Anforderungen an SDKs

App-Entwickler verlassen sich oft auf Drittanbietercode (z. B. SDKs), um wichtige Funktionen und Dienste in ihren Apps anzubieten. Wenn Sie in Ihrer App ein SDK verwenden, sollten Sie zur Sicherheit Ihrer Nutzer beitragen und darauf achten, dass Ihre App bestmöglich vor Sicherheitslücken geschützt ist. In diesem Abschnitt erläutern wir, wie einige unserer bestehenden Anforderungen an Datenschutz und Sicherheit für die Verwendung von SDKs gelten und Entwickler dabei unterstützen sollen, SDKs auf sichere Weise in ihre Apps zu integrieren.

Beim Verwenden eines SDKs in Ihrer App sind Sie dafür verantwortlich, dass der Code und die Praktiken von Drittanbietern nicht dazu führen, dass Ihre App gegen die Google Play-Programmrichtlinien für Entwickler verstößt. Sie müssen sich darüber informieren, wie die SDKs in Ihrer App mit Nutzerdaten umgehen, welche Berechtigungen sie verwenden und welche Daten aus welchem Grund erhoben werden. Die Erhebung und Verarbeitung von Nutzerdaten durch ein SDK muss ebenso wie die Nutzung dieser Daten durch Ihre App richtlinienkonform sein.

Damit Ihre Nutzung von SDKs keinen Richtlinienverstoß darstellt, lesen Sie die folgenden Richtlinien vollständig durch und machen Sie sich mit einigen der bestehenden Anforderungen in Bezug auf SDKs vertraut:

Richtlinie zu Nutzerdaten

Sie müssen transparent machen, wie Sie mit Nutzerdaten umgehen (z. B. mit vom Nutzer bereitgestellten Informationen und Informationen, die über einen Nutzer erfasst werden, einschließlich Geräteinformationen). Das bedeutet: Sie müssen den Zugriff auf Nutzerdaten sowie deren Erhebung, Verwendung, Handhabung und Weitergabe durch Ihre App offenlegen und die Verwendung der Daten auf die offengelegten richtlinienkonformen Zwecke beschränken.

Wenn in Ihrer App Code von Drittanbietern enthalten ist, etwa ein SDK, müssen Sie sicherstellen, dass dieser in Ihrer App verwendete Code und die Praktiken des Drittanbieters im Hinblick auf Nutzerdaten aus Ihrer App den Google Play-Programmrichtlinien für Entwickler entsprechen, zu denen auch die Offenlegungspflichten gehören. So dürfen Ihre SDK-Anbieter beispielsweise keine personenbezogenen und vertraulichen Nutzerdaten aus Ihrer App verkaufen. Diese Anforderung gilt unabhängig davon, ob Nutzerdaten weitergegeben werden, nachdem sie an einen Server gesendet wurden oder indem Drittanbietercode in Ihre App eingebettet wurde.

Personenbezogene und vertrauliche Nutzerdaten

  • Sie müssen den appseitigen Zugriff auf personenbezogene und vertrauliche Daten sowie deren Erhebung, Verwendung und Weitergabe auf App- und Dienstfunktionen sowie richtlinienkonforme Zwecke beschränken, die vom Nutzer erwartet werden:
    • Apps, in denen personenbezogene und vertrauliche Nutzerdaten außerdem zur Bereitstellung von Werbung verwendet werden, müssen den Werberichtlinien von Google Play entsprechen.
  • Alle personenbezogenen und vertraulichen Nutzerdaten müssen sicher verarbeitet und mit modernen Verschlüsselungsverfahren übertragen werden, z. B. über HTTPS.
  • Fragen Sie, wenn möglich, Laufzeitberechtigungen an, bevor Sie über Android-Berechtigungsanfragen auf Daten zugreifen.

Verkauf von personenbezogenen und vertraulichen Nutzerdaten

Sie dürfen keine personenbezogenen und vertraulichen Nutzerdaten verkaufen.

  • „Verkauf“ ist der Austausch personenbezogener und vertraulicher Nutzerdaten mit Dritten oder die Weitergabe an solche gegen Bezahlung.
    • Eine durch Nutzer initiierte Weitergabe personenbezogener und vertraulicher Nutzerdaten wird nicht als Verkauf betrachtet. Dazu gehört beispielsweise, wenn Nutzer eine Funktion einer App verwenden, um eine Datei an Dritte zu senden, oder wenn sie sich dafür entscheiden, eine App zu verwenden, die speziell für die Teilnahme an einer Forschungsstudie bestimmt ist.

Pflicht zur deutlichen Offenlegung und Einwilligung

In Fällen, in denen der appseitige Zugriff auf personenbezogene und vertrauliche Nutzerdaten sowie deren Erhebung, Verwendung oder Weitergabe nicht den angemessenen Erwartungen des Nutzers des betreffenden Produkts oder der betreffenden Funktion entsprechen, sind Sie zur deutlichen Offenlegung und Einwilligung gemäß der Richtlinie zu Nutzerdaten verpflichtet.

