Informationen zur Datenverarbeitung, Mandantentrennung und Verschlüsselung der Daten von MVC 360°

1.) Datenverarbeitung und -Aufbewahrung

MVC verwendet und betreibt ausschließlich eigene Infrastruktur in angemieteten Racks von Rechenzentren in Frankfurt am Main sowie Zürich. Sämtliche Daten werden ausschließlich von MVC und an diesen Orten verarbeitet. Dritte Anbieter und Cloud-Dienste werden grundsätzlich nicht verwendet.

2.) Datenübertragung zwischen Client und Server

a.) Buchungsportal, WebRTC-Seiten

Sämtliche Daten werden ausschließlich mittels TLS 1.2 oder TLS 1.3-Verschlüsselt übertragen.

Dabei werden folgende moderne Cipher-Algorithmen verwendet:

# TLS 1.3

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

# TLS 1.2

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Der Qualys SSL-Labs Test bescheinigt hierfür die Note A.

b.) Medienstrom, Audio- und Videoverbindungen

Sämtliche Daten werden ausschließlich SRTP-Verschlüsselt übertragen.

Dabei kommen folgende Cipher-Algorithmen zum Einsatz:

AES-128

AES-256

Der Schlüsselaustausch findet dabei via TLS statt, Details hierzu finden Sie unter Punkt a.

3.) Art- und Dauer der Datenspeicherung

a. Buchungsportal

Bei gebuchten Konferenzen wird lediglich der Konferenztitel, Startzeitpunkt und Dauer, sowie die eingeladenen Teilnehmer gespeichert. Diese Daten werden nach der Konferenz für 90 Tage für den Kunden vorgehalten. Eine Verarbeitung und Auswertung seitens MVC findet grundsätzlich nie statt.

Längerfristige “Usage-Reports” beinhalten keine personenbezogene Daten.

Bei lokalen Benutzeraccounts wird der Benutzername, Vor- und Nachname sowie das Passwort gespeichert, solange der Account existiert. Passwörter werden dabei ausschließlich als SHA2-512-Hash gespeichert.

Bei LDAP- oder SAML2-Authentifizierung werden grundsätzlich keine Passwörter gespeichert.

b. Medienstrom, Audio- und Videoverbindungen

Sofern nicht explizit die Recording-Funktion bestellt wurde, werden die Medienströme und Gesprächsinhalte zu keinem Zeitpunkt gespeichert.

Bei einem aktivierten Recording wird die Aufnahme als .mp4-Datei auf MVC-eigenen Servern gespeichert und nach spätestens 90 Tagen gelöscht.

4.) Mandantentrennung

Alle Kundendaten befinden sich in einer Datenbank und sind mittels Mandanten-Identifier voneinander getrennt.