FADP 🇨🇭 & GDPR 🇪🇺
MOCO is compliant with the Swiss FADP and the EU GDPR and provides clients with a Data Processing Agreement (DPA).
To operate MOCO, we only work with European and Swiss companies that use their own hardware, ensuring an appropriate level of data protection. For supplementary services or integrations, we sometimes use subcontractors in third countries (USA, UK). We have entered into a DPA with all subcontractors, which includes the EU Standard Contractual Clauses (SCCs). In these cases, the residual risks involved in transferring personal data are reduced through additional measures (BYOK encryption, data minimisation, restricting the groups of data subjects affected, opt-in, opt-out).
MOCO is committed to full transparency in data processing and continuously optimises processes connected with personal data. In the medium term, MOCO is reviewing additional alternatives in the EU to further reduce dependencies. All contractual changes can be tracked at any time in the lower section.
Subcontractors
Details on Subcontractors and Opt-Outs
Below, we describe our subcontractors and their role in processing personal data — i.e. which companies process which data, and which groups of people are affected. You will also find how to stop processing, or enable it only when you actively choose to:
| Company | Reason for Processing | Group of People | Personal Data | Opt-In/Out |
|---|---|---|---|---|
|
Intercom
USA Updated on 02.2023
|
Zeitnahe und persönliche Betreuung direkt aus MOCO ohne Umwege. | MOCO-Benutzer | Vorname, Nachname, E-Mail, erstes und letztes Anmeldedatum via Browser, Mobilgerät, Nutzunginfo (API-, CardDAV- und Browsererweiterung), Browser & Browserversion, Sprache, Betriebssystem, Bildschirmbreite, letzter Kontakt mit MOCO, letzte gelesene E-Mail, Anzahl Anmeldungen, Zugriffsrechte in MOCO; Vorhaltezeit bis 60 Tage nach Löschung des Accounts | Ja (Opt-Out), möglich via Support-Anfrage, Support ist dann nur per E-Mail möglich. |
|
Stripe
USA Updated on 11.2022
|
Abwicklung der monatlichen Zahlungen via Lastschrift und Kreditkarte. | Inhaber der Kreditkarte / des Lastschriftkontos | Kreditkarten- und/oder Kontoangaben des Abonnenten, Standort und E-Mail (für Betrugserkennung); Vorhaltezeit bis 180 Tage nach Löschung des Accounts | Nein |
|
Zapier *
USA Updated on 03.2023
|
Zapier stellt ein Workflow-System zur Verfügung um verschiedene Web-Apps miteinander ohne Programmierkenntnisse verbinden zu können. | MOCO-Benutzer und erfasste Kontakte | Potentiell alle in MOCO erfasste Daten. Jeder Workflow muss einzeln definiert und aktiviert werden (**); Vorhaltezeit bis 120 Tage für jeden einzelnen Workflow. | Ja (Opt-In), muss in den Einstellungen aktiviert werden. |
|
SendGrid (Twilio)
USA Updated on 02.2023
|
Zuverlässiger Versand und Empfang von E-Mails. | E-Mail-Empfänger | E-Mails und deren Inhalte (Rechnungen, Angebote, Wochenzusammenfassungen, Info-Mails, **); Vorhaltezeit bis 7 Tage nach Versand | Ja (Opt-Out), für externe E-Mail-Empfänger durch Hinterlegung eigener Mail-Server (SMTP). |
|
New Relic
USA (Unternehmen) mit EU-Rechenzentrum Updated on 03.2022
|
Performance-Messung vom Server bis zum Browser um langsame Bereiche erkennen und optimieren zu können. | MOCO-Benutzer | IP-Addresse (New Relic Browser); Vorhaltezeit bis 1 Tag zur Anonymisierung | Ja (Opt-Out), möglich via Support-Anfrage |
|
Bugsnag
USA Updated on 05.2022
|
Fehleranalyse und Auswertung | MOCO-Benutzer und erfasste Kontakte | IP-Adresse und Klickverhalten bei Frontend-Fehlern (**), übermittelte Daten bei Fehlern im Backend-Teil; Vorhaltezeit bis 60 Tage nach Auftreten eines Fehlers | Ja (Opt-Out), möglich via Support-Anfrage |
