Selten hat eine Infomail über neue AGBs so viele erboste Zuschriften ausgelöst und ist gleichzeitig kaum beachtet worden von sämtlichen Medien: die Weitergabe der Daten von Kundinnen der Buchhaltungssoftware bexio an die Mobiliar.
Doch wer und was ist überhaupt bexio (vorher easySYS)? Gemäss Fachpresse und eigener Beschreibung handelt es sich um eine durchaus populäre Buchhaltungssoftware/cloud für Schweizer KMU, die laut eigenen Angaben 30-40’000 Kundinnen hat. Die Mobiliar-Versicherung hat das FinTech-Unternehmen 2018 gekauft. Hintergrund des Kaufs: um die «starke Position der Mobiliar im KMU-Markt digital auszubauen und ein Ökosystem rund um Dienstleitungen für KMU zu gestalten» Neuer CEO ist gemäss Ankündigung vor einigen Monaten ein alter Bekannter: Markus Naef, ehemaliger Unternehmenslenker der Swiss Sign AG.
Viele Kunden sind wohl aus allen Wolken gefallen als sie am 19. Mai eine Email erhalten haben, in der mitgeteilt wird, dass bexio ab dem 1. Juni 2022 «Stamm-Daten für Analyse- und Marketingzwecke mit der Muttergesellschaft ‹die Mobiliar› […] teilen» wird.
Die wichtigsten rechtlichen Punkte zu dieser Causa hat IT-Anwalt Martin Steiger in seinem Blog zusammengefasst, Unternehmer Urs Prantl hat mit seiner Kolumne den Ärger zum ersten Mal sichtbar auf Inside IT formuliert.
Es bleiben mehrere offene Fragen:
Auffällig ist – wie Martin Steiger bereits schon thematisiert- in der Tat die Eile. Warum haben die Kundinnen rund 12 Tage Zeit, diesem weitreichenden Schritt zuzustimmen oder diesen abzulehnen (mit der Konsequenz ihr bexio-Kundenkonto zu verlieren)?
Vielen bexio-Kundinnen (also die selber Unternehmen führen und leiten) haben nachgefragt um zu erfahren, was das genau für ihre Kunden- oder Buchhaltungsdaten bedeutet. Offenbar sind diese nicht betroffen, wie der heillos überforderte (und scheinbar offenbar vorab nicht genügend informierte) Kundendienst versicherte.
„Mit der Mobiliar werden nach dem Prinzip der Datensparsamkeit die Meta-Daten* zum Kunden (also zur comperio.ch AG) oder Daten hinsichtlich ihrer bexio-Nutzung geteilt. Davon ausgeschlossen sind Ihre in bexio verwalteten Daten (also z.B. Informationen zu Debitoren, Kontakte etc.). Selbstverständlich werden keinesfalls Buchhaltungs-Daten oder andere sensitive Daten weitergeleitet – ausser Sie nutzen die Smart Insurance App und haben somit einer solcher Daten-Weitergabe explizit zugestimmt.„
Kundensupportmitarbeiter von Bexio
Wofür konkret benötigt eine Mobiliar Versicherung genau die Daten von bexio-Kundinnen? Gemäss FAQ für den „Abgleich“ und gemäss Kunden-Infomail ja für Analyse- und Marketingzwecke. Aber wir wollten es genauer wissen.
„Die Mobiliar bietet für KMU bereits heute ein breites Angebot an Produkten und Services. Unser Ziel ist es, unseren Kundinnen und Kunden das richtige Angebot zum richtigen Zeitpunkt machen zu können. Ein Beispiel: Zu den bexio-Kundinnen und -Kunden zählen viele Start up’s. Wir glauben, dass es ein Mehrwert für sie ist, wenn wir sie rechtzeitig mit passenden Angeboten für Versicherungen und Vorsorge unterstützen können.„
Kurt Messerli, Sprecher der Mobiliar
Ist das Werbematerial für eine KMU, die vorher nichts mit der Mobiliar am Hut hatte, wirklich so relevant?
Um „passende Produkte“ den bexio-Nutzern unterzujubeln, sollen ausserdem Metadaten (Firmenname, Email, Adresse) und – wie Martin Steiger herausgefunden hat- Nutzungsdaten der bexio-Software zur Mobiliar fliessen.
