Anforderungen an SDKs

App-Entwickler verlassen sich oft auf Drittanbietercode (z. B. SDKs), um wichtige Funktionen und Dienste in ihren Apps anzubieten. Wenn Sie in Ihrer App ein SDK verwenden, sollten Sie zur Sicherheit Ihrer Nutzer beitragen und darauf achten, dass Ihre App bestmöglich vor Sicherheitslücken geschützt ist. In diesem Abschnitt erläutern wir, wie einige unserer bestehenden Anforderungen an Datenschutz und Sicherheit für die Verwendung von SDKs gelten und Entwickler dabei unterstützen sollen, SDKs auf sichere Weise in ihre Apps zu integrieren.

Beim Verwenden eines SDKs in Ihrer App sind Sie dafür verantwortlich, dass der Code und die Praktiken von Drittanbietern nicht dazu führen, dass Ihre App gegen die Google Play-Programmrichtlinien für Entwickler verstößt. Sie müssen sich darüber informieren, wie die SDKs in Ihrer App mit Nutzerdaten umgehen, welche Berechtigungen sie verwenden und welche Daten aus welchem Grund erhoben werden.  Die Erhebung und Verarbeitung von Nutzerdaten durch ein SDK muss ebenso wie die Nutzung dieser Daten durch Ihre App richtlinienkonform sein.

Damit Ihre Nutzung von SDKs keinen Richtlinienverstoß darstellt, lesen Sie die folgenden vollständigen Richtlinien und beachten Sie außerdem die bestehenden Anforderungen im Hinblick auf SDKs.

Richtlinie zu Nutzerdaten

Sie müssen transparent machen, wie Sie mit Nutzerdaten umgehen (z. B. mit vom Nutzer bereitgestellten Informationen und Informationen, die über einen Nutzer erfasst werden, einschließlich Geräteinformationen). Das bedeutet: Sie müssen den Zugriff auf Nutzerdaten sowie deren Erhebung, Verwendung, Handhabung und Weitergabe durch Ihre App offenlegen und die Verwendung der Daten auf die offengelegten richtlinienkonformen Zwecke beschränken.

Wenn in Ihrer App Code von Drittanbietern enthalten ist, etwa ein SDK, müssen Sie sicherstellen, dass dieser in Ihrer App verwendete Code und die Praktiken des Drittanbieters im Hinblick auf Nutzerdaten aus Ihrer App den Google Play-Programmrichtlinien für Entwickler entsprechen, zu denen auch die Offenlegungspflichten gehören. So dürfen Ihre SDK-Anbieter beispielsweise keine personenbezogenen und vertraulichen Nutzerdaten aus Ihrer App verkaufen. Diese Anforderung gilt unabhängig davon, ob Nutzerdaten weitergegeben werden, nachdem sie an einen Server gesendet wurden oder indem Drittanbietercode in Ihre App eingebettet wurde.

Personenbezogene und vertrauliche Nutzerdaten

  • Sie müssen den appseitigen Zugriff auf personenbezogene und vertrauliche Daten sowie deren Erhebung, Verwendung und Weitergabe auf App- und Dienstfunktionen sowie richtlinienkonforme Zwecke beschränken, die vom Nutzer erwartet werden:
    • Apps, in denen personenbezogene und vertrauliche Nutzerdaten außerdem zur Bereitstellung von Werbung verwendet werden, müssen den Werberichtlinien von Google Play entsprechen.
  • Alle personenbezogenen und vertraulichen Nutzerdaten müssen sicher verarbeitet und mit modernen Verschlüsselungsverfahren übertragen werden, z. B. über HTTPS.
  • Fragen Sie, wenn möglich, Laufzeitberechtigungen an, bevor Sie über Android-Berechtigungsanfragen auf Daten zugreifen.

Verkauf von personenbezogenen und vertraulichen Nutzerdaten

Sie dürfen keine personenbezogenen und vertraulichen Nutzerdaten verkaufen.

