• Hallo Leute,

    Also bei unserer internen Umgebung klappte das Einrichten auf Anhieb. Es musste nur der richtige Port freigeschalten werden. Rest hatte die Updateroutine schon korrekt eingestellt, incl. Zuordnung des vorhandenen Let'sEncrypt Zertifikats.

    Auf den ersten Blick sieht das Teil auch ganz ordentlich aus. Auch die App für's Handy. Und schnell ist er auch. Deutlich angenehmer als der alte Webclient. Er zieht sich auch die Kontakte automatisch - sogar mit Foto. Schick! (siehe Anhang)

    Aber klar: Das kann noch nicht die endgültige Version sein. Da fehlt noch eine ganze Menge. Vor allem eines, was ich schon am alten Webclient sehnlich vermisst habe: Die Drag&Drop Funktion zum Wegsortieren von Mails in Unterordner. || Hoffentlich kommt die noch.

    Sowie natürlich so Dinge wie:

    - Adressbuch

    - Kalender mit der Möglichkeit Gruppen abzubilden (mehrere verschiedenfarbige Kalender übereinander)

    - gemeinsamer Zugriff auf beliebige Gruppenordner (z.B. für Faxeingang)

    - Mitnahme der eingestellten Mail-Signaturen


    Was ich jedoch zweifelhaft finde ist die Zwangsanbindung an Chayns. Aus Sicht von Tobit schon verständlich. Die haben sich sicher schon seit Ewigkeiten die Frage gestellt, wie sie die User endlich dazu bewegen können, in dieses depperte Chayns zu gehen. Jetzt mit dem neuen Webclient, liegt endlich mal ein richtig sinnvolles Feature vor, dass mich als Händler dazu bewegen könnte, den Kunden vorzuschlagen einen Account anzulegen. Und Facebook braucht man ja glücklicherweise nicht mehr zur Authentifizierung. Es reicht einen Account über die Mailadresse bei Tobit anzulegen.

    Die Frage die bleibt: Wie sieht es da mit dem Datenschutz aus? Sehe ich das richtig, dass ich hierbei immer jemanden in der Mitte habe, der unter Umständen Zugriff auf alle Mails, Kontakte, Termine, usw. hat. Ganz zu schweigen von der möglichen Hackinggefahr solcher zentraler Server. Bei vielen verteilten kleinen David-Installationen sollte sich das vermtl. nicht lohnen. Aber wenn nun jemand mit einem Streich Zugriff auf alle David Mailaccounts bekommen könnte.... das wäre weniger schön für uns Admins.

    Schöne Grüße, Oliver

  • Hab den Smart Client schon intern OHNE Port Forwarding zum laufen gebracht ;)

    Dafür musste ich natürlich den Internen DNS etwas verbiegen, lief über WLAN oder VPN soweit OK.

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

  • Die Frage die bleibt: Wie sieht es da mit dem Datenschutz aus? Sehe ich das richtig, dass ich hierbei immer jemanden in der Mitte habe, der unter Umständen Zugriff auf alle Mails, Kontakte, Termine, usw. hat. Ganz zu schweigen von der möglichen Hackinggefahr solcher zentraler Server. Bei vielen verteilten kleinen David-Installationen sollte sich das vermtl. nicht lohnen. Aber wenn nun jemand mit einem Streich Zugriff auf alle David Mailaccounts bekommen könnte.... das wäre weniger schön für uns Admins.

    Der chayns Account wird hier eigentlich nur zur Zuordnung des david Users und zur Authentifizierung genutzt. Ich bin nicht so tief im chayns Backend drin, aber da mit chayns auch Bestellungen getätigt werden können - und somit auch Zahlungsarten dort gespeichert sind - gehe ich mal davon aus, dass die sich da Gedanken drum gemacht haben sollten, das möglichst sicher zu gestalten...

    Wenn man sich am Smart Client angemeldet hat, autorisiert chayns also lediglich den Zugriff auf die Schnittstelle am david Server, so dass der Client die Daten direkt beim Server abrufen kann. Da gehen also keine Daten vom eigenen david Server über Server Dritter.

  • Es scheint - jedenfalls laut Erklärung von Tobit - zwar erst mal richtig zu sein das keine der eigentlichen Daten über Server dritte gehen.

    Allerdings reicht es für mich aus das Tobit das gesamte Frontend des Smart Clients auf AWS hostet und das die Authentifizierung einzig über Chayns läuf.
    Vor allem der zweite Punkt bedeutet wenn jemand Tobit Chayns hackt und dort an die Authentifizierungs Tokens gelangt sind auf einen Schlag alle David Smart Client Installationen kompromittiert bis deren Admins informiert sind und das abschalten.

