GDPR 🇨🇭 & GDPR 🇪🇺
MOCO is GDPR compliant and offers a Data Processing Agreement (DPA) for customers.
MOCO does not rely on the Privacy Shield.
For the operation of MOCO, only European and Swiss companies with their own hardware are commissioned, thus ensuring an adequate level of data protection. For supplementary services or integrations, subcontractors from third countries (USA, UK) are sometimes commissioned. A DPA has been concluded with all subcontractors, which includes the EU Standard Contractual Clauses (SCC). The residual risks in the transfer of personal data are reduced in these cases by further measures (BYOK encryption, data minimization, restriction of affected persons, Opt-In, Opt-Out).
MOCO commits to full transparency of data processing and continuously optimizes processes related to personal data. In the medium term, MOCO is examining additional alternatives in the EU to further reduce dependencies. All contract adjustments can be tracked in the lower area at any time.
Subcontractors
Details on subcontractors and opt-outs
Below are our subcontractors and their role in the processing of personal data. This includes which companies process which data and which group of people is affected. It also describes how to stop or initially activate the processing:
| Company | Reason for processing | Group of people | Personal data | Opt-In/Out |
|---|---|---|---|---|
|
Intercom
USA Updated on 02.2023
|
Zeitnahe und persönliche Betreuung direkt aus MOCO ohne Umwege. | MOCO-Benutzer | Vorname, Nachname, E-Mail, erstes und letztes Anmeldedatum via Browser, Mobilgerät, Nutzunginfo (API-, CardDAV- und Browsererweiterung), Browser & Browserversion, Sprache, Betriebssystem, Bildschirmbreite, letzter Kontakt mit MOCO, letzte gelesene E-Mail, Anzahl Anmeldungen, Zugriffsrechte in MOCO; Vorhaltezeit bis 60 Tage nach Löschung des Accounts | Ja (Opt-Out), möglich via Support-Anfrage, Support ist dann nur per E-Mail möglich. |
|
Stripe
USA Updated on 11.2022
|
Abwicklung der monatlichen Zahlungen via Lastschrift und Kreditkarte. | Inhaber der Kreditkarte / des Lastschriftkontos | Kreditkarten- und/oder Kontoangaben des Abonnenten, Standort (für Betrugserkennung); Vorhaltezeit bis 180 Tage nach Löschung des Accounts | Nein |
|
Zapier *
USA Updated on 03.2023
|
Zapier stellt ein Workflow-System zur Verfügung um verschiedene Web-Apps miteinander ohne Programmierkenntnisse verbinden zu können. | MOCO-Benutzer und erfasste Kontakte | Potentiell alle in MOCO erfasste Daten. Jeder Workflow muss einzeln definiert und aktiviert werden (**); Vorhaltezeit bis 120 Tage für jeden einzelnen Workflow. | Ja (Opt-In), muss in den Einstellungen aktiviert werden. |
|
SendGrid (Twilio)
USA Updated on 02.2023
|
Zuverlässiger Versand und Empfang von E-Mails. | E-Mail-Empfänger | E-Mails und deren Inhalte (Rechnungen, Angebote, Wochenzusammenfassungen, Info-Mails, **); Vorhaltezeit bis 7 Tage nach Versand | Ja (Opt-Out), für externe E-Mail-Empfänger durch Hinterlegung eigener Mail-Server (SMTP). |
|
New Relic
USA (Unternehmen) mit EU-Rechenzentrum Updated on 03.2022
|
Performance-Messung vom Server bis zum Browser um langsame Bereiche erkennen und optimieren zu können. | MOCO-Benutzer | IP-Addresse (New Relic Browser); Vorhaltezeit bis 1 Tag zur Anonymisierung | Ja (Opt-Out), möglich via Support-Anfrage |
|
Bugsnag
USA Updated on 05.2022
|
Fehleranalyse und Auswertung | MOCO-Benutzer und erfasste Kontakte | IP-Adresse und Klickverhalten bei Frontend-Fehlern (**), übermittelte Daten bei Fehlern im Backend-Teil; Vorhaltezeit bis 60 Tage nach Auftreten eines Fehlers | Ja (Opt-Out), möglich via Support-Anfrage |
|
Ably
Vereinigtes Königreich (UK) Updated on 01.2023
|
Für Echtzeit-Updates via Push ohne Neuladen des Browsers. Verschlüsselter Payload (BYOK) und nur Übertragung technischer IDs, Vorname, Nachname, URL (Profilbild) von angemeldeten Benutzern via Ably Spaces bei gleichzeitiger Bearbeitung von Angeboten/Rechnungen. | MOCO-Benutzer | IP-Adresse; Vorhaltezeit bis 14 Tage | Nein |
|
Amazon Web Services
Europäische Union Updated on 02.2021
|
Backups ausserhalb der Rechenzentren via S3, Auslieferung statischer Assets via Cloudfront (Javascript, CSS) | MOCO-Benutzer und erfasste Kontakte | Alle Daten & Dateien (AES256 verschlüsselt BYOK, **); Vorhaltezeit i.d.R. 1 Jahr (max. 24 Monate) | Nein |
|
Klippa
EU (Niederlande) Updated on 09.2021
|
Klippa extrahiert strukturierte Daten aus Rechnungsdokumenten und Belegen und erlaubt die automatische Erfassung ohne manuelle Eingabe. | Rechnungssteller und Leistungsempfänger | Daten auf Eingangsrechnungen und Belegen (**); Vorhaltezeit nur für die Zeit der Dokumentverarbeitung | Ja (Opt-In), muss in den Einstellungen aktiviert werden |
|
finAPI *
EU (Deutschland) Updated on 12.2021
|
finAPI ist eine Open Banking API primär für den automatischen Zahlungsabgleich zwischen MOCO und europäischen Banken. | Inhaber des Kontos | Verwendungszwecke, Empfänger, Absender (**); Vorhaltezeit 12 Monate | Ja (Opt-In), muss in den Einstellungen aktiviert werden |