Welche Nutzungsdaten genau? Wir baten die Mobiliar um eine genaue Auflistung der Datenkategorien. Die Antworten blieben vage. Nach einigem Nachhaken kam immerhin folgendes:
Die Meta-Daten der Kunden hinsichtlich ihrer Bexio-Nutzung beziehen sich auf das Nutzungsverhalten wie Mobile- oder Desktop-Zugriff, Nutzungsdauer oder Zeitpunkt des Zugriffs (Wochentag / Tageszeit). Unser Ziel ist es, unseren Kundinnen und Kunden das richtige Angebot zum richtigen Zeitpunkt machen zu können.“
Kurt Messerli, Sprecher der Mobiliar
Wer spätnachts seine Buchhaltung macht, dem sollte man die passende Cyber-Versicherung schmackhaft machen, falls er oder sie übermüdet auf Phishing-Emails hineinfällt? Die Mobiliar möchte also das Nutzungsverhalten der bexio-Kunden überwachen um ihnen „passende“ Produkte genau dann vorzuschlagen, wenn sie gerade in der richtigen Stimmung online sind. Dass man aus solchen Daten statistisch auch noch ganz anderes herauslesen kann, wird dabei elegant unter den Tisch gewischt.
Interessant ist auch das Wording im FAQ und auch in den Antwortmails der Mobiliar: der Fokus auf die „besonders schützenswerten“ Daten, die auf keinen Fall zur Mobiliar gelangen sollen (gemäss einer uns zugespielten Antwort einer Kundensupport-Mitarbeiterin ist damit gemeint: „Daten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, sowie über die Gesundheit, die Intimsphäre, die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe, administrative oder strafrechtliche Verfolgungen oder Sanktionen“).
Wenn doch keine Buchhaltungs/Debitoren/LieferantInnendaten der Bexio-UnternehmerInnen zur Mobiliar fliessen… weshalb dann die Betonung auf die besonders schützenswerten Personendaten?
IT-Anwalt Martin Steiger sieht darin ein beliebtes Ablenkungsmanöver von Unternehmen. Weil auch diejenigen Daten schützenswert und aussagekräftig sind, die nicht in sensible Kategorien (Gesundheit, sexuelle Orientierung, politische Einstellung, Straftat-Historie) fallen. Man erinnere sich an die Ablenkungsfloskeln beim Fall Swisscom.
„Mit dem Hinweis, «besonders schützenswerte Personendaten» seien nicht betroffen, wird in der Kommunikation gerne versucht, die Bedeutung der betroffenen Daten zu relativieren. Nicht erwähnt wird, dass alle Personendaten schützenswert sind. (…) Die Swisscom beispielsweise hatte 2018 nach dem Datenleck, das 800’000 Kundinnen und Kunden betraf, erklärt, es seien keine «besonders schützenswerten Personendaten» abhanden gekommen.“
IT-Anwalt Martin Steiger
Und es gibt noch weitere offene Fragen: ist diese Friss oder Stirb-Methode, nach denen ja alle Big Tech-Unternehmen wie META ständig verklagt werden in Europa, überhaupt zulässig? Also dass als einzige NEIN-Option die Löschung des Bexio-Kundenkontos in Frage kommt?
Leider ja. Es gibt zwar in der Schweiz zwar den Grundsatz der Zweckbindung bei der Datenerhebung, Artikel 4 Absatz 3 DSG (altes DSG). Grundsätzlich: Das DSG regelt aber nur die Rechtssicherheit für Privatpersonen. Im bexio-Fall ist die Mobiliar „fein raus“ weil sie ja nur die Unternehmensdaten (der bexio-Kundinnen, also Firmen/Mail-Adresse) verarbeitet. (wobei an dieser Stelle noch erwähnt werden soll, dass es mehrere Email-Clients zu einem Unternehmens-Mandanten gibt und zum Ärger von bexio-Kunden auch die Mitarbeitenden mit bexio-Werbeemails in der Vergangenheit zugemüllt worden sind. Das bedeutet: bexio verfügt theoretisch damit auch mehrere Personendaten pro Firma (und nicht nur die Firmen-Emailadresse). Eine Anfrage zu dieser Praxis blieb vom FinTech-Unternehmen bis zum jetzigen Zeitpunkt beantwortet. Wir werden die Antwort ergänzen)
Auch sieht das revidierte DSG (gültig ab dem Jahr 2023) kein explizites Koppelungsverbot vor (im Gegensatz zur Art. 7 Abs. 4 europäische DSGVO).