    Das ist ein absoluter Bruch mit dem Willen der Kunden welche David vor allem oder aber eben auch deswegen nutzen um Ihren Server on Premise statt in einer Cloud laufen zu haben.

    Wir wollen die 100 prozentige Hoheit über unsere Daten haben - was auch die Zugangsdaten klar mit einschließt - und werden daher den Smart Client in seiner derzeitigen Form nicht nutzen.

    Die Tobit Selbstauskunft das man dort keine Auftragsdatenverarbeitung betreibe ist übrigens schlicht falsch.
    Man verarbeitet dort Zugangsdaten nicht nur für Chayns, sondern für Smart Client Nutzer eben auch für die Verknüpfung mit lokalen David Instanzen und deren Nutzern.
    Das ist schlicht bereits Auftragsdatenverarbeitung und bedarf laut DSGVO einer Autragsdatneverarbeitungsvereinbarung zwischen jeder Firma die das nutzt und Tobit.
    Unsere Datenschutzbeauftragten sind da sehr eindeutig.
    Keine Vereinbarung, = keine legale Möglichkeit das zu nutzen.

  • Zitat von complusit

    Die Frage die bleibt: Wie sieht es da mit dem Datenschutz aus? Sehe ich das richtig, dass ich hierbei immer jemanden in der Mitte habe, der unter Umständen Zugriff auf alle Mails, Kontakte, Termine, usw. hat. Ganz zu schweigen von der möglichen Hackinggefahr solcher zentraler Server. Bei vielen verteilten kleinen David-Installationen sollte sich das vermtl. nicht lohnen. Aber wenn nun jemand mit einem Streich Zugriff auf alle David Mailaccounts bekommen könnte.... das wäre weniger schön für uns Admins.

    Dazu hatte ich Tobit auch schon einige Fragen gestellt. Beantwortet wurden davon keine. Es wurde nur dazu geschrieben:

    Zitat von Tobit


    Zu den Datenschutzaspekten des Smart Client bringen wir Infos heraus.

    Schön, das man sich bei Tobit immer noch nicht richtig mit dem Datenschutz beschäftigt und dies immer erst mal im Nachhinein macht.

    Ich sehe da wie riawie genau so, das man mit Tobit einen Vertrag zur Auftragsdatenverarbeitung machen müsste, bevor man mit dem Smart Client arbeitet, vor allem, wenn Tobit sich nicht dazu äußert, wie und wo das chayns läuft und wie weit das doch im Hintergrund mit facebook verbunden ist. Vor allem auch, wie der Client mit chanys verbunden ist und welche personenbezogene Daten bei der Anmeldung alles gespeichert werden.

  • Baumi das Tobit sich noch nicht mit dem Datenschutz beschäftigt oder nichts dazu geschrieben hätte stimmt so allerdings nicht ganz.

    Schau mal Bitte hier:

    https://david3.de/Support > Allgemein zu David > David3 Smart Client und Datenschutz

    Dort wird das Verständnis was Tobit vom Datenschutz hat, vor allem aber auch das Zusammenspiel der verschiedenen Komponenten beschrieben.

    Meine Aussage war und ist das Tobit einer Fehlannahme unterliegt was den Punkt Auftragsdatenverarbeitung angeht, nicht das sie sich generell keinen Kopf drum gemacht hätten.

    Ich würde mir von Tobit allerdings deutlich weitergehende Informationen zu wichtigen technischen Fragen wünschen wenn ich das Ding wirklich einsetzen wollte, was aber halt aus Datenschutzrechtlichen Gründen eh nicht in Frage kommt.

    Sollte es aber in Frage kommen bräuchte ich klar definierbare und in Firewallregeln verwertbare Angaben zu beteiligten Servern um die Zugriffe auf unseren Server weiterhin auf das was tatsächlich berechtigt ist zu beschränken.
    Diese Beschränkungen aus Sicherheitsgründen bedeuten aber eben auch das ich keiner AWS Umgebung - auf der auch unzählige andere Kunden Kapazität und damit Netzzugriff mieten können - Zugriff auf unseren Server bzw. unsere Infrastruktur gewähre.

    Es ist schon schlimm genug das ich alle 60 Tage für Lets Encrypt einen Zugriff aus Nordamerika auf Port 80 öffnen muss weil Tobit zu dämlich ist einen offiziellen ACME Client so einzubinden, das er die Authentifizierung per DNS Challenge ermöglicht, das muss ich aber wenigstens nur für ein par Wenige Minuten tun und nicht dauerhaft.

