QNAP Support praktisch nicht DSVGO konform möglich

    Hallo allerseits,


    nach einem Firmwareupdate hatte ich dieses Problem: Snapshot Freigabe Ordner fehlen nach Firmwareupdate


    Zum Glück sind keine Daten verlorengegangen, aber es war natürlich schon sehr ärgerlich weil man damit ja nun wirklich nicht rechnet. Nun gut, für die eben noch fehlenden Snapshot Freigaben habe ich dann ein Ticket aufgemacht um das Problem wenigstens zu verstehen. Mir wurde nach einiger Zeit dann auch Hilfe in Form eines Fernzugriffs angeboten was ich aber ablehnen musste, da ich auf einem Geschäftskritischen System nicht einfach mal im Router SSH Ports aufmachen kann. Deswegen bat ich um eine Teamviewer Sitzung. Dazu musste ich folgenden englischen(!) Text abnicken:


    https://www.qnap.com/de-de/bef…how.php?op=showone&cid=24


    Speziell Punkt 6. solltet Ihr Euch mal zu Gemüte führen:


    Zitat

    By starting the remote support session, you acknowledge and agree that QNAP will record the remote support session through photo or video format. The copyright and ownership of such recording belong to QNAP. The recording may be provided to anonymous, affiliated third-parties with or without additional authorization from you. QNAP has no responsibility or liability under any circumstance at any time for the loss, corruption, or exposure of your data caused by recording the session and its subsequent sharing.

    Ich hatte auch schon angekündigt, dass ich einen Screenrecorder zur Sicherheit mitlaufen lassen will einfach zu Dokumentationszwecken. Seitens QNAP hätte ich für interne Zwecke und zu deren Absicherung auch nichts dagegen gehabt. Allerdings völlig inakzeptabel ist das Recht, das sich QNAP da herausnimmt entsprechende Aufzeichnungen beliebig weiterzuverwerten UND auch noch ungefragt an Dritte weiterzugeben. Mal davon abgesehen, dass man das als deutscher Kunde nur in Englisch zu lesen bekommt, aber geschenkt.


    Ich will dem deutschen Support und speziell dem Mitarbeiter der mich betreut hat keinen Vorwurf machen, wir wissen alle, die Vorgaben kommen aus Taiwan. Aber die Schlußfolgerung sieht ja so aus:


    Ein deutscher Geschäftskunde kann praktisch keinen Remotesupport in Anspruch nehmen, ohne sich ggf. DSVGO mäßig angreifbar zu machen. Remotezugriff ist immer heikel, klar. Aber ich kann doch wohl verlangen, dass solche Aufzeichnungen ausschließlich bei QNAP verbleiben und NICHT weiteregegeben werden. Das Thema, das es keinen adäquaten Geschäftskundensupport gibt. nichtmal gegen Geld, hatten wir ja schon zur Genüge. Aber ich frage mich schon, wie hier vernünftig Support geleistet werden soll, denn man kann ja nicht immer alle Platten rausziehen oder alle Volumes verschlüsseln. Dann sind sie nicht eingehängt und in solchen Fällen ja nicht sichtbar. Ich halte das für ganz großen Mist und diesen Punkt sollte wirklich jeder im Hinterkopf haben, der solche Systeme in geschäftskritischen Bereichen einsetzt UND den Support anfragt. Ich finds nach wie vor wirklich schade, denn ich finde das Gesamtsystem grundsätzlich immer noch sehr schön und leicht administrierbar. Es ist nur umso ärgerlicher, dass man den guten Eindruck immer wieder durch solche Bolzen ramponiert. Für mich heißt das wirklich, dass man QNAP im Geschäftsbereich eigentllich nicht mehr empfehlen kann, aber diese Erkenntnis hatten ja auch schon andere hier.

  • nasferatu

    Hat den Titel des Themas von „QNAP Support nicht praktisch DSVGO konform möglich“ zu „QNAP Support praktisch nicht DSVGO konform möglich“ geändert.
    Zitat von nasferatu

    Für mich heißt das wirklich, dass man QNAP im Geschäftsbereich eigentllich nicht mehr empfehlen kann, aber diese Erkenntnis hatten ja auch schon andere hier.