|
Personio *
EU (Deutschland) |
Personio ist ein HR-Dienstleister. Datenübertragung von HR-Daten wie Abwesenheiten und Arbeitszeiten. | MOCO-Benutzer | Abwesenheiten und/oder Arbeitszeiten; Vorhaltezeit bis zu 10 Jahre | Ja (Opt-In), muss in den Einstellungen aktiviert werden |
|
faktoora
EU (Deutschland) Updated on 12.2021
|
faktoora stellt den XRechnung-Service bereit. | Rechnungssteller | Daten auf Ausgangsrechnungen (**); Vorhaltezeit 12 Monate | Ja (Opt-In), muss in den Einstellungen aktiviert werden |
|
DATEV *
EU (Deutschland) Updated on 12.2021
|
Datenübertragung von Buchungs- und Bilddaten im Rahmen der Schnittstelle zu DATEV Unternehmen online. | Rechnungssteller und Leistungsempfänger | Daten auf Eingangs-, Ausgangsrechnungen und Belegen (**); Vorhaltezeit bis zu 10 Jahre | Ja (Opt-In), muss in den Einstellungen aktiviert werden |
|
Hetzner
EU Updated on 2023
|
Provider für den Betrieb der MOCO Cloud in Deutschland und Finnland. | MOCO-Benutzer und erfasste Kontakte | Alle Daten & Dateien (**); Vorhaltezeit bis zur Löschung des Accounts | Nein |
|
Exoscale
EU + Schweiz Updated on 09.2021
|
Provider für den Betrieb der MOCO Cloud in Deutschland, Österreich und der Schweiz. | MOCO-Benutzer und erfasste Kontakte | Alle Daten & Dateien (**); Vorhaltezeit bis zur Löschung des Accounts | Nein |
|
Netskin GmbH und IWB
Schweiz Updated on 03.2021
|
Provider für den Betrieb der MOCO Cloud in der Schweiz. | MOCO-Benutzer und erfasste Kontakte | Alle Daten & Dateien (**); Vorhaltezeit bis zur Löschung des Accounts | Nein |
* We offer this service so that the MOCO platform can provide as comprehensive and up-to-date services as possible. In this case, we at MOCO are merely intermediaries of a service, i.e., we do not process these data ourselves, but the customer directly commissions the third-party company. Thus, the customer is responsible as the controller ("Controller") according to GDPR for the data in his area of competence (e.g., for employee data). We recommend that the customer read the privacy policies of the third-party provider very carefully and conclude their own data processing agreements.
** MOCO has no control over data captured by the customer. Often only our customers are able to assess whether they capture and process personal data. This applies especially to entries in free text fields or when using third-party services (e.g., Zapier).
FAQ
Are there risks for EU customers if the servers are located in Switzerland?
The GDPR allows data processing abroad. However, the processing must be ensured by an adequate level of data protection. For Switzerland, this has been determined by the EU Commission in a formal decision: 2000/518/EC.
Can we conclude an individual data processing agreement?
We rely on our standard contract, as it is not economically feasible to conclude individual contracts due to the number of customers. Feedback that contributes to transparency or can be formulated even more clearly is taken into account and incorporated into the next versions.
Data Processing Agreement Version Notes
The MOCO Data Processing Agreement (DPA) is regularly updated. Existing customers will be informed should the processing no longer be able to continue on the basis of the existing version and a reconfirmation become necessary.
Update 27.10.2023 » download
- Added: New subcontractor Hetzner
- Change: Correction of text reference in 8.6 on control powers.
Update 01.09.2023 » download
- Removed: Subcontractor Google Maps (new implementation without IP transmission)
- Change: More neutral formulations for Swiss DPA and EU-GDPR.
Update 13.12.2021 » download
- Added: New subcontractors (all opt-in): DATEV, Personio, Faktoora, Klippa, finAPI
- Removed: Subcontractor Parashift
- Change Annex 1 TOM: Regular software updates added and access authorization structure limited to the essentials.
Update 10.06.2020 » download
- Added: New subcontractors New Relic (opt-out) and Bugsnag
Update 05.03.2020 » download
- Added: New subcontractors Google Maps (opt-in), Parashift (opt-in) and Exoscale
- Change: Compliance obligations of the Federal Act on Data Protection (Swiss Data Protection Act) replaced by more general wording "according to applicable data protection law".
Update 17.01.2020 » download
- Added: New subcontractor Twilio / SendGrid
Update 06.07.2018 » download
- Added: The contractor may only commission additional subcontractors (further processors) with the prior explicit consent of the client. If the explicit consent of the client is missing, the contractor may terminate the service contract - subject to a reminder period of 60 days.
- Added: Privacy Shield links of all subcontractors
- Removed: This contract is
exclusivelysubject to Swiss law.
Update 22.05.2018 » download
- Initial version
