Unsere Antwort Schrems II

Aktualisierte: 8. August 2023

CBRE verpflichtet sich, die Datenschutz- und Persönlichkeitsrechte seiner Kunden, Mitarbeiter und Stakeholder auf der ganzen Welt zu wahren, unabhängig davon, wo wir geschäftlich tätig sind. CBRE hat proaktiv auf die jüngsten Änderungen in Bezug auf grenzüberschreitende Datenübermittlungen reagiert, unter anderem in Europa und China.

Europa

Seit der "Schrems II"-Entscheidung des Gerichtshofs der Europäischen Union im Jahr 2020 haben wir konzertierte Schritte unternommen und werden dies auch weiterhin tun, um die Anforderungen an die Datenübermittlung im Rahmen der sich ändernden europäischen Datenschutzgesetze zu erfüllen, darunter:

• Durchführung einer Reihe von Transfer-Folgenabschätzungen für die Übermittlung von Daten an CBRE-Standorte, einschließlich an CBRE, Inc. und seine US-Tochtergesellschaften ("CBRE US"). Die Folgenabschätzung für die Übertragung von CBRE US kam zu dem Schluss, dass (i) solche Übermittlungen rechtmäßig fortgesetzt werden können, da sie nicht gemäß dem U.S. Foreign Intelligence Surveillance Act Section 702 (50 U.S.C. §1881a) ("FISA 702") oder der Executive Order 12333 an die US-Nachrichtendienste weitergegeben werden müssen.
• Executive Order 14086, wie sie von der Europäischen Kommission in ihrem Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen bewertet wurde, erhöht den Datenschutz und die Privatsphäre für Nicht-US-Bürger erheblich, indem er klare und präzise Regeln sowie Grundsätze der Notwendigkeit und Verhältnismäßigkeit für US-Nachrichtendienste und einen neuen zweistufigen Rechtsbehelfsmechanismus festlegt, derauch dann, wenn CBRE US (noch) nicht nach dem neuen EU-US-Datenschutzabkommen zertifiziert ist.
• Implementierung eines Rahmens für die Durchführung und Durchführung von Folgenabschätzungenfür Datenübermittlungen außerhalb der EU/des EWR.
• Sich weiterhin auf die Standardvertragsklauseln der EU (in der aktualisierten Fassung) zu verlassen, um personenbezogene Daten aus der EU/dem EWR in Nicht-EU-/EWR-Länder zu übertragen, und, sofern dies in der entsprechenden Folgenabschätzung für die Übermittlung angezeigt wird, zusätzliche Maßnahmen zu ergreifen, die vom Europäischen Datenschutzausschuss (EDSA) und anderen EU-Aufsichtsbehörden empfohlen werden.
• Implementierung geeigneter Schutzmaßnahmen in Bezug auf andere europäische Länder, die Übertragungsanforderungen auferlegen, wie z. B. die Annahme des UK Addendum und die Berücksichtigung der nach Schweizer Recht erforderlichen Änderungen.
• Ergänzung der globalen Datenschutzrichtlinie von CBRE um einen "Inadequate Jurisdiction Order Disclosure Standard", nach dem CBRE unter anderem alle angemessenen rechtlichen Schritte einleiten wird, um Offenlegungsanordnungen aus unzureichenden Drittländern anzufechten und auszusetzen und nur die für die rechtmäßige Einhaltung erforderlichen Mindestdaten vorzulegen.
• Zunehmende Lokalisierung von EU-/EWR-Daten.

China

Um die Einhaltung der Gesetze zur Cybersicherheit und zum Schutz personenbezogener Daten zu gewährleisten, einschließlich der rechtmäßigen Übermittlung chinesischer Daten außerhalb Chinas, hat CBRE alle relevanten Zertifizierungen des Multi-Level Protection Scheme erhalten und die Maßnahmen für den Standardvertrag für die ausgehende Übermittlung personenbezogener Daten umgesetzt, indem es den von der Cyberspace Administration of China (CAC) ausgestellten Standardvertrag angenommen und eine Datenschutz-Folgenabschätzung durchgeführt hats für grenzüberschreitende Datenübermittlungen.

Kryptographie

CBRE verwendet eine starke kryptografische Technologie, die auf die neuesten Best-Practice-Sicherheitsstandards in Übereinstimmung mit den international anerkannten Standardisierungsgremien abgestimmt ist, und vermeidet Verschlüsselungsalgorithmen, von denen bekannt ist, dass sie Schwachstellen oder Exploits aufweisen. Wir verfügen über eine globale Informationssicherheitsrichtlinie, die durch einen Datenklassifizierungsstandard und Kryptografiestandards unterstützt wird, die Datenklassifizierungen, kryptografische Algorithmen und Verschlüsselungsverwendung abdecken.

• Während der Übertragung: CBRE implementiert Schutzmaßnahmen gegen aktive und passive Angriffe auf die sendenden und empfangenden Systeme, die Transportverschlüsselung bereitstellen, wie z. B. angemessene Firewalls, gegenseitige TLS-Verschlüsselung, API-Authentifizierung und Verschlüsselung zum Schutz der Gateways und Pipelines, durch die Daten übertragen werden, sowie Tests auf Software-Schwachstellen und mögliche Hintertüren. Wir verwenden effektive Verschlüsselungsalgorithmen und Parametrisierung über nicht vertrauenswürdige Netzwerke mit Transport Layer Security (TLS) Protokoll 1.2 oder höher, SSH 2 (Secure Shell), IPsec (IP Security).

• Während der Speicherung: CBRE verschlüsselt auch gespeicherte Daten, die der Klassifizierung der Daten entsprechen, indem es effektive Verschlüsselungsalgorithmen und Parametrisierungen einsetzt, einschließlich symmetrischer Schlüsselalgorithmen - Advanced Encryption Standard (AES) und Triple Data Encryption Standard oder asymmetrischer Schlüsselalgorithmen - Rivest, Shamir &; Adelman (RSA) und Elliptic Curve Digital Signature Algorithm (ECDSA). CBRE erlaubt das Schreiben von Daten auf Wechselmedien im Allgemeinen nicht. Wenn ein solches Gerät erforderlich ist, wird eine temporäre Ausnahme ausgelöst und während der gesamten Dauer verwaltet. Benutzern, die ein berechtigtes Bedürfnis haben, einen USB-Speicher zu verwenden, wird zu diesem Zweck ein verschlüsseltes USB-Laufwerk zur Verfügung gestellt.

Hash-Funktionen: Zu den verwendeten Hash-Funktionen gehören SHA-2 und SHA3, aber keine veralteten Funktionen wie MD5 und SHA-1.

Für weitere Informationen über den Ansatz von CBRE für den grenzüberschreitenden Datentransfer wenden Sie sich bitte an das Global Data Privacy Office von CBRE.