    So weit würde ich jetzt vielleicht nicht gehen. Aber im geschäftlichen Bereich sollte man schon wissen wo und wie man QNAP Produkte richtig einsetzt. Ich denke, der große Fehler könnte hier sein, das NAS als Server einsetzen zu wollen. Im kleinen Umfang kann auch dies sicher funktionieren, so wie ich es auch schon umgesetzt habe. Aber hier sind entsprechende Massnahmen, wie z.B. ein baugleiches Ersatz-NAS, notwendig.

    Ich für meinen Teil werde auch weiterhin QNAP-Produkte - privat wie geschäftlich - einsetzen. Aber im geschäftlichen Bereich dienen die mir nur für sekundäre und tertiäre Aufgaben. Geschäftskritische Aufgaben bleiben richtigen Servern vorbehalten. Die kosten dann aber dementsprechend mehr. Man kann eben nicht alles haben.

    Zitat von nasferatu

    Dazu musste ich folgenden englischen(!) Text abnicken:

    Die lese ich schon gar nicht mehr. Egal ob Abo, Software oder Hardware, bei den meisten steht mehr oder weniger drinnen: "Wir dürfen alles und ziehen dich nach Strich und Faden über den Tisch und du kannst uns gar nichts." Das Ganze natürlich in sehr langer verklausulierter höflicherscheinender Form. Aber will oder muss man den Dienst benutzen, was will man.

    Das Positive daran: Will der Hersteller / Anbieter Dich aus irgend einem Grund dran nehmen - so nach dem Schema, stand ja in den AGBs drinnen - muss er schon in Deinem Heimatland klagen. Bin jetzt kein Rechtsexperte, aber AGBs die gegen gültiges Recht verstoßen... Wird schwierig sein vor Gericht einzuklagen.

    Aber auf Deinen Fall auf mich angewendet: Mit den 20 Container-Dateien auf dem Backup-NAS von der Backup-Software kann auch der kriminellste Support-Mitarbeiter nichts anfangen, da mehrere 100 GB abzugreifen schon irgendwie auffällig wäre im Team-Viewer. :)

    Zitat von Mavalok2

    Aber auf Deinen Fall auf mich angewendet: Mit den 20 Container-Dateien auf dem Backup-NAS von der Backup-Software kann auch der kriminellste Support-Mitarbeiter nichts anfangen, da mehrere 100 GB abzugreifen schon irgendwie auffällig wäre im Team-Viewer.

    Ich hätte jetzt auch nicht erwartet, das da groß was weggesaugt wird. Aber es reicht ja u.U. schon, wenn man Ordner und Dateinamen sieht, die nach Kunden benannt sind. Und wenn dann die Aussage ist dass die Screenrecordings ohne jede Rückfrage beliebig weiterverteilt werden können ist das eigentlich ein NoGo. Vielleicht bin ich da etwas überempfindlich aber ich bin der Meinung, dass es für mich überhaupt KEINEN Grund gibt, sich im Supportfall dieses Recht herauszunehmen. Im Zweifel muss eben nachgefragt werden, wenn zu technischen Klärung ein Dritter herangezogen werden soll / muss.

    Nein, Du hast schon recht. So etwas geht eigentlich nicht. Ich denke, dass so etwas auch nicht Europäischem Recht entspricht. Nur denke ich zum Einen, dass so etwas wahrscheinlich gar nie weitergegeben wird und mehr eine Absicherung von seiten QNAP sein wird, falls irgendwann mal irgendetwas in die Richtung passieren sollte. Auch in Deinem Betrieb hat Dein Chef nicht jeden Mitarbeiter 100% im Griff. Weiß es aus eigener Erfahrung: Ehemaliger Mitarbeiter hat Firmendaten mitgehen lassen und dann Kunden für seine eigene neu Firma abgeworben.

    Zum Anderen - habe da mal ein einem Blog-Artikel berichtet - wenn Facebook schon das Recht zum Löschen und Verändern von privaten Nachrichten von Benutzern an Dritte weiter gibt, ist es mit der Privatsphäre nicht mehr weit hin. Auch bei anderen Dienstleistern liest man ähnliche Horror-AGBs. Lies Dir mal die AGBs von Abos und Dienstleistung durch, die Du sonst noch verwendest. Danach willst Du eigentlich keinen von denen mehr verwenden.

