abläuft. Für Local-First nein: Die App installiert sich wie jede andere, Daten landen standardmäßig auf deinem Gerät, Schlüssel werden für dich verwaltet. Diese Asymmetrie ist der Punkt: Local-First bringt die Privacy-Eigenschaften des Selbsthostens zu Menschen, die nie einen VPS mieten werden — per Design statt per Betriebsaufwand.