Bexio teilt Daten mit Mobiliar: «Iss oder stirb!» für Kunden

Vor einigen Tagen erhielten Bexio-Kunden eine E-Mail mit dem unverfänglichen Betreff «[…] AGB und Datenschutzerklärung vereinfacht». In der eigentlichen E-Mail folgte eine Überraschung: Bexio könne ab dem 1. Juni 2022 «Stamm-Daten für Analyse- und Marketingzwecke mit der Muttergesellschaft ‹die Mobiliar› […] teilen».

Die Schweizerische Mobiliar ist einer der grössten Versicherungskonzerne in der Schweiz und hatte Mitte 2018 das damalige Buchhaltungs-Startup Bexio für mutmasslich 115 Millionen Franken gekauft.

Insofern ist nicht überraschend, dass die Mobiliar die Daten über Bexio-Kunden für Werbung nutzen möchte.

Überraschend ist, dass Bexio-Kunden, die mit dem Teilen ihrer Daten nicht einverstanden sind, ihr Nutzerkonto beim Cloud-Dienst bis spätestens am 1. Juni 2022 schliessen müssten!

(Ja, 2022, nicht 2023!)

Einwilligung erteilen oder Cloud-Dienst innert Tagen wechseln?

Bexio formuliert diese Überraschung in der erwähnten E-Mail wie folgt:

«Wir hoffen, dass Sie die neuen AGB und DSE als Verbesserung wahrnehmen. Sollten Sie mit den vorgenommenen Änderungen wider Erwarten nicht einverstanden sein oder noch offene Fragen dazu haben, so können Sie gerne mit unserem Support Kontakt aufnehmen oder Ihr Konto, was wir sehr bedauern würden, bis einschliesslich 01.06.2022 schliessen.»

Kunden müssten innert weniger Tage auf eine Alternative migrieren. Bei einem Cloud-Dienst wie Bexio, das funktional «alles was Sie für Ihr Business brauchen» umfasst, ist eine derart kurzfristige Migration kaum denkbar.

Kunden von Bexio, die nicht möchten, dass ihre Daten mit der Mobiliar geteilt werden, haben faktisch gar keine andere Wahl, als vorläufig bei Bexio zu bleiben.

Unklar ist für mich, wieso es Bexio derart eilig hat. Die Vertragsänderung mit rund zwei Wochen Vorlauf entspricht nicht den Kündigungsfristen.

Bexio hat eine Sammlung von «Fragen und Antworten rund um die Anpassung unserer AGB und Datenschutzerklärung» veröffentlicht.

Siehe auch: Bexio wird definitiv zum Lakaien der Mobiliar (INSIDE IT)

Was steht in den neuen AGB und in der neuen Datenschutzerklärung?

Gemäss Ziffer 6 «Datenaustausch Gruppe Mobiliar» der neuen Datenschutzerklärung erklären Bexio-Kunden über die Annahme der neuen AGB «ausdrücklich [ihr] Einverständnis zur Weitergabe [ihrer] Daten» an die Mobiliar und mit ihr verbundene Gesellschaften.

Die Beschränkung auf die «Stammdaten», die in der E-Mail genannt wurden, fehlt. Bexio erklärt lediglich, es würden «in keinem Falle besonders schützenswerte Personendaten weitergegeben.»

In der Folge stellt sich die Frage, wie eine solche Weitergabe der Daten von Kunden und nicht etwa allein Stammdaten über Kunden mit der Auftragsverarbeitung durch Bexio vereinbar sein sollen.

In den neuen AGB findet sich die Einwilligung unter Ziff. 17.1:

«Der Kunde erklärt hiermit ausdrücklich sein Einverständnis zum Datenaustausch zwischen dem Provider und seiner Muttergesellschaft, der Schweizerischen Mobiliar Versicherungsgesellschaft AG sowie den Versicherungsgesellschaften der Gruppe Mobiliar und weiteren zur Gruppe Mobiliar gehörende Gesellschaften gemäss Kapitel 6 der Datenschutzerklärung. Diese sind zur Geheimhaltung sowie zur Einhaltung der geltenden Datenschutzgesetzgebung verpflichtet.»

