DSG 🇨🇭 & GDPR 🇪🇺
MOCO is DSG/DSGVO-compliant and offers a Data Processing Agreement (DPA) for clients.
For the operation of MOCO, only European and Swiss companies with their own hardware are contracted, ensuring an adequate level of data protection. For additional services or integrations, subcontractors from third countries (USA, UK) are sometimes engaged. A DPA containing the EU Standard Contractual Clauses (SCC) has been concluded with all subcontractors. The residual risks in the transfer of personal data are reduced in these cases through further measures (BYOK encryption, data minimization, restriction of affected groups, opt-in, opt-out).
MOCO is committed to full transparency in data processing and continuously optimizes processes related to personal data. In the medium term, MOCO is exploring additional alternatives within the EU to further reduce dependencies. All contract adjustments can be tracked at any time in the lower section.
Subcontractors
Details on Subcontractors and Opt-outs
Below are our subcontractors and their role in processing personal data. Also, which companies process which data and which groups are affected. Additionally, how you can stop or activate the processing:
| Company | Reason for Processing | Audience | Personal Data | Opt-In/Out |
|---|---|---|---|---|
|
Intercom
USA Updated on 02.2023
|
Zeitnahe und persönliche Betreuung direkt aus MOCO ohne Umwege. | MOCO-Benutzer | Vorname, Nachname, E-Mail, erstes und letztes Anmeldedatum via Browser, Mobilgerät, Nutzunginfo (API-, CardDAV- und Browsererweiterung), Browser & Browserversion, Sprache, Betriebssystem, Bildschirmbreite, letzter Kontakt mit MOCO, letzte gelesene E-Mail, Anzahl Anmeldungen, Zugriffsrechte in MOCO; Vorhaltezeit bis 60 Tage nach Löschung des Accounts | Ja (Opt-Out), möglich via Support-Anfrage, Support ist dann nur per E-Mail möglich. |
|
Stripe
USA Updated on 11.2022
|
Abwicklung der monatlichen Zahlungen via Lastschrift und Kreditkarte. | Inhaber der Kreditkarte / des Lastschriftkontos | Kreditkarten- und/oder Kontoangaben des Abonnenten, Standort (für Betrugserkennung); Vorhaltezeit bis 180 Tage nach Löschung des Accounts | Nein |
|
Zapier *
USA Updated on 03.2023
|
Zapier stellt ein Workflow-System zur Verfügung um verschiedene Web-Apps miteinander ohne Programmierkenntnisse verbinden zu können. | MOCO-Benutzer und erfasste Kontakte | Potentiell alle in MOCO erfasste Daten. Jeder Workflow muss einzeln definiert und aktiviert werden (**); Vorhaltezeit bis 120 Tage für jeden einzelnen Workflow. | Ja (Opt-In), muss in den Einstellungen aktiviert werden. |
|
SendGrid (Twilio)
USA Updated on 02.2023
|
Zuverlässiger Versand und Empfang von E-Mails. | E-Mail-Empfänger | E-Mails und deren Inhalte (Rechnungen, Angebote, Wochenzusammenfassungen, Info-Mails, **); Vorhaltezeit bis 7 Tage nach Versand | Ja (Opt-Out), für externe E-Mail-Empfänger durch Hinterlegung eigener Mail-Server (SMTP). |
|
New Relic
USA (Unternehmen) mit EU-Rechenzentrum Updated on 03.2022
|
Performance-Messung vom Server bis zum Browser um langsame Bereiche erkennen und optimieren zu können. | MOCO-Benutzer | IP-Addresse (New Relic Browser); Vorhaltezeit bis 1 Tag zur Anonymisierung | Ja (Opt-Out), möglich via Support-Anfrage |
|
Bugsnag
USA Updated on 05.2022
|
Fehleranalyse und Auswertung | MOCO-Benutzer und erfasste Kontakte | IP-Adresse und Klickverhalten bei Frontend-Fehlern (**), übermittelte Daten bei Fehlern im Backend-Teil; Vorhaltezeit bis 60 Tage nach Auftreten eines Fehlers | Ja (Opt-Out), möglich via Support-Anfrage |
|
Ably
Vereinigtes Königreich (UK) Updated on 01.2023
|
Für Echtzeit-Updates via Push ohne Neuladen des Browsers. Verschlüsselter Payload (BYOK) und nur Übertragung technischer IDs, Vorname, Nachname, URL (Profilbild) von angemeldeten Benutzern via Ably Spaces bei gleichzeitiger Bearbeitung von Angeboten/Rechnungen. | MOCO-Benutzer | IP-Adresse; Vorhaltezeit bis 14 Tage | Nein |
|
Amazon Web Services
Europäische Union Updated on 02.2021
|
Backups ausserhalb der Rechenzentren via S3, Auslieferung statischer Assets via Cloudfront (Javascript, CSS) | MOCO-Benutzer und erfasste Kontakte | Alle Daten & Dateien (AES256 verschlüsselt BYOK, **); Vorhaltezeit i.d.R. 1 Jahr (max. 24 Monate) | Nein |
|
Klippa
EU (Niederlande) Updated on 09.2021
|
Klippa extrahiert strukturierte Daten aus Rechnungsdokumenten und Belegen und erlaubt die automatische Erfassung ohne manuelle Eingabe. | Rechnungssteller und Leistungsempfänger | Daten auf Eingangsrechnungen und Belegen (**); Vorhaltezeit nur für die Zeit der Dokumentverarbeitung | Ja (Opt-In), muss in den Einstellungen aktiviert werden |
|
finAPI *
EU (Deutschland) Updated on 12.2021
|