  • „Verkauf“ ist der Austausch personenbezogener und vertraulicher Nutzerdaten mit Dritten oder die Weitergabe an solche gegen Bezahlung.
    • Eine durch Nutzer initiierte Weitergabe personenbezogener und vertraulicher Nutzerdaten wird nicht als Verkauf betrachtet. Dazu gehört beispielsweise, wenn Nutzer eine Funktion einer App verwenden, um eine Datei an Dritte zu senden, oder wenn sie sich dafür entscheiden, eine App zu verwenden, die speziell für die Teilnahme an einer Forschungsstudie bestimmt ist.

Pflicht zur deutlichen Offenlegung und Einwilligung

In Fällen, in denen der appseitige Zugriff auf personenbezogene und vertrauliche Nutzerdaten sowie deren Erhebung, Verwendung oder Weitergabe nicht den angemessenen Erwartungen des Nutzers des betreffenden Produkts oder der betreffenden Funktion entsprechen, sind Sie zur deutlichen Offenlegung und Einwilligung gemäß der Richtlinie zu Nutzerdaten verpflichtet.

Wenn in Ihrer App Code von Drittanbietern enthalten ist, etwa ein SDK, das dazu dient, standardmäßig personenbezogene und vertrauliche Nutzerdaten zu erheben, müssen Sie innerhalb von zwei Wochen nach Erhalt einer Anfrage von Google Play (oder innerhalb des in der Google Play-Anfrage angegebenen Zeitraums, sofern dort ein anderer Zeitraum angegeben ist) ausreichend nachweisen, dass Ihre App die in dieser Richtlinie beschriebene Pflicht zur deutlichen Offenlegung und Einwilligung erfüllt, etwa im Hinblick auf Datenzugriff sowie Erhebung, Verwendung und Weitergabe von Daten durch Drittanbietercode.

Achten Sie darauf, dass Drittanbietercode (z. B. SDKs) nicht gegen die Richtlinie zu Nutzerdaten verstößt.

Weitere Informationen über die Pflicht zur deutlichen Offenlegung und Einwilligung finden Sie in diesem Hilfeartikel.

Beispiele für durch SDKs verursachte Verstöße

  • Apps mit einem SDK, das personenbezogene und vertrauliche Nutzerdaten erhebt, das diese Daten aber nicht gemäß dieser Richtlinie zu Nutzerdaten, gemäß den Anforderungen an den Datenzugriff und die Handhabung der Daten (einschließlich des Verkaufsverbots) sowie gemäß der Pflicht zur deutlichen Offenlegung und Einwilligung verarbeitet.
  • Apps mit einem SDK, das standardmäßig personenbezogene und vertrauliche Nutzerdaten erhebt und dabei gegen die Pflicht zur deutlichen Offenlegung und Einwilligung dieser Richtlinie verstößt. 
  • Apps mit einem SDK, das angibt, personenbezogene und vertrauliche Nutzerdaten nur zum Schutz vor Betrug und Missbrauch zu erheben, die erhobenen Daten jedoch auch zu Werbe- oder Analysezwecken an Dritte weitergibt. 
  • Apps mit einem SDK, das Informationen zu installierten Paketen von Nutzern überträgt, ohne dass die App die Pflicht zur deutlichen Offenlegung und/oder die Datenschutzrichtlinien einhält. 

Weitere Anforderungen für den Zugriff auf personenbezogene und vertrauliche Daten

In der unten stehenden Tabelle werden weitere Anforderungen für bestimmte Aktivitäten erläutert.

Aktivität  Voraussetzung
Erhebung oder Verknüpfung gleichbleibender Geräte-IDs, z. B. IMEIs, IMSIs und SIM-Seriennummern

Gleichbleibende Geräte-IDs dürfen nicht mit anderen personenbezogenen und vertraulichen Nutzerdaten oder zurücksetzbaren Geräte-IDs verknüpft werden, mit folgenden Ausnahmen:

  • bei Anrufen über eine Telefonnummer, die mit einer SIM-Identität verknüpft ist, z. B. bei Anrufen über WLAN, wo die genutzte Nummer mit einem Mobilfunkanbieter-Konto verknüpft ist, und
  • bei Apps zur Verwaltung von Unternehmensgeräten im Geräte-Eigentümermodus.

