Compliance-Anforderungen für Software Development Kits (SDK)

Veröffentlicht in Allgemein, Compliance, Cybersicherheit, Datenschutz

China reguliert die Erhebung privater Daten in Apps weiter. So hat die Bedeutung der Compliance bei Software Development Kits (SDK) deutlich zugenommen. Seit Juni 2021 gehen die Behörden mit SDK Security Special Actions gegen die illegale Verwendung von SDKs in Apps vor.

Ein Software Development Kit ist eine Sammlung von Werkzeugen zur Softwareentwicklung in einem installierbaren Paket. Der App-Betreiber kann je nach den funktionalen Anforderungen verschiedene Kits integrieren, die von SDK-Anbietern bereitgestellt werden. Für westliche Unternehmen, die in China Apps betreiben wollen, können sich bei der Integration von SDKs in ihre Apps rechtliche Risiken ergeben, insbesondere dann, wenn SDKs personenbezogene Daten verarbeiten.

Die rechtlichen Risiken für die App-Betreiber hängen von der Rolle der SDK-Anbieter bei der Verarbeitung personenbezogener Daten ab. Wenn der Anbieter der Auftragsverarbeiter des App-Betreibers ist, d.h. er selbst nicht den Zweck verfolgt, personenbezogene Daten zu verwenden, sondern diese lediglich gemäß den Anweisungen des App-Betreibers verarbeitet, trägt der Betreiber die Verantwortung.

Wenn der Anbieter ein unabhängiger Verarbeiter personenbezogener Daten ist, dann ist der Betreiber immer noch in der Position einer Plattformpartei. Wenn der SDK-Anbieter gegen Datenschutzgesetze verstößt, kann der Betreiber wegen Hilfeleistung zu Schadensersatz verpflichtet sein.

Um die rechtlichen Risiken zu vermeiden, die durch die Integration von SDK-Produkten in Apps entstehen, schlagen wir vor, dass App-Betreiber durch Vereinbarungen mit SDK-Anbietern oder auf andere Weise die Regeln für den Umgang mit personenbezogenen Daten und die zu tragenden Verantwortlichkeiten festlegen, die betroffenen Personen in der Datenschutzerklärung über den Umgang mit personenbezogenen Daten durch SDKs informieren und den Verwendungszweck, die gesammelten personenbezogenen Daten und die Kontaktinformationen etc. der SDK-Anbieter offenlegen. Darüber hinaus sollten die Datenverarbeitungsaktivitäten der Anbieter regelmäßig überwacht und geprüft werden. Ein geeigneter Notfallplan sollte vorhanden sein, der es den Betreibern ermöglicht, schnell zu handeln und die Risiken zu minimieren.

Bild: Shutterstock

Veröffentlicht von chinabrand-redaktion

www.chinabrand.de

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

Gravatar
WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Abbrechen

Verbinde mit %s