Es gibt durchaus rechtliche Grenzen der Zwangsverknüpfung: Unter der Voraussetzung dass die Koppelung nicht sachfremd ist und dabei kein Zwang ausgeübt wird, so ist sie durchaus zulässig. Massgebend ist hier das Bundesgerichtsurteil zur Helsana+, wie verschiedene Abhandlungen zeigen, einem Bonusprogramm das persönliche Daten aus der Grundversicherung als Voraussetzung für die Teilnahme verlangte. Weil die Teilnahme freiwillig war und „nur“ monetäre Vorteile versprach, werde auch kein Zwang ausgeübt.
„Die Einwilligung erfolgt entgegen den Vorbringen des Klägers [EDÖB] freiwillig, da der Nachteil, der bei einer Nichteinwilligung droht – die Unmöglichkeit der Teilnahme am Programm Helsana+ – einen direkten Bezug zu den Daten aufweist, für deren Bearbeitung die Einwilligung eingeholt wird und damit kein unzulässiger Zwang zur Erteilung der Einwilligung vorliegt (…)
Der Umstand allein, dass die Beklagte [Helsana] für die Teilnahme am Programm mit geldwerten Vorteilen und insbesondere mit Bargeldboni wirbt (in der Höhe von maximal Fr. 75.– pro Jahr bei nur grundversicherten Personen), stellt ebenfalls keinen unzulässigen Zwang dar.“
Bundesverwaltungsgerichtsurteil zu Helsana+
(Das Bundesverwaltungsgericht befand das Bonusprogramm dennoch als rechtswidrig, weil keine gültige Einwilligung vorlag (bzw unklar war zu welchen Datenbearbeitungen die Versicherten genau einwilligen)).
Die Mobiliar erachtet die Datenweitergabeverpflichtung nicht als Zwangsmassnahme und findet diese daher natürlich auch absolut in Ordnung:
„Sowohl das bestehende als auch das revidierte Datenschutzgesetz erlauben den Datenaustausch, sofern die Betroffenen ihre Einwilligung dazu geben.“
Mobiliar-Sprecher Kurt Messerli
Wie wird die Einwilligung bei den bexio-KundInnen nun geholt? Durch Schweigen. Passivität. Indem einfach nicht gekündigt wird.
Die Frage bleibt also: wo genau fängt hier Zwang an und wo hört er auf? Eine Buchhaltungssoftware innerhalb eines Monats (Kündigungsfrist) zu wechseln und zu migrieren, ist auch für das agilste Unternehmen sicherlich kein Zuckerschlecken.
Immerhin: Die Mobiliar hat wohl aus dem KundInnen- Shitstorm hoffentlich etwas gelernt.
„Für die Mobiliar und ihre Tochterunternehmen ist es entscheidend, dass wir auf vertrauensvolle Weise mit den Daten der Kundinnen und Kunden umgehen. Uns ist die Relevanz des Themas bewusst: Wir nehmen kritische Stimmen auf und lernen daraus für die Zukunft.„
Mobiliar-Sprecher Kurt Messerli
Ob dies nun Marketing-Aussage oder eine effektive Erkenntnis ist, wird die Zukunft zeigen. Den mit der AGB-Änderung überrumpelten Kunden hilft es jedenfalls vorerst gar nichts.
Update 9.6.2022 15:00: Die Zeit für die Migration der Buchhaltungsdaten (nach Kündigung) beträgt einen Monat und nicht 12 Tage, wie wir früher geschrieben haben. (was aber nicht minder „sportlich“ ist). Die Mitarbeiterdaten von bexio werden nicht an die Mobiliar weitergeleitet, wie uns bestätigt worden ist.
Eine Antwort
Als ehemaliger Bexio-Kunde bin ich froh, dass ich nicht mehr betroffen bin. Und fühle mit denen, die jetzt Bexio verlassen. Ein Problem bei Bexio ist nämlich (bzw. war das zumindest bei meiner Kündigung), dass es keine Möglichkeit gibt, die bei Bexio mühsam erstellten Daten zu exportieren und mit einer anderen Software weiter zu verwenden. Ich hoffe, dass Bexio zumindest dieses Problem seither behoben hat.