Diese Verwendungszwecke müssen für Nutzer entsprechend den Richtlinien zu Nutzerdaten deutlich offengelegt sein.

In dieser Dokumentation finden Sie Informationen zu alternativen eindeutigen Kennzeichnungen.

In der Werberichtlinie finden Sie zusätzliche Informationen zur Android-Werbe-ID.
Ausrichtung auf Kinder Ihre App darf nur selbstzertifizierte SDKs enthalten, die für die Verwendung in auf Kinder ausgerichtete Dienste zugelassen sind. Die vollständigen Richtlinien und Anforderungen finden Sie unter Selbstzertifizierte Anzeigen-SDKs für familienfreundliche Inhalte

 

Beispiele für durch SDKs verursachte Verstöße

  • Apps mit einem SDK, das Android-IDs mit einem Standort verknüpft. 
  • Apps mit einem SDK, das zu Werbe- oder Analysezwecken AAIDs mit gleichbleibenden Geräte-IDs verknüpft. 
  • Apps mit einem SDK, das zu Analysezwecken AAIDs mit E-Mail-Adressen verknüpft.

Abschnitt zur Datensicherheit

Alle Entwickler müssen für jede App den Abschnitt zur Datensicherheit verständlich und wahrheitsgemäß ausfüllen. Dabei sind die Erhebung, Verwendung und Weitergabe von Nutzerdaten umfassend offenzulegen. Das gilt auch, wenn Daten über Bibliotheken oder SDKs von Drittanbietern, die Entwickler in ihren Apps verwenden, erhoben und verarbeitet werden. Der Entwickler ist für die Richtigkeit der Angaben im Abschnitt zur Datensicherheit und die laufende Aktualisierung dieser Informationen verantwortlich. Sofern relevant muss der Abschnitt den Offenlegungen in der Datenschutzerklärung der App entsprechen.

Weitere Informationen zum Ausfüllen des Abschnitts zur Datensicherheit finden Sie in diesem Hilfeartikel.

Die vollständige Richtlinie zu Nutzerdaten finden Sie hier.
Richtlinien zu Berechtigungen und APIs, die auf vertrauliche Informationen zugreifen

Anfragen für Berechtigungen und APIs, über die auf vertrauliche Informationen zugegriffen wird, sollten für die Nutzer Sinn ergeben. Sie dürfen lediglich Anfragen zu Berechtigungen und APIs stellen, über die auf vertrauliche Informationen zugegriffen wird, wenn diese Berechtigungen oder APIs zur Implementierung vorhandener Funktionen oder Dienste in Ihrer App erforderlich sind. Die Funktionen und Dienste müssen in Ihrem Google Play-Eintrag angegeben sein. Berechtigungen oder APIs, über die auf vertrauliche Informationen zugegriffen wird und die den Zugriff auf Nutzer- oder Gerätedaten für nicht offengelegte, nicht implementierte oder nicht zugelassene Funktionen oder Zwecke ermöglichen, dürfen nicht verwendet werden. Personenbezogene oder vertrauliche Daten, auf die über Berechtigungen oder APIs zugegriffen wird, dürfen niemals verkauft oder für einen Zweck weitergegeben werden, der den Verkauf möglich macht.

Die vollständigen Richtlinien zu Berechtigungen und APIs, über die auf vertrauliche Informationen zugegriffen wird, finden Sie hier.