  • Hallo, zum Thema: Auch wir haben unseren Tobit Server in einer sehr sensiblen Umgebung und setzen eigentlich genau deshalb bisher auf Tobi, weil eben alles in unserem Haus bleibt und nix nach draußen geht. Auch Active Sync haben wir nicht von außen zugänglich sondern nur mittels VPN und Interner IP.

    Das mit dem SmartClient hörte sich echt super an. Gerade weil auch wir immer mehr verschiedene Komponenten einsetzen ( Tablets aller Art, PCs, Laptops etc. )


    Aber das teilweise der Datenverkehr über AWS und Chayns geht beunruhigt uns ebenfalls und entspricht genau das Gegenteil was die heutige Anforderung an DSGVO mit Kundenmails / Daten verlangt wird. Herrschaft über die Daten ist das höchste Gut.

    Warum AWS? Es gibt so gute Hoster in Deutschland mit der vollen DSGVO Zertifizierung, da muss es nicht AWS sein?


    Auch Chayns. Warum? Es kann auch einfacher gehen mit dem Benutzer und pw.

    Ist doch alles schon vorhanden.

    Komisch...

  • Moin zusammen :)

    Habt ihr das auch, dass bei euch der Dienst WebAPI nicht gestartet wird?

    Auch manuell starten geht nicht?

    Dadurch meldet mein Server-Manager auf Windows Server 2019 Datacenter immer einen Dienst als rot.

    Ist das Problem bekannt oder ist an meiner David-Installation was faul!?

    Die Adresse, die ich beim WebAPI im Administrator eingetragen habe, ist auch frei ( Port ) und von aussen erreichbar. Aber der Dienst startet nicht, das kann ich auch mit einem Rechtsklick im Administrator nicht ändern, der Dienst bleibt beendet - auch wenn ich auf Manuell umstelle....

  • Ja, genau das selbe Problem.

  • NARF wenn man so ein Rollout auslässt wird der David Client ja nach einiger Zeit mal richtig penetrant insistierend das die User ihren Admin nerven sollen warum er das Rollout noch nicht installiert hat...

    Ja verdammt, dann soll Tobit halt keine derart grottigen Beta Versionen ausrollen bzw. derartige Beta Features rein optional zur Installation bereithalten *grummel*

    Die schaffen es in ahaus doch noch das ich vom Befürworter ihrer Software zum Gegner werde NARF

  • Ja, es wäre generell nett, wenn man Admin-seitig die Benachrichtigung über neue Versionen im Client komplett unterdrücken könnte. Es gibt immer mal Situationen, in denen ein Update aus guten Gründen nicht ausgerollt werden soll. Da ist es dann nicht hilfreich, wenn die User auch noch drängeln.

    Ich habe allen meinen Kunden ausführlich erklärt, dass sie sich um die David-Updates nicht kümmern müssen, trotzdem kommt zuverlässig alle paar Wochen eine Mail im Tenor "habe gerade diese Info gesehen, müssen wir da was machen?" - durchaus verständlich, denn für die Kunden gehört das nicht zum Tagesgeschäft, die vergessen die Automatik (und meine Mail) wieder und fragen sicherheitshalber nach. Nervig ist das trotzdem.

  • Aber das teilweise der Datenverkehr über AWS und Chayns geht beunruhigt uns ebenfalls und entspricht genau das Gegenteil was die heutige Anforderung an DSGVO mit Kundenmails / Daten verlangt wird.

    Hi, wie kommst du denn darauf, dass Daten im Sinne der DSGVO über AWS und chayns gehen? Auch den Ansatz für eine ADV sehe ich nicht.

    https://david3.de/Support --> "Allgemein zu david" --> "david3 smart client und der Datenschutz"

    "Programming today is a race between software engineers striving to
    build bigger and better idiot-proof programs, and the Universe trying
    to produce bigger and better idiots. So far, the Universe is winning."

  • :/ Stand das letztens auch schon so Ausführlich drin?

    "letztens" ist ein weites Feld. Ich meine das wurde noch am selben Tag veröffentlicht als auch der Smart Client heraus kam. Hatte hier doch jemand zitiert, musst evtl. dann mal hochscrollen.

    "Programming today is a race between software engineers striving to
    build bigger and better idiot-proof programs, and the Universe trying
    to produce bigger and better idiots. So far, the Universe is winning."