    Eigentlich hast Du recht. Man müsste solche Unternehmen konsequent boykottieren, aber irgendwie habe ich doch keine Lust mit Rechenschieber und Papiermedium zu arbeiten, auch wenn es die Stromkosten drastisch senken würde. ^^

    Zitat von Mavalok2

    und mehr eine Absicherung von seiten QNAP sein wird, falls irgendwann mal irgendetwas in die Richtung passieren sollte. Auch in Deinem Betrieb hat Dein Chef nicht jeden Mitarbeiter 100% im Griff. Weiß es aus eigener Erfahrung: Ehemaliger Mitarbeiter hat Firmendaten mitgehen lassen und dann Kunden für seine eigene neu Firma abgeworben.

    Aber genau deswegen gibt es ja inzwischen die DSVGO, die eben bei einem bemerkten Datenabfluss zwingend fordert, dass dieser gemeldet werden muss. Da hilft auch im Zweifel so ein Pseudoabsatz nicht. Und ich kann mir auch nicht vorstellen, dass das der Grund ist. Wenn doch, umso schlimmer. Ich denke eher, dass sie vielleicht zu Schulungs- oder welchen Zwecken auch immer weiterverwenden wollen. Aber ganz ehrlich: das kann man entweder in der Sitzung oder nach der Sitzung erfragen. Und die Daten im Zweifel zur Einsicht bereitstellen. Aber so ist es natürlich viel bequemer, wenn man sich im voraus einfach alle Rechte pauschal sichert. Und das wird der Grund sein, nichts anderes. Dass das aus Geschäftskundensicht zumindest hierzulande eigentlich absolut untragbar ist interessiert nur in Taiwan leider niemanden.

    Andere Länder, andere... was auch immer. Dann dürfte man ja nur Europäische Dienste und Produkte in Anspruch nehmen. Wobei: QNAP hat einen Sitz in Deutschland. Der Support (deutsch) ist auch in Deutschland? Müsste dann nicht Deutsches Recht gelten?

    Zitat von Mavalok2

    Wobei: QNAP hat einen Sitz in Deutschland. Der Support (deutsch) ist auch in Deutschland? Müsste dann nicht Deutsches Recht gelten?

    Ich denke, wenn man es drauf ankommen ließe könnte man ihnen vermutlich an den Karren fahren. Aber wer macht sich schon die Mühe. Ich weiß auch nicht, ob Großfirmen da im Zweifel andere Absprachen haben als kleinere Buden. Die Diskussion führen wir ja schon lange. Leider hat sich irgendwie nichts wirklich gebessert. Die Ideen und Apps sind immer noch toll, gerade auch im Produktivitätsbereich. Nur da versagt dann im Zweifel der Support bzw. es gibt ihn schlicht nicht auf Geschäftskundenniveau. Dafür denkt man sich aber tolle Abo-Modelle aus für Zusatzfunktionen. Naja...mich würde wirklich mal interessieren, in welchen Segmenten QNAP am meisten verdient...ich kann mir irgendwie nicht vorstellen, dass da im RZ Sektor soviel passiert, obwohl da einen Haufen Racksysteme haben. Dagegen spricht schon die streckenweise nicht gut automatisierbare Administrierbarkeit. Es ist ja ein Witz, dass man bspw. Backupjobs bei HBS nicht einfach in eine Datei exportieren kann. Oder duplizieren. Aber jetzt wird es sehr OT...

    Zitat von nasferatu

    ich kann mir irgendwie nicht vorstellen, dass da im RZ Sektor soviel passiert, obwohl da einen Haufen Racksysteme haben.

    Och, ich denke, das kann noch täuschen. Allerdings werden hier die NAS wohl anders eingesetzt: Als NAS. Und vermutlich die etwas größeren Brummer. Im RZ kommt es auf ein paar 100 Euro auch nicht mehr an.

    Zitat von nasferatu

    Dagegen spricht schon die streckenweise nicht gut automatisierbare Administrierbarkeit.

    Schon mal das Q'Center ausprobiert. Habe zwar nur eine ältere Version im Einsatz (sollte schon lange mal auf die neue wechseln, aber dann muss ich auch das Q'Center auf ein anderes NAS wechseln), aber von schlecht "administrierbar" kann hier eigentlich nicht die Rede sein. Zumindest für das was ich es benötigte ideal.