Beispiele für durch SDKs verursachte Verstöße

  • Ihre App verwendet ein SDK, das zu unzulässigen oder nicht angegebenen Zwecken den Zugriff auf die Standortermittlung im Hintergrund anfordert. 
  • Ihre App verwendet ein SDK, das über die Android-Berechtigung „read_phone_state“ ausgelesene IMEIs ohne Einwilligung durch den Nutzer überträgt.
Richtlinie zu Malware

Unsere Richtlinie zu Malware ist einfach: kein böswilliges Verhalten, also Malware, bei Android, im Google Play Store und auf Geräten von Nutzern. Mit diesem Grundsatz möchten wir Android zu einer möglichst sicheren Plattform für unsere Nutzer und ihre Geräte machen.

Malware ist jeglicher Code, der eine Gefahr für Nutzer, ihre Daten und ihre Geräte darstellt. Beispiele sind potenziell schädliche Apps (PSAs), Binärprogramme und Framework-Änderungen, wie z. B. Trojaner, Phishing- oder Spyware-Apps. Diese Kategorien werden von uns regelmäßig aktualisiert und ergänzt.

Die vollständige Richtlinie zu Malware finden Sie hier.

Beispiele für durch SDKs verursachte Verstöße

  • Apps, die gegen das Berechtigungsmodell von Android verstoßen oder Anmeldedaten wie beispielsweise OAuth-Tokens von anderen Apps stehlen.
  • Apps, die Funktionen missbrauchen, um zu verhindern, dass sie deinstalliert oder beendet werden können.
  • Apps, die SELinux deaktivieren.
  • Apps mit einem SDK, das gegen das Android-Berechtigungsmodell verstößt, indem es durch den Zugriff auf Gerätedaten zu unbekannten Zwecken Berechtigungen ausweitet.
  • Apps mit einem SDK, das Nutzer auf betrügerische Weise dazu verleitet, Inhalte über die Abrechnung per Mobilfunkvertrag zu kaufen oder zu abonnieren.

Apps zur Rechteausweitung, die das Gerät ohne Zustimmung des Nutzers rooten, werden als Rooting-Apps eingestuft.
Richtlinie zu unerwünschter Software für Mobilgeräte

Transparenz und klare Offenlegung

Der gesamte Code sollte den Versprechen an den Nutzer entsprechen. Apps sollten alle kommunizierten Funktionen bieten. Apps dürfen Nutzer nicht verwirren. 

Beispiele für Verstöße

  • Werbebetrug
  • Social Engineering

Nutzerdaten schützen

Der Zugriff, die Verwendung, die Erhebung und die Weitergabe personenbezogener und vertraulicher Nutzerdaten müssen klar und transparent sein. Die Verwendung von Nutzerdaten muss gegebenenfalls allen relevanten Richtlinien für Nutzerdaten entsprechen und es müssen alle Vorkehrungen zum Schutz der Daten getroffen werden.

Beispiele für Verstöße

  • Datenerfassung (siehe Spyware)
  • Missbrauch von eingeschränkten Berechtigungen

Die vollständige Richtlinie zu unerwünschter Software für Mobilgeräte finden Sie hier.
Richtlinie zum Missbrauch von Geräten und Netzwerken

Apps, die das Gerät des Nutzers, andere Geräte oder Computer, Server, Netzwerke, APIs oder Dienste, etwa andere Apps auf dem Gerät, Google-Dienste oder das Netz eines autorisierten Mobilfunkanbieters, stören, unterbrechen, beschädigen oder in unerlaubter Weise darauf zugreifen, sind nicht zulässig.

Apps oder Drittanbietercode (z. B. SDKs) mit interpretierten Sprachen (JavaScript, Python, Lua etc.), die zur Laufzeit geladen werden und beispielsweise nicht mit der App verpackt sind, dürfen bzw. darf keine potenziellen Verstöße gegen Google Play-Richtlinien ermöglichen.

Code, mit dem Sicherheitslücken eingeführt oder ausgenutzt werden, ist nicht zulässig. Informieren Sie sich im Programm zur Verbesserung der App-Sicherheit über die aktuellen Sicherheitsprobleme, die Entwicklern gemeldet wurden.