|
OpenAI
USA Updated on 01.2026
|
KI-unterstützte Funktionen | MOCO-Benutzer | Sprach- und Texteingaben für KI-gestützte Funktionen (**); Vorhaltezeit bis 30 Tage nach Verarbeitung zur Missbrauchserkennung (https://platform.openai.com/docs/guides/your-data#storage-requirements-and-retention-controls-per-endpoint). Daten sind von Training ausgenommen. | Ja (Opt-In), muss in den Einstellungen aktiviert werden |
|
Anthropic
USA Updated on 02.2025
|
KI-unterstützte Funktionen | MOCO-Benutzer | Sprach- und Texteingaben für KI-gestützte Funktionen (**); Vorhaltezeit bis 30 Tage nach Verarbeitung; bei Missbrauch auch mehrere Jahre (https://privacy.claude.com/en/articles/7996866-how-long-do-you-store-my-organization-s-data) | Ja (Opt-In), muss in den Einstellungen aktiviert werden |
|
Ably
Vereinigtes Königreich (UK) Updated on 01.2023
|
Für Echtzeit-Updates via Push ohne Neuladen des Browsers. Verschlüsselter Payload (BYOK) und nur Übertragung technischer IDs, Vorname, Nachname, URL (Profilbild) von angemeldeten Benutzern via Ably Spaces bei gleichzeitiger Bearbeitung von Angeboten/Rechnungen. | MOCO-Benutzer | IP-Adresse; Vorhaltezeit bis 14 Tage | Nein |
|
Amazon Web Services
Europäische Union Updated on 02.2021
|
Backups ausserhalb der Rechenzentren via S3, Auslieferung statischer Assets via Cloudfront (Javascript, CSS) | MOCO-Benutzer und erfasste Kontakte | Alle Daten & Dateien (AES256 verschlüsselt BYOK, **); Vorhaltezeit i.d.R. 1 Jahr (max. 24 Monate) | Nein |
|
Klippa
EU (Niederlande) Updated on 09.2021
|
Klippa extrahiert strukturierte Daten aus Rechnungsdokumenten und Belegen und erlaubt die automatische Erfassung ohne manuelle Eingabe. | Rechnungssteller und Leistungsempfänger | Daten auf Eingangsrechnungen und Belegen (**); Vorhaltezeit nur für die Zeit der Dokumentverarbeitung | Ja (Opt-In), muss in den Einstellungen aktiviert werden |
|
finAPI *
EU (Deutschland) Updated on 12.2021
|
finAPI ist eine Open Banking API primär für den automatischen Zahlungsabgleich zwischen MOCO und europäischen Banken. | Inhaber des Kontos | Verwendungszwecke, Empfänger, Absender (**); Vorhaltezeit 12 Monate | Ja (Opt-In), muss in den Einstellungen aktiviert werden |
|
Personio *
EU (Deutschland) |
Personio ist ein HR-Dienstleister. Datenübertragung von HR-Daten wie Abwesenheiten und Arbeitszeiten. | MOCO-Benutzer | Abwesenheiten und/oder Arbeitszeiten; Vorhaltezeit bis zu 10 Jahre | Ja (Opt-In), muss in den Einstellungen aktiviert werden |
|
faktoora
EU (Deutschland) Updated on 12.2021
|
faktoora stellt den XRechnung-Service bereit. | Rechnungssteller | Daten auf Ausgangsrechnungen (**); Vorhaltezeit 12 Monate | Ja (Opt-In), muss in den Einstellungen aktiviert werden |
|
everii Group GmbH
EU (Deutschland) Updated on 07.2024
|
Provider für den Betrieb von Backend-Diensten für die Gruppe (OCR, Backups). | MOCO-Benutzer und erfasste Kontakte | Alle Daten & Dateien (**); Vorhaltezeit i.d.R. 1 Jahr (max. 24 Monate) nach Löschung des Accounts | Nein |
|
DATEV *
EU (Deutschland) Updated on 12.2021
|
Datenübertragung von Buchungs- und Bilddaten im Rahmen der Schnittstelle zu DATEV Unternehmen online. | Rechnungssteller und Leistungsempfänger | Daten auf Eingangs-, Ausgangsrechnungen und Belegen (**); Vorhaltezeit bis zu 10 Jahre | Ja (Opt-In), muss in den Einstellungen aktiviert werden |
|
Hetzner
EU Updated on 2023
|
Provider für den Betrieb der MOCO Cloud in Deutschland und Finnland. | MOCO-Benutzer und erfasste Kontakte | Alle Daten & Dateien (**); Vorhaltezeit bis zur Löschung des Accounts | Nein |
|
Exoscale
EU + Schweiz Updated on 09.2021
|