    Zitat von nasferatu

    Es ist ja ein Witz, dass man bspw. Backupjobs bei HBS nicht einfach in eine Datei exportieren kann. Oder duplizieren.

    Dachte, das ist inzwischen mit HBS3 alles möglich?

    Aber HBS ist für mich keine Backup-Software für das RZ. Für Kleinstunternehmen und zu hause aber wohl ok. Muss aber gestehen, dass ich HBS3 noch nicht produktive im Einsatz hatte, aber HBS2 mehrere Jahre in unseren ehemaligen Filiale. War nicht perfekt, hat aber getan was es soll.

    Zitat von Mavalok2

    Schon mal das Q'Center ausprobiert.

    Doch, schon. Allerdings hatte ich den Eindruck, dass man damit zwar einen Maschinenpark sicherlich gut verwalten kann, aber scripting Funktionen hat es doch nicht ? Oder habe ich da was übersehen. Aber egal, das schweift jetzt eh vom eigentlichen Thema ab...

    Zitat von nasferatu

    Ich will dem deutschen Support und speziell dem Mitarbeiter der mich betreut hat keinen Vorwurf machen, wir wissen alle, die Vorgaben kommen aus Taiwan. Aber die Schlußfolgerung sieht ja so aus:

    Da täuschst Du Dich, wie Mavalok2 bereits geschrieben hat. Du hast mehr Handlungsoptionen und mehr Folgerungsmöglichkeiten. Bereits zu Zeiten des Bundesdatenschutzgesetzes (BDSG) konntest Du den zuständigen Datenschutzbeauftragten einschalten, sowohl den staatlichen Datenschutzbeauftragten als Aufsichtsbehörde als auch denjenigen von QNAP Deutschland. Das funktioniert nach DSGVO ebenfalls. Und mit der DSGVO haben sich die Rechtspositionen und Sanktionsmöglichkeiten deutlich verändert. Es gibt nicht nur die von Mavalok2 erwähnten Meldepflichten sondern auch Auskünftsansprüche. Du kannst einfach ein entsprechendes Auskunftsersuchen an QNAP Deutschland schicken, und wäre das erste, was ich machen würde, wenn ich entsprechende Bedenken hätte. Falls der Supportvorgang für Meldepflichten auf Deiner Seite auslöst, kannst Du auch entsprechende Fristen für das Auskunftsersuchen an QNAP Deutschland stellen, mit expliziter Begründung und Nennung der Fristen, die der Gesetzgeber Dir auferlegt hat. Welche Vorgaben aus Taiwan kommen ist für die Anwendung europäischen und deutschen Rechts durch QNAP Deutschland nachrangig. Ein Delegieren von Verantwortung und ein Freizeichnen von gesetzlichen Auflagen ist nicht möglich (vermutlich im Gegensatz zu früher).


    Soweit zur Leistungserbringung eine Datenweitergabe an Dritte erforderlich ist, steht dem die DSGVO nicht entgegen, auch ohne zusätzliche Einwilligung diese weiter zu geben. Wann es erforderlich sei, und in welchem Umfang und in welcher Art welche Daten wie weitergegeben werden, ist interpretationsfähig, wobei auch dabei die DSGVO Randbedingungen benennt. Und bei Kleinbetrieben gilt ohnehin der normale AGB-Schutz, im Gegensatz zum eingeschränkten AGB-Schutz für (größere) Gewerbetreibende.

    Zitat von nasferatu

    Ich weiß auch nicht, ob Großfirmen da im Zweifel andere Absprachen haben als kleinere Buden. Die Diskussion führen wir ja schon lange. Leider hat sich irgendwie nichts wirklich gebessert.

    Von was für einem Support schreibst Du hier? Beziehst Du Dich auf eine vereinbarte (, bezahlte) Supporterweiterung oder auf einen freiwilligen Herstellersupport? Und von welchen Absprachen schreibst Du?


    Bei Supporterweiterungen wird der Support wohl als Datenverarbeiter zu bewerten sein, und Firmen benötigen dann eine entsprechende (Standard-)Vereinbarung nach DSGVO. Wenn der Dienstleister Microsoft wäre, kannst Du Dir diese bei Microsoft direkt herunterladen. Im Bereich Datenschutz erwarte ich keine Spezialabsprachen. Aber ohne Standardabsprachen ist eine gewerbliche Datenverarbeitung seit DSGVO kaum möglich, solange nicht sichergestellt ist, dass die Daten nicht personenbeziehbar sind.


