Hab das übrigens inzwischen gelöst über die Benutzer-Angabe, die man bei FTP-Nutzern angeben kann. Habe dort einfach einen anderen Benutzer aus der gleichen Gruppe angegeben (web1 statt web3), dadurch hat der FTP-Nutzer Leserechte auf alle Dateien von web3, aber keine Schreibrechte.
Einziger Nachteil: die Einstellung kann nur ich als Admin machen. Der Kunde mit seinem Login nicht.