Die geteilten Daten sollen gemäss der neuen Datenschutzerklärung für folgende Zwecke verwendet werden dürfen:

• «Kundenstamm-Abgleich: Die Kundenstammdaten werden zu statistischen Zwecken abgeglichen. Mit dem Abgleich wird analysiert, wie viele gemeinsame Kunden bestehen, wie sich dieser Anteil im Zeitverlauf entwickelt und wie sich die gemeinsamen Kunden geografisch verteilen.
• Marktsegment-Analyse: Daten können zum Zweck der Marktsegment-Analyse bearbeitet werden. Hauptzweck der Marktsegmentierung ist, Unterschiede zwischen den Kunden aufzudecken, um daraus Schlussfolgerungen für segmentspezifische Marketingprogramme zu ziehen (Kundenstrukturanalyse).
• Informationsaustausch: Daten können zum Zweck des Informationsaustauschs zwischen dem Provider und der Mobiliar bearbeitet werden. Hauptzweck ist dabei, die Produkte und Dienstleistungen für den Kunden ständig verbessern zu können, um die Benutzung und den gewünschten Zugang zu den Applikationen, Produkten und Informationen zu managen, um das geschäftliche Verhältnis zu den Kunden zu pflegen, um die Leistungsfähigkeit der Angebote zu überwachen und zu verbessern.
• Marketing- und Analysezwecke: Ein Datenaustausch kann stattfinden, um den Kunden Angebote, Informationen oder Marketingmaterial über Produkte oder Dienstleistungen zukommen zu lassen, von welchen gestützt auf die Daten angenommen werden kann, sie könnten für den Kunden von Interesse sein.»

Mit welchen Mobiliar-Gesellschaften können die Daten geteilt werden?

Die Kundendaten können insbesondere mit folgenden Mobiliar-Gesellschaften geteilt werden:

• Buildigo AG
• Flatfox AG (ehemals aroov AG)
• Liiva AG (mit Beteiligung der Raiffeisenbank)
• Mobi24 AG
• Protekta Rechtsschutz-Versicherung AG
• SC, SwissCaution SA
• Schweizerische Mobiliar Asset Management AG
• Schweizerische Mobiliar Holding AG
• Schweizerische Mobiliar Lebensversicherungs-Gesellschaft AG
• Schweizerische Mobiliar Risk Engineering AG
• Schweizerische Mobiliar Services AG
• Schweizerische Mobiliar Versicherungsgesellschaft AG
• Trianon AG
• XpertCenter AG

Hingegen scheint eine Weitergabe der Kundendaten an strategische Beteiligungen der Mobiliar nicht geplant zu sein. Dazu gehören unter anderem folgende Gesellschaften:

• aroov AG
• Carvolution AG
• Companjon Holding Ltd. (Irland)
• Credit Exchange AG
• Ringier AG

Fazit: Bexio schadet dem Vertrauen in Cloud-Dienste

Das Teilen der Daten von Bexio-Kunden mit dem Mutter-Versicherungskonzern Mobiliar kommt nicht überraschend. Nach dem Kauf von Bexio war die Frage nicht ob, sondern wann die Daten-Weitergabe erfolgen würde.

Überraschend ist, wie den Bexio-Kunden das Messer an den Hals gesetzt wird:

Kunden, die nicht möchten, dass ihre Daten mit den zahlreichen Mobiliar-Gesellschaften geteilt werden, müssen kurzfristig auf die Nutzung von Bexio verzichten.

Wieso kann Bexio nicht einmal die Kündigungsfrist der einzelnen Kunden abwarten?

Mit diesem «Iss oder stirb!»-Vorgehen schadet Bexio dem Vertrauen in Cloud-Dienste.

Nach eigenen Angaben geniesst Bexio das Vertrauen von über 40’000 Unternehmen in der Schweiz.

Diese Bexio-Kunden wissen nun, dass sie jederzeit mit kurzfristigen Änderungen bei Bexio rechnen müssen. Sie wissen nun, dass sie für die Nutzung von Bexio nicht nur in Franken und Rappen bezahlen, sondern auch mit ihren Daten.

Die Weitergabe ihrer Daten an die Mobiliar mag viele Kunden nicht stören, solange die Werbung nicht allzu penetrant ausfällt. Aber wie sieht es mit der nächsten kurzfristigen Änderung aus?

Wieso sollten Kunden nach dieser Erfahrung weiterhin Bexio und anderen Cloud-Diensten in der Schweiz vertrauen?

---

Nachtrag: Bexio teilt auch Meta- und Nutzungsdaten mit Mobiliar

Ein Bexio-Nutzer erhielt auf Nachfrage die Auskunft, dass die «Stammdaten» folgende Daten umfassen: «Firmenname, Adresse, Telefonnummer und E-Mailadresse».

Gleichzeitig teilte Bexio mit, dass auch Meta- und Nutzungsdaten mit der Mobiliar geteilt werden:

«Mit der Mobiliar werden […] die Meta-Daten zu unseren Kunden oder Daten hinsichtlich ihrer bexio-Nutzung geteilt. Davon ausgeschlossen sind die in bexio verwalteten Daten […].»

Mit Blick auf die Datenschutzerklärung ist diese Auskunft nicht überraschend. Gemäss Datenschutzerklärung ist die Weitergabe von Daten wie erwähnt nicht auf «Stammdaten» beschränkt.

Bild: Pixabay / struppi0601, Public Domain-ähnlich.