0

Ninox DB unverschlüsselt!? Ninox und die DSGVO.

Ich habe mal mein Ninox Archiv mit einem Rar-Extractor geöffnet weil mich die Datenstruktur usw. interessiert hat. Dabei fiel mir auf: Da ist rein gar nichts verschlüsselt abgelegt. Alles ist mehr oder weniger frei einsehbar, alle PDF, alle Fotos und erschreckenderweise auch alle Unterschriften png's.

Nun hat man ja keine eigene Möglichkeiten wenn man die Daten seiner Ninox DB synchron halten will als die Apple iCloud zu verweden oder die Ninox Cloud. Der Einsatz so wie es, ist mit der Apple iCloud wäre bei personenbezogenen Daten in der Ninox Datenbank damit schon mal streng genommen in Europa illegal im professionellen Einsatz da wohl nicht DSGVO konform. Nun vertraue ich Apple zwar aber tun das auch andere Institutionen die meine Datenhaltung mal prüfen möchten?

Aber selbst wenn ich nur lokal auf einem MacBook speichern würde, wäre das schon grenzwertig je nachdem wie streng man die DSGVO auslegt und z.B. die MacBook SSD nicht verschlüsselt hat.

 

Ich habe bisher Tapforms verwendet. Tapforms hat gegen die Featurepower und die sehr guten Synceigenschaften von Ninox keinerlei Chance. Es arbeitet auch nur ein einziger, fleissiger Mensch daran. Aber eines hat es Ninox definitiv voraus: Die Datenbanken können verschlüsselt werden. Und es kann statt iCloud ein eigener Apache CouchDB Server verwendet werden. Alternativ steht für ganz Panische noch die W-Lan Synchronisierung im heimischen Netzwerk zur Verfügung.

 

Bei Ninox wird man mehr oder weniger gezwungen die Ninox Cloud zu verwenden. Worauf auch zur Zeit alle Bemühungen seitens der Ninox Entwickler abzielen wie mir scheint. Auch wenn ich das als lukratives Geschäftsmodell durchaus verstehe, finde ich es nervig für relativ kleine und einfache Geschichten die Ninox Cloud buchen zu müssen. 8,33 im Monat mögen nicht viel sein aber für mich eigentlich überflüssig, da es ja auch mit der iCloud funktioniert und ich keine Teammitglieder benötige. Und selbst bei der Ninox Cloud muss ich mich auf die Aussage verlassen alles wäre DSGVO konform, überprüfen oder Einfluss habe ich keinen darauf. Wie die Daten geschützt sind weiss dann nur Ninox. Und auch hier nehme ich an, gehen die Daten aus Ninox auch unverschlüsselt auf die Reise und kommen genauso in Klartext auch wieder zurück. Ob das DSGVO konform ist, mag jemand anders beurteilen.

 

Ich finde Ninox wirklich gut und habe mich die letzten Wochen ja auch intensiv damit beschäftigt. Auch die Community funktioniert, ist nett und hilfsbereit. Nun gehts aber bei mir daran, das Ding langsam in das reale Arbeitsleben zu überführen und da sehe ich nun erste Stolpersteine.

 

Evtl. können meine zweiflerischen Gedanken ja aber auch zerstreut werden.

11 Antworten

null
    • Pyromixer.1
    • vor 6 Jahren
    • Gemeldet - anzeigen

    Ähm... die 2GB pro Nutzer bei der Ninox Cloud. Ist das ein Schreibfehler? Fehlt da eine "0" oder so? Da bin ich ja schon am Ende wenn ich meinen derzeitigen Datenbestand in Ninox lade....

    • Ninox-Professional
    • planoxpro
    • vor 6 Jahren
    • Gemeldet - anzeigen

    Mal sehen, ob ich es richtig verstanden habe:

     

    Du hast eine Ninox-Datenbank aus der Cloud lokal auf deinen Computer heruntergeladen, sie mit irgendwelchen Hobby-Hacker-Tools bearbeitet und erstaunt festgestellt, dass die Datei nicht verschlüsselt ist?

     

    Du betreibst ein florierendes Geschäft, welches so große Datenmengen erzeugt, dass dir die inklusiven 2 GB Speicherplatz bei einem webbasierten Entwicklungssystem für gigantische 8,33 Euro pro Nutzer und Monat lächerlich erscheinen, wobei die Web-Version von Ninox für dich aber sowieso überflüssig ist, weil du deren spezifische Vorteile ja gar nicht benötigst, der Profi-Synchronisationsdiest ja iCloud mindestens genauso gut funktioniert und deine Daten bei Apple in den USA per se sicherer sind, du aber trotzdem einfach mal drüber geplaudert haben wolltest?