Die vollständige Richtlinie zum Missbrauch von Geräten und Netzwerken finden Sie hier.

Beispiele für durch SDKs verursachte Verstöße

  • Apps, die Proxydienste für den Zugriff auf Inhalte Dritter zu Verfügung stellen – Proxydienste dürfen nur von Apps angeboten werden, in denen diese Funktion klar und deutlich den Hauptzweck für Nutzer darstellt.
  • Apps mit einem SDK, das ausführbaren Code von einer anderen Quelle als Google Play herunterlädt, z. B. DEX-Dateien oder nativen Code.
  • Apps mit einem SDK, das eine Webansicht mit hinzugefügter JavaScript-Schnittstelle enthält, über die nicht vertrauenswürdige Webinhalte (z. B. HTTP-URLs) oder nicht verifizierte URLs geladen werden, die aus nicht vertrauenswürdigen Quellen stammen. Nicht vertrauenswürdige Quellen sind z. B. URLs, die durch nicht vertrauenswürdige Intents aufgerufen werden.
  • Apps mit einem SDK, das Code für die Aktualisierung des eigenen APKs enthält.
  • Apps mit einem SDK, das Nutzer durch das Herunterladen von Dateien über eine unsichere Verbindung dem Risiko einer Sicherheitslücke aussetzt.
  • Apps mit einem SDK, das Code für den Download oder die Installation von Apps aus anderen Quellen als Google Play enthält.
Richtlinie zu irreführendem Verhalten

Apps, mit denen Nutzer getäuscht werden sollen oder die unlauteres Verhalten ermöglichen, sind nicht zulässig. Dazu gehören unter anderem Apps, die keine Funktion haben. Die Funktionalität von Apps muss in allen Teilen der Metadaten genau dargelegt, beschrieben und mit Bildern/Videos erläutert werden. Apps dürfen keine Funktionen oder Warnmeldungen des Betriebssystems oder anderer Apps nachahmen. Änderungen an Geräteeinstellungen dürfen nur mit Wissen und Zustimmung des Nutzers durchgeführt werden und müssen vom Nutzer wieder rückgängig gemacht werden können.

Die vollständige Richtlinie zu irreführendem Verhalten finden Sie hier.

Verhaltenstransparenz

Die Funktionalität Ihrer App sollte für Nutzer deutlich sein. Verwenden Sie keine versteckten, inaktiven oder undokumentierten Funktionen Ihrer App. Techniken zur Umgehung von App-Rezensionen sind nicht zulässig. Von Apps können zusätzliche Angaben verlangt werden, um die Nutzersicherheit, Systemintegrität und Einhaltung von Richtlinien sicherzustellen.

Beispiel eines durch ein SDK verursachten Verstoßes

  • Ihre App beinhaltet ein SDK, das Techniken zum Umgehen von App-Rezensionen verwendet.

Welche Verstöße gegen Google Play-Richtlinien für Entwickler werden häufig durch SDKs verursacht?

Damit Sie dafür sorgen können, dass jeglicher von Ihrer App verwendete Drittanbietercode den Programmrichtlinien für Entwickler von Google Play entspricht, lesen Sie bitte die folgenden Richtlinien:

Während gegen die genannten Richtlinien am häufigsten verstoßen wird, kann unsicherer SDK-Code auch zu Verstößen gegen andere Richtlinien führen. Lesen Sie alle Richtlinien vollständig und bleiben Sie über alle Änderungen auf dem Laufenden, da Sie als App-Entwickler die Verantwortung dafür tragen, dass Ihre SDKs App-Daten auf richtlinienkonforme Weise verarbeiten.

Weitere Informationen finden Sie in unserer Hilfe.

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Suche
Suche löschen
Suche schließen
Hauptmenü
9807763870240811517
true
Suchen in der Hilfe
true
true
true
true
true
92637
false
false