    Kurz gesagt, empfehle ich Dir Auskunftsersuchen und Anfrage an den Datenschutzbeauftragten von QNAP Deutschland, soweit QNAP Deutschland nicht explizit für einen Teil andere Ansprechpartner benennt.

    Zitat von chef1

    Von was für einem Support schreibst Du hier? Beziehst Du Dich auf eine vereinbarte (, bezahlte) Supporterweiterung oder auf einen freiwilligen Herstellersupport? Und von welchen Absprachen schreibst Du?

    Es gibt ja keinen offiziellen Geschäftskundensupport den man einkaufen könnte. Aber da Qnap ja sehr teure Systeme im Angebot hat von denen man annehmen würde, dass diese auch in größeren Installationen laufen würde man ja denken, dass es dafür auch Wartungsverträge gibt. Aber nicht auf Kleinkundenbasis. Aber das ist alles eine Vermutung. Soetwas wie Microsoft Certified Partners gibt es ja nicht wenn diese Qnap Lösungen verkaufen würde man ja auch denken, dass die einen direkteren Draht zum Support haben müssten.



    Zitat von chef1

    Kurz gesagt, empfehle ich Dir Auskunftsersuchen und Anfrage an den Datenschutzbeauftragten von QNAP Deutschland, soweit QNAP Deutschland nicht explizit für einen Teil andere Ansprechpartner benennt.

    Das ist gar keine so üble Idee, das werde ich vielleicht wirklich mal machen.

    Zitat von nasferatu

    Soetwas wie Microsoft Certified Partners gibt es ja nicht wenn diese Qnap Lösungen verkaufen würde man ja auch denken, dass die einen direkteren Draht zum Support haben müssten.

    Bei QNAP gibt es auch in Deutschland Premium Partner. Bei einem solchen habe ich meine QNAPs gekauft. Ob diese Partnerschaft Serviceanforderungen oder nur Sortiments- und Vertriebsanforderungen verlangt, weiß ich nicht. Von anderen Partnerschaften des gleichen, größeren Händlers weiß ich, dass der Händler die Waren auch nur weiter reicht an den Hersteller für die Bearbeitung von Serviceanfragen. Von daher kann direkteren Draht zu QNAP zutreffen, eher aber nicht auf direkteren Draht zum Support.

    Zitat von nasferatu

    werde ich vielleicht wirklich mal machen.

    Dein vorheriger Link ging zu den Nutzungsbedingungen, nicht zu den Datenschutzbestimmungen. Auf der gleichen Webseite finde ich auch Datenschutzbestimmungen, in Deutsch. Was mich verwundert ist, dass die Postadresse des Datenschutzbeauftragten in Taiwan liegt. Auch den Namen eines Datenschutzbeauftragten habe ich nicht gefunden. Ohne Kontaktierung lässt sich nicht beurteilen, ob dies mit den Anforderungen der DSGVO (und BDSG) überhaupt zulässig ist. Ich meine, die DSGVO verlange die Benennung eines Datenschutzbeauftragten innerhalb des Geltungsbereiches der DSGVO (in etwa EWR [= EU+EFTA]). Die DSGVO verlangt auch die namentliche Benennung der Person des Datenschutzbeauftragten. Dessen Name muß möglicherweise nicht veröffentlicht werden. (Habe auch schon bei anderen Anbietern nur einen Teamkontakt gefunden.) Und Emailadresse zur Kontaktierung ist auch angegeben.


    Wenn Du Dein NAS gewerblich einsetzt und DSGVO für Dich relevant ist, mußt Du ja ohnehin Vorkehrungen treffen, um zu erkennen, wann personenbeziehbare Daten unberechtigt abgeflossen sind, und damit Meldepflichten und -fristen auslösen. Ein Verlass auf Lieferanten dürfte da keine ausreichende Vorkehrung sein. Und die regelmäßige Überwachung der Lieferanten im Sinne der DSGVO gehört dann ebenfalls zum Pflichtprogramm. Das ist ein wesentlicher Verfahrensunterschied zum alten BDSG, bei dem der Datenschutz nicht als laufende Aktivität ausgestaltet sein brauchte.