     

    Zwei Anmerkungen dazu:

     

    Ich habe auch keinen Kontroll-Zugang zu den Ninox-Servern, verfüge aber über einen von Ninox unterschriebenen Vertrag zur DSGVO-konformen Auftragsdatenverarbeitung (https://ninoxdb.de/de/dsgvo). Den bekommt jeder, der danach fragt. Darin bestätigt Ninox beispielsweise, dass sie auf ihren EU-Servern geeignete Maßnahmen zum Schutz der Daten vor unbefugtem Zugriff getroffen haben und Daten nur verschlüsselt übertragen. Mit Betonung auf "übertragen".

     

    Sobald solche Daten dann aber auf meiner lokalen Festplatte liegen, tragen nicht Ninox, Microsoft, Google oder sonstwer die Verantwortung dafür, sondern alleine ich. Wer also nicht will, dass sich auf seinen lokalen Computern unverschlüsselte Dateien befinden, der verschlüsselt sie halt selbst mit entsprechenden Tools.

     

    Und wer wird denn von wem oder was gezwungen, die Cloud-Version von Ninox zu nutzen? Wenn die Vorteile cloudbasierter Software für dich irrelelevant sind und dir die Mac- und iOS-Apps mit iCloud-Synchronisation genügen, wie du oben schreibst, dann bleib doch einfach dabei.

    • Pyromixer.1
    • vor 6 Jahren
    • Gemeldet - anzeigen

    Als Erstes: Ich wollte nicht rumquaken. Bin schon zufrieden, wollte aber die Diskussion ruhig anstossen ;-)

     

    Ja mir reicht die Ninox iCloud Variante aus technischer Sicht (noch) aus. Aus Sicht von Datenschützern (nicht meine Sicht!) erfüllt die iCloud Variante aber u.U. nicht die DSGVO Vorgaben. Ob und wie Apple die Daten der iCloud verschlüsselt, schützt oder nicht ist ja nicht bekannt sondern deren Geheimnis.

    Und ich kann bei der iCloud Ninox Variante als User nichts selber schützen. Das ist ja das Problem. Man weiss ja - trotz diverser Nachfragen hier im Forum durch mittlerweile eine Reihe von Leuten - immer noch nicht wo Ninox dort überhaupt seine Daten ablegt. Lokal auf dem Mac ist nichts zu finden. Warum auch immer daraus so ein Geheimnis gemacht wird. Alles was man also in Ninox iCloud füttert landet irgendwo bei Apple, der User weiss nicht wo. Und es landet wie es aussieht völlig unverschlüsselt irgendwo.

     

    Alles was bei nicht in Ninox liegt und Kundendaten betrifft habe ich selbstverständlich verschlüsselt. Aber eine Datenbank wie Ninox wird im Allgemeinen eben genau für solche Zwecke eingesetzt: u.a. Kundendaten aufnehmen.

     

    2GB Ninox Cloud

    Also so viel ist das nicht. Ich bin ja schon einige Jahre in meinem Business und da hat sich natürlich eine Menge angesammelt. Insbesondere PDF Dateien, oft mit Fotos bestückt usw. Die würden ja auch alle in Ninox landen. Da sind 2 GB an Datenbestand nicht wirklich viel. Ich wäre mit einem Schlag an dieser Grenze und weit drüber.

     

    Es geht auch nicht um die Frage ob ich mir das leisten kann. Natürlich kann ich das. Ich muss aber nicht wenn ich nicht wirklich überzeugt bin, dass es mir einen Vorteil verschafft. Ich sehe für mich nur reinen Cloud Speicherplatz der verkauft wird und auch nur für Ninox verwendet werden kann. Da sind 8,33 pro User kein Sonderangebot in der heutigen Zeit. Natürlich wird dafür auch die Webvariante von Ninox angeboten. Die ich aber ja nicht benötige. Im Gegenzug, als Vergleich kostet mich eine 200 GB iCloud keine 3 Euro im Monat.

     

    Die Frage die bleibt:

    Wo sind die Datenbank Files bei der Ninox iCloud und erfüllen sie die DSGVO? Wahrscheinlich nicht.

    • Martin_K
    • vor 6 Jahren
    • Gemeldet - anzeigen

    Wenn Du ein HowTo suchst bist du auf der Apple DEV. Xcode Abteilung CoreData und Cloudkid am besten aufgehoben.

    Ich vermute mal das die OSX IOS Entwickler unter Xcode entwickeln...

    • Pyromixer.1
    • vor 6 Jahren
    • Gemeldet - anzeigen

    Ich bin kein Coder, nur Anwender!

    • Martin_K
    • vor 6 Jahren
    • Gemeldet - anzeigen

    Du brauchst nicht entwickeln sondern nur verstehen wie Apple mit den Daten verfährt..

    Die Frage die Dich interessiert on Ninox Safe ist unter IOS und OSX.. in der Regel schon zumindest die IOS Version  like Face ID und Touch ID like FileVault. In der ICloud so oder so da EndToEnd Verschlüsselt und in der Cloud wie auch bei AWS und anderen Diensten noch nicht mal die eigenen Servicetechniker Zugang egal ob auf Software- oder Hardwareebene haben vier, sechs..usw Augenprinzip...

