Vermutlich stehe ich auf dem Schlauch…
Wenn ich eine Freigabe für einen externen erstellen möchte erscheint mir diese erst nach eingeben der Email Adresse. In diesem Moment wird die Email an den betreffenden geschickt (ich kann das versenden auch nicht kontrollieren, sobald ich die Adresse anklicke wird verschickt und der Link ist dann quasi ungeschützt) und ich kann erst danach, wenn die Freigabe erscheint ein Passwortschutz erstellen…geht das nicht auch gleich von Anfang an, bevor die Email geschickt wird? Es sind ja nur ein paar Sekunden…geht mir einfach ums Prinzip und ich frage mich, ob ich da was grundlegendes übersehe. Wenn ich dann ein Passwortschutz erstelle funktioniert es wie erwartet…der versendete Link funktioniert dann nur mit dem im nachhinein erstellten PW.
Ich habe das Verhalten mal nachgestellt. Es scheint wirklich keine Alternative zu geben. Irgendwann wurde das Verhalten auch mal bei normalen Links angesprochen. Du kannst höchstens mal ein Issue erstellen. Es ist vielleicht unschön aber nicht wirklich unsicher, da man schnell das Passwort ändert. Da ist die E-Mail ja fast noch nicht da 
Zwei Anmerkungen hätte ich noch.
a.) Sinnhaftigkeit von E-Mail-Benachrichtigung
Ich nutze im übrigen die E-Mail-Funktion nicht. Ich nutze einfach Public Shares und schicke sie selbst per E-Mail. Die E-Mail ist ja auch nur eine E-Mail und am Ende ist es ein Share, egal ob per E-Mail oder sonstwie geteilt. Die Sicherung ist nur das Passwort und das Wissen des Shares.
b.) App Guests
Du kannst dir mal die App “Guests” anschauen. Da ist es ja eigentlich noch unsicherer am Anfang. Der Gast bekommt eine E-Mail und vergibt das Passwort einfach selbst. Wer diese E-Mail abfängt erhält Zugriff auf die Daten. Wobei dem echten Anwender wird es auffallen, wenn das Passwort schon gesetzt wurde
Nachtrag:
Nachdem ist es nun nach einiger Zeit mal wieder probiert habe, habe ich gemerkt, dass zwei E-Mails geschickt werden. Erst der Link und dann das Passwort. Umgekehrt macht das natürlich wenig Sinn. Wobei es eigentlich sinnfrei ist das Passwort an die gleiche E-Mail-Adresse zu schicken.
Um es wirklich sicher zu machen müsste man meiner Meinung nach einen Public Link mit Passwort erstellen, den Link per E-Mail und das Passwort irgendwie anders verschicken.
Wahnsinn!! Danke für deine schnelle Antwort, das ist ja ein Hammer-Support hier!!
Du hast natürlich recht mit den Emails…ging mir nur ums Prinzip und ob ich nicht etwas grundlegendes falsch mache (habe Nextcloud erst seit ein paar Wochen am laufen und wegen unserer 2 kleinen Kids nicht wirklich dazu gekommen mich tief damit auseinander zu setzten)…kann ja schnell mal passieren, dass man falsch beginnt und zig mal den gleichen Fehler wiederholt.