finAPI ist eine Open Banking API primär für den automatischen Zahlungsabgleich zwischen MOCO und europäischen Banken. | Inhaber des Kontos | Verwendungszwecke, Empfänger, Absender (**); Vorhaltezeit 12 Monate | Ja (Opt-In), muss in den Einstellungen aktiviert werden |
|
Personio *
EU (Deutschland) |
Personio ist ein HR-Dienstleister. Datenübertragung von HR-Daten wie Abwesenheiten und Arbeitszeiten. | MOCO-Benutzer | Abwesenheiten und/oder Arbeitszeiten; Vorhaltezeit bis zu 10 Jahre | Ja (Opt-In), muss in den Einstellungen aktiviert werden |
|
faktoora
EU (Deutschland) Updated on 12.2021
|
faktoora stellt den XRechnung-Service bereit. | Rechnungssteller | Daten auf Ausgangsrechnungen (**); Vorhaltezeit 12 Monate | Ja (Opt-In), muss in den Einstellungen aktiviert werden |
|
DATEV *
EU (Deutschland) Updated on 12.2021
|
Datenübertragung von Buchungs- und Bilddaten im Rahmen der Schnittstelle zu DATEV Unternehmen online. | Rechnungssteller und Leistungsempfänger | Daten auf Eingangs-, Ausgangsrechnungen und Belegen (**); Vorhaltezeit bis zu 10 Jahre | Ja (Opt-In), muss in den Einstellungen aktiviert werden |
|
Hetzner
EU Updated on 2023
|
Provider für den Betrieb der MOCO Cloud in Deutschland und Finnland. | MOCO-Benutzer und erfasste Kontakte | Alle Daten & Dateien (**); Vorhaltezeit bis zur Löschung des Accounts | Nein |
|
Exoscale
EU + Schweiz Updated on 09.2021
|
Provider für den Betrieb der MOCO Cloud in Deutschland, Österreich und der Schweiz. | MOCO-Benutzer und erfasste Kontakte | Alle Daten & Dateien (**); Vorhaltezeit bis zur Löschung des Accounts | Nein |
|
Netskin GmbH und IWB
Schweiz Updated on 03.2021
|
Provider für den Betrieb der MOCO Cloud in der Schweiz. | MOCO-Benutzer und erfasste Kontakte | Alle Daten & Dateien (**); Vorhaltezeit bis zur Löschung des Accounts | Nein |
* We offer this service so that the MOCO platform can provide the most comprehensive and up-to-date services possible. In this case, we at MOCO are merely intermediaries of a service, meaning we do not process these data, but the client directly contracts the third-party company. Thus, the client is responsible as the "Controller" under DSG/DSGVO for the data within their area of responsibility (e.g., employee data). We recommend that the client thoroughly read the third-party provider's privacy policies and conclude their own DPAs.
** MOCO has no control over data collected by the client. Often, only our clients can assess whether they are collecting and processing personal data. This is especially true for entries in free text fields or when using third-party services (e.g., Zapier).
FAQ
Are there risks for EU clients if the servers are located in Switzerland?
The GDPR allows data processing abroad. However, the processing must be ensured by an adequate level of data protection. For Switzerland, this has been formally determined by the EU Commission: 2000/518/EC.
Can we conclude an individual Data Processing Agreement?
We rely on our standard contract, as it is not economically feasible to conclude individual contracts given the number of clients. Feedback that contributes to transparency or can be formulated more clearly is welcomed and will be incorporated into future versions.
DPA Version Notes
The MOCO Data Processing Agreement (DPA) is regularly updated. Existing clients will be informed if processing can no longer continue based on the existing version and a renewed confirmation becomes necessary.
Update 27.10.2023 » download
- Added: New subcontractor Hetzner
- Change: Correction of text reference in 8.6 to control powers.
Update 01.09.2023 » download
- Removed: Subcontractor Google Maps (new implementation without IP transmission)
- Change: More neutral wording for Swiss DSG and EU GDPR.
Update 13.12.2021 » download
- Added: New subcontractors (all opt-in): DATEV, Personio, Faktoora, Klippa, finAPI
- Removed: Subcontractor Parashift
- Change Appendix 1 TOM: Added regular software updates and restricted access authorization structure to the essentials.
Update 10.06.2020 » download
- Added: New subcontractors New Relic (opt-out) and Bugsnag
Update 05.03.2020 » download
- Added: New subcontractors Google Maps (opt-in), Parashift (opt-in) and Exoscale
- Change: Compliance obligations of the Federal Act on Data Protection (Swiss Data Protection Act) replaced by more general wording "according to applicable data protection law".
Update 17.01.2020 » download
- Added: New subcontractor Twilio / SendGrid
Update 06.07.2018 » download
- Added: The contractor may only engage additional subcontractors (further processors) with the prior express consent of the client. If the express consent of the client is missing, the contractor may terminate the service contract – with a notice period of 60 days.
- Added: Privacy Shield links of all subcontractors
- Removed: This contract is governed
exclusively bySwiss law.
Update 22.05.2018 » download
- Initial version
