Am 1. November 2022 wird der im April veröffentliche nationale Standard GB/T 41391-2022 „Information Security Technology Basic Requirements for Mobile Internet Applications (Apps) Collecting Personal Information“ in Kraft treten. Er gilt für alle App-Betreiber in China und soll Aktivitäten zur Erfassung personenbezogener Daten regulieren. Dieser Standard ist für alle Unternehmen relevant, die in China eine App betreiben oder planen, eine solche auf den Markt zu bringen. Der umfangreiche Standard umfasst tiefgehende Informationen sowie detaillierte Anforderungen an Apps in Bezug auf die Sammlung, Speicherung und Weiterverwendung personenbezogener Daten.
Die nicht gesetzlich verpflichtende, allerdings ausdrücklich empfohlene Leitlinie folgt dem Prinzip der minimalen Notwendigkeit hinsichtlich der Verarbeitung personenbezogener Daten und zielt auf eine transparente Datenerhebung bzw. -verarbeitung ab. Die durch Apps erhobenen personenbezogenen Daten sollten einen klaren, angemessenen und spezifischen Zweck der Verarbeitung haben sowie auf das zur Erreichung des Verarbeitungszwecks erforderliche Mindestmaß beschränkt sein.
Der veröffentlichte Standard legt die grundlegenden Anforderungen an Apps zum Sammeln personenbezogener Daten fest und gibt den Umfang sowie klare Vorgaben für die Verwendung der erforderlichen personenbezogenen Daten für gängige Diensttypen wie zum Beispiel Kartennavigation, Instant Messaging, Online-Shopping oder auch Online-Zahlungen an. Der Datenumfang umfasst üblicherweise die Art, Häufigkeit, Menge und Genauigkeit der gesammelten personenbezogenen Daten. Diese sollten fortan so erfasst werden, dass sie die Persönlichkeitsrechte am wenigsten beeinträchtigen, wobei die Auswirkungen von Persönlichkeitsrechten meist mit der Sensibilität personenbezogener Daten zusammenhängen. Auch wird die Überwachung, Verwaltung sowie Bewertung der Aktivitäten zur Erfassung personenbezogener Daten durch Aufsichtsbehörden und externe Bewertungsagenturen adressiert und nicht ausgeschlossen.
Die neue Vorschrift orientiert sich nah an den bereits geltenden Gesetzen Cyber Security Law, Data Security Law sowie dem Personal Information Protection Law. In China tätige Unternehmen, die ihre IT-Compliance bereits an den geltenden Gesetzt ausgerichtet haben, sollten die Datenerhebung sowie -verarbeitung ihrer Apps in China bis zum Inkrafttreten des neuen Standards überprüfen und gegebenenfalls anpassen. Unternehmen, die bislang noch keine Maßnahmen im Rahmen des CSL sowie DSL ergriffen haben, sollten zunächst mit der Implementierung notwendiger Maßnahmen zur Erreichung der IT-Compliance bereits geltender Gesetze beginnen.
China Intellectual Property Blog 