    Auf deinem Mac so du ihn nicht offen lässt sind auch die Lokalen Daten sicher.. gerade bei den neuen T2 Kontrollern schaut es selbst für apple aktuell noch mau aus deine Daten zu kopieren.. eine Kombi aus FileVault und T2 und ID ist selbst für meine Paranoia ziemlich sicher..

    die Frage die sich stellt was ich aber noch nicht getestet habe aber testen werde sind die Gast Zugänge oder Accounts auf gleicher Maschine.. 

    Ich muss mich nochmals auf die Suche machen was Ninox am Mac  Speicherort Lokal wegspeichert.. interessant ist in jedem Fall, das die Archives und die Kopien gleich klein sind und keine Daten beinhalten..

    • Pyromixer.1
    • vor 6 Jahren
    • Gemeldet - anzeigen

    Vielen Dank für die Infos. Sehr interessant.

    ICH selber habe überhaupt keine Paranoia. Mir gehts einfach simpel darum, wenn ich mal in die Verlegenheit kommen sollte, nachzuweisen wie schön ich auf meine Kundendaten aufpasse, dies auch nachweisen zu können.

     

    Die Frage ist also eher wie sich diese unausgereifte Eu DSGVO Gesetzgebung dazu verhält. Apple als US Unternehmen speichert die Daten u.a. ja nun mal auch in den USA. Auf Amazon Servern usw. Ist das konform zur DSGVO? Und bist Du sicher, dass die iCloud Daten End-to-End verschlüsselt vom Mac dorthin und zurück gelangen?

    Mein MacBook ist FileVault verschlüsselt, hat zwar noch keinen T2, da käme wohl trotzdem keiner mehr an die Daten soweit ich weiss. Beim iMac habe ich das noch nicht aktiviert. Wieviel Datenschutz Aufwand wird von einem verlangt? Alles Fragen die einem noch keiner wirklich beantworten kann. Und was nützt all der lokale Verschlüsselungsschutz wenn die Daten von Ninox gar nicht auf dem Mac lagern? Obwohl ich mich frage wie eine Ninox iCloud Datenbank dann funktioniert ohne Internetverbindung. Irgendwo muss also eine lokale "Schattenkopie" der Ninox iCloud Datenbank auf dem Mac liegen. Ich bin gespannt ob Du was findest. Am sonst üblichen lokalen Ort am Mac liegt jedenfalls nichts von der Ninox iCloud Bank. Nur die Offline Ninox Banken finde ich dort. Oder zumindest ist die iCloud Datenbank nicht auffindbar mit Apple Bordmitteln. Wird vielleicht nur trickreich unsichtbar gemacht oder ähnliches.

    • Martin_K
    • vor 6 Jahren
    • Gemeldet - anzeigen

    Apple speichert generell Daten der EU auf Servern von google und aws in der Eu bis die eigenen Datacenter in der Eu im 2019 fertig gestellt sind. Diese sind zwingend konform mit den Gesetzen die schon vor in Kraft treten der Dsvgo ungesetzt wurden...

    Das war auch der Grund warum Apple von den Azure Lösungen von MS Abstand genommen haben da diese die Anforderungen der Europäer nicht bedienen konnten.

    ps ich sprach auch von meiner Paranoia;)

    • Martin_K
    • vor 6 Jahren
    • Gemeldet - anzeigen

    Ach ja noch was dazu, du musst weder die cloud von apple noch die ninox Varianten nehmen 

    nimm die private cloud und fühl dich sicher

    • andreas_mtscouteu
    • vor 5 Jahren
    • Gemeldet - anzeigen

    Eine Anmerkung meinerseits bezüglich der Frage Cloud-Nutzung:

    ich habe auch über längere Zeit nur die iCloud genutzt, hat auch lange gut funktioninert.

    Allerdings bin ich dann zu nah an eine "Milchkanne" gekommen, dann war meine Internet Verbindung und danch auch meine aktuelle Synchronisation auf Seiten der iCloud weg. Ich konnte gerade noch ein älteres Backup finden - der reine Zufall hat mich hier gerettet.

    Bei einer Synchronisation über die Ninox-Cloud ist mir dies noch nie passiert. (Hier wird wohl mehr Kaffee getrunken)

    • Alexander
    • vor 5 Jahren
    • Gemeldet - anzeigen

    Das Problem mit iCloud aus DSGVO-Sicht ist, dass Apple selbst den Geschäftskunden keinen Auftragsverarbeitungsvertrag anbietet, schlimmer noch (nach vielen Nachfragen, Telefonaten und Emails): auf die Geschäftsbedingungen von iCloud hinweist, in denen die geschäftliche Nutzung ausgeschlossen wird, d. h. es ist ein reines Privatanwenderprodukt. Nur als Hinweis, weil sich dadurch das Verständnis der Verschlüsselungsalgorithmen erübrigt. iCloud ist aus DSGVO-Sicht raus.