  • Hi, wie kommst du denn darauf, dass Daten im Sinne der DSGVO über AWS und chayns gehen? Auch den Ansatz für eine ADV sehe ich nicht.

    https://david3.de/Support --> "Allgemein zu david" --> "david3 smart client und der Datenschutz"

    Zitat zu AWS:
    "
    Wo läuft der david3 smart client?
    Hier muss zwischen Webansicht und Server unterschieden werden:
    Die Webansicht wird von Tobit.Software auf Servern von Amazon gehostet. Dabei handelt es sich nur um statische JavaScript und HTML Dateien, die im Browser des Anwender benötigt werden.
    "

    Das ist AWS und da ist der AWS Bezug.
    Im Grunde ist das noch nicht gleich ein Problem, aber es kann eines sein und da ein entsprechender Vertrag auf den und auf dessen Version man sich berufen kann fehlt bekomme ich dafür schlicht keine Freigabe.
    Denn...

    So lang IP Adressen von einzelnen Endgeräten bei AWS aufschlagen sind das Daten im Sinne der DSGVO und zwar ohne Wenn und aber. Das kann natürlich dadurch geheilt werden das man dort nicht logt oder indem man anonymisiert und keine Verknüpfung zu anderen Personenbezogenen oder Personenbeziehbaren Daten herstellt, aber das muss dann explizit geregelt und vertraglich festgehalten werden, anderenfalls ist von jedem einzelnen betroffenen ein Einverständnis erforderlich, gerade in Zeiten von BYOD und Homeoffice ist das kein Selbstgänger.

    Zitat zu Chayns:
    "
    Warum wird chayns benötigt?
    Für die Authentifizierung ist ein verknüpftes chayns-Konto erforderlich. Bei dieser Verknüpfung wird am david Server zum chayns-Konto die chaynsiD hinterlegt. Bei Anfragen an die WebAPI wird diese ID verwendet, um den Nutzer zuzuweisen.
    Auf Seite von chayns wird vermerkt, an welchen david-Servern ein Nutzer bekannt ist, um unter https://david3.de/smart-client die passenden Server anzubieten.
    "
    Hier schlagen nun bereits zwei Personenbeziehbare Daten auf einmal die IP des anfragenden, dann die Chayns ID.
    Zusätzlich wird gespeichert und geprüft welche Chayns ID zu welchen David Servern gehört.
    An diesem Punkt werden dann auch Personenbeziehbare Daten verarbeitet.
    Laut unserem Datenschutzbeauftragten ist das eindeutig bereits ein Fall von Auftragsdatenverarbeitung.
    Auch dann wenn keine Speicherung von Zeit und Ortszusammenhängen erfolgt muss genau dieser Umstand vertraglich geregelt werden, denn nur diese klare Regelung mit Vertrag und dessen Version schützt einen vor weiteren Folgen.

    Es geht aber noch weiter im Text.

    Tobit beschreibt dort in klaren schritten wo sie Daten vermeiden und wie sie Daten die verarbeitet werden minimieren. Das ist löblich und geht z.B. im Rahmen von Firebase Push Nachrichten auch kaum besser so lang man Push beibehalten will.
    Was fehlt ist halt der zwischen Tobit und den David Site Betreibern zu schließende Auftragsdatenverarbeitungsvertrag um all das verbindlich festzuhalten.
    Die reine Absichtserklärung welche formal nicht einmal einer Datenschutzerklärung entspricht reicht da halt schlicht nicht aus.

  • Konnte jemand das Problem mit dem nicht startenden Dienst (WebApi) lösen. Konfiguration ist vorgenommen. Zertifikat auch eingerichtet. Jedoch startet der Dienst (auch manuell) nicht. Interessant ist, dass auf der App allerdings Benachrichtigungen eingehen, dass es eine neue Mail gibt, aber die App öffnet sich nicht.

    Vielleicht hat ja jemand das Problem schon lösen können.

    Gruß, Mere

  • SmartClient <> DSGVO

    Ich hatte ja die Hoffnung mit dem SmartClient mal wieder ein einheitliche (kostenlose) Zugangsmöglichkeit für unsere mobilen Endgeräte (ios / android) zu bekommen.

    Selbst wenn noch zusätzliche Funktionen in den kommenden Releases kommen sollten, scheint die Grundarchitektur ja nicht so Recht DSVGO konform aufgebaut zu sein :(

    Kennt jemand außer SecurPIMnoch eine Lösung die auf beiden mobilen Plattformen läuft und mir insbesondere den DSVGO konformen Umgang mit Geschäftsadressen auf dem "privaten handy" ermöglicht (BYOD) ?

    Die rechtlichen Anforderungen sind bei SecurePIM wohl gegeben - allerdings sind 5€ / Monat / Device auch nicht geschenkt.
    Da würde ich eigentlich lieber für einen voll funktionsfähigen smartClient der lokal auf meinem Server gehostet wird einen Aufpreis zahlen ...