Provider für den Betrieb der MOCO Cloud in Deutschland, Österreich und der Schweiz. | MOCO-Benutzer und erfasste Kontakte | Alle Daten & Dateien (**); Vorhaltezeit bis zur Löschung des Accounts | Nein |
|
Netskin GmbH und IWB
Schweiz Updated on 03.2021
|
Provider für den Betrieb der MOCO Cloud in der Schweiz. | MOCO-Benutzer und erfasste Kontakte | Alle Daten & Dateien (**); Vorhaltezeit bis zur Löschung des Accounts | Nein |
* We offer this service so that the MOCO platform can provide as comprehensive and up-to-date a service as possible. In this case, MOCO acts solely as an intermediary for the service, i.e. we do not process this data in any way; instead, the client commissions the third-party company directly. This means the client, as the controller under the Swiss FADP and the EU GDPR, is responsible for the data within their remit (e.g. employee data). We recommend that clients read the third-party provider’s data protection provisions carefully and enter into their own DPAs.
** MOCO has no control over the data that a client records. Often, only our clients are able to assess whether they capture and process personal data. This applies in particular to entries in free-text fields, or when using third-party services (e.g. Zapier).
FAQ
Are there any risks for EU clients if the servers are located in Switzerland?
The GDPR allows data processing abroad. However, processing must be ensured by an appropriate level of data protection. For Switzerland, this was confirmed by the EU Commission in a formal decision: 2000/518/EC.
Can we enter into an individual Data Processing Agreement?
We use our standard agreement, as it is not economically feasible to enter into individual agreements given the number of clients. We welcome feedback that improves transparency or could be phrased more clearly, and we incorporate it into future versions.
DPA Version Notes
The MOCO Data Processing Agreement (DPA) is updated regularly. Existing clients will be informed if processing can no longer continue on the basis of the current version and renewed confirmation becomes necessary.
Update 27.01.2026 » download
- Added: New subcontractors OpenAI (opt-in), Anthropic (opt-in), everii Group GmbH
Update 27.10.2023 » download
- Added: New subcontractor Hetzner
- Change: Corrected text reference in 8.6 on audit rights.
Update 01.09.2023 » download
- Removed: Subcontractor Google Maps (new implementation without IP transfer)
- Change: More neutral wording for the Swiss FADP and the EU GDPR.
Update 13.12.2021 » download
- Added: New subcontractors (all opt-in): DATEV, Personio, Faktoora, Klippa, finAPI
- Removed: Subcontractor Parashift
- Change Appendix 1 TOM: Added regular software updates, and restricted the access authorisation structure to what is strictly necessary.
Update 10.06.2020 » download
- Added: New subcontractors New Relic (opt-out) and Bugsnag
Update 05.03.2020 » download
- Added: New subcontractors Google Maps (opt-in), Parashift (opt-in), and Exoscale
- Change: Replaced the obligation to comply with the Swiss Federal Act on Data Protection (Swiss data protection law) with the more general wording “in accordance with applicable data protection law”.
Update 17.01.2020 » download
- Added: New subcontractor Twilio / SendGrid
Update 06.07.2018 » download
- Added: The contractor may only engage additional subcontractors (further processors) with the prior explicit consent of the client. If the client’s explicit consent is not given, the contractor may terminate the service agreement, subject to a 60-day notice period.
- Added: Privacy Shield links for all subcontractors
- Removed: This agreement is governed
exclusively bySwiss law.
Update 22.05.2018 » download
- Initial version