  • Hallo zusammen!

    Ich habe auch das Problem, dass der Dienst "Web API"-Dienst nicht gestartet wird.

    Im Bereich "TLS-Zertifikate" habe ich m. E. soweit alles korrekt konfiguriert: Es ist ein Let´s Encrypt-Zertifikat vorhanden, was für die entsprechenden Dienste aktiviert ist und z. B. auch beim TLS-Zugriff auf die Webbox verwendet wird.

    Wenn ich aus dem Verzeichnis ..\David\Code\DavidRestApi die Anwendung mit der dort vorhanden Batch-Datei "StartConsoleServer.bat" starte, erhalten ich folgende Fehlermeldungen:

    ----------------------------------------------

    info: Main[0]

    Running application from "C:\Users\xxxxxxxx\AppData\Local\Temp\7\.net\DavidWebApi\4rpjodow.e1g".

    info: Main[0]

    Before StartupLog.

    fail: DavidWebApi.Repositories.DavidApiRepository[0]

    Failed to receive token

    Grpc.Core.RpcException: Status(StatusCode=Unavailable, Detail="failed to connect to all addresses")

    at DavidWebApi.Repositories.SettingsRepository.GetDavidApiToken()

    at DavidWebApi.Repositories.DavidApiRepository.RegisterApi()

    info: DavidWebApi.Services.StartupRunner[0]

    Contacting ServiceLayer localhost:49915

    warn: DavidWebApi.Services.StartupRunner[0]

    GetAssignedChaynsSiteInfo failed: ServiceLayer not available. Will retry in 5 seconds.

    ----------------------------------------------

    Die letztgenannte Warnung wiederholt sich dann, bis ich das Fenster schließe. Eine gleichlautende Meldung steht auch in den Logfiles unter ..\David\Code\DavidRestApi\logs.

    Leider bin ich mir auch nicht sicher, ob die Einstellungen in dem Web API-Konfigurationsdialog "Verbindung Web API zu david" korrekt sind. In dem Bereich habe ich es bei der Vorgabe aus der Rollout-Installation mit Hostname = "localhost" (läuft ja auf dem gleichen Rechner) und dem Port "49915" belassen.

    Wenn ich die ja sehr spärlichen Informationen richtig deute, ist das ja die Verbindung zum Service Layer. Der Hostname passt m. E. (läuft ja auf dem gleichen Rechner), bezüglich des Ports konnte ich nirgends eine konkrete Angabe finden...

    Auf diversen Screenshots hier im Forum und auch bei Tobit stehen da teils sehr unterschiedliche Portnummern...

    Wäre schön, wenn mir jemand helfen kann.

    Im Voraus vielen Dank!

    MfG Jens Schenkluhn

  • Hier schlagen nun bereits zwei Personenbeziehbare Daten auf einmal die IP des anfragenden, dann die Chayns ID.
    Zusätzlich wird gespeichert und geprüft welche Chayns ID zu welchen David Servern gehört.
    An diesem Punkt werden dann auch Personenbeziehbare Daten verarbeitet.
    Laut unserem Datenschutzbeauftragten ist das eindeutig bereits ein Fall von Auftragsdatenverarbeitung.
    Auch dann wenn keine Speicherung von Zeit und Ortszusammenhängen erfolgt muss genau dieser Umstand vertraglich geregelt werden, denn nur diese klare Regelung mit Vertrag und dessen Version schützt einen vor weiteren Folgen.

    Hi,

    habe mich beim Hersteller dazu grundsätzlich erkundigt. Die oben zitierte Aussage ist demnach nicht korrekt.

    IP-Adressen sind Daten, das ist schon klar. Diese zu verarbeiten ist aber nicht immer Gegenstand eines Auftragsdatenverareitungsvertrag, sondern Teil des Nutzungsvertrags. Daten von Dritten bekommt der Hersteller nicht. Keine Auftragsdatenverarbeitung.

    Richtig ist, dass eine Datenverarbeitung immer eine Grundlage benötigt. Wenn man keine hat, kann das ein Auftragsverarbeitungsvertrag sein. Beim Smart Client hier ist die vertragliche Grundlage statt dessen
    aber der Nutzungsvertrag. Es ist offenbar wohl ein klassischer Irrtum, dass viele meinen, man braucht
    immer einen Datenverarbeitungsvertrag.

    HTH

    "Programming today is a race between software engineers striving to
    build bigger and better idiot-proof programs, and the Universe trying
    to produce bigger and better idiots. So far, the Universe is winning."

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!