Wenn in Ihrer App Code von Drittanbietern enthalten ist, etwa ein SDK, das dazu dient, standardmäßig personenbezogene und vertrauliche Nutzerdaten zu erheben, müssen Sie innerhalb von zwei Wochen nach Erhalt einer Anfrage von Google Play (oder innerhalb des in der Google Play-Anfrage angegebenen Zeitraums, sofern dort ein anderer Zeitraum angegeben ist) ausreichend nachweisen, dass Ihre App die in dieser Richtlinie beschriebene Pflicht zur deutlichen Offenlegung und Einwilligung erfüllt, etwa im Hinblick auf Datenzugriff sowie Erhebung, Verwendung und Weitergabe von Daten durch Drittanbietercode.

Achten Sie darauf, dass Drittanbietercode (z. B. SDKs) nicht gegen die Richtlinie zu Nutzerdaten verstößt.

Weitere Informationen über die Pflicht zur deutlichen Offenlegung und Einwilligung finden Sie in diesem Hilfeartikel.

Beispiele für durch SDKs verursachte Verstöße

  • Apps mit einem SDK, das personenbezogene und vertrauliche Nutzerdaten erhebt, aber nicht gemäß dieser Richtlinie zu Nutzerdaten sowie den Anforderungen an den Datenzugriff und die Datenverarbeitung (einschließlich des Verkaufsverbots) und der Pflicht zur deutlichen Offenlegung und Einwilligung verfährt.
  • Apps mit einem SDK, das standardmäßig personenbezogene und vertrauliche Nutzerdaten erhebt und dabei gegen die Pflicht zur deutlichen Offenlegung und Nutzereinwilligung dieser Richtlinie verstößt.
  • Apps mit einem SDK, das vorgibt, personenbezogene und vertrauliche Nutzerdaten nur zum Schutz vor Betrug und Missbrauch zu erheben, die erhobenen Daten jedoch auch zu Werbe- oder Analysezwecken an Dritte weitergibt.
  • Apps mit einem SDK, das Informationen zu installierten Paketen von Nutzern überträgt, ohne dass die App die Pflicht zur deutlichen Offenlegung und/oder die Datenschutzrichtlinien einhält.

Weitere Anforderungen für den Zugriff auf personenbezogene und vertrauliche Daten

In der folgenden Tabelle werden weitere Anforderungen für bestimmte Aktivitäten erläutert.

Aktivität Anforderung
Erhebung oder Verknüpfung gleichbleibender Geräte‑IDs wie IMEIs, IMSIs und SIM‑Seriennummern

Gleichbleibende Geräte-IDs dürfen nicht mit anderen personenbezogenen und vertraulichen Nutzerdaten oder rücksetzbaren Geräte-IDs verknüpft werden, mit folgenden Ausnahmen:

  • bei Anrufen über eine Telefonnummer, die mit einer SIM‑Identität verknüpft ist, z. B. bei Anrufen über WLAN, wo die genutzte Nummer mit einem Mobilfunkanbieter-Konto verknüpft ist, und
  • bei Apps zur Verwaltung von Unternehmensgeräten im Geräte-Eigentümermodus.

Diese Verwendungszwecke müssen für Nutzer entsprechend den Richtlinien zu Nutzerdaten deutlich offengelegt sein.

In dieser Dokumentation finden Sie Informationen zu alternativen eindeutigen Kennzeichnungen.

In den Werberichtlinien finden Sie zusätzliche Informationen zur Android-Werbe-ID.
Ausrichtung auf Kinder Ihre App darf nur selbstzertifizierte SDKs enthalten, die für die Verwendung in auf Kinder ausgerichteten Diensten zugelassen sind. Die vollständigen Richtlinien und Anforderungen finden Sie unter Programm für selbstzertifizierte Anzeigen‑SDKs für familienfreundliche Inhalte.

 

Beispiele für durch SDKs verursachte Verstöße

  • Apps mit einem SDK, das IMEI und Standort verknüpft.
  • Apps mit einem SDK, das zu Werbe- oder Analysezwecken Android-Werbe-IDs (Android Advertising Identifiers, AAIDs) mit gleichbleibenden Geräte-IDs verknüpft.
    Apps mit einem SDK, das zu Analysezwecken AAIDs mit E-Mail-Adressen verknüpft.

Abschnitt zur Datensicherheit

Alle Entwickler müssen für jede App den Abschnitt zur Datensicherheit verständlich und wahrheitsgemäß ausfüllen. Dabei sind die Erhebung, Verwendung und Weitergabe von Nutzerdaten umfassend offenzulegen. Das gilt auch, wenn Daten über Bibliotheken oder SDKs von Drittanbietern, die Entwickler in ihren Apps verwenden, erhoben und verarbeitet werden. Der Entwickler ist für die Richtigkeit der Angaben im Abschnitt zur Datensicherheit und die laufende Aktualisierung dieser Informationen verantwortlich. Sofern relevant muss der Abschnitt den Offenlegungen in der Datenschutzerklärung der App entsprechen.

Weitere Informationen zum Ausfüllen des Abschnitts zur Datensicherheit finden Sie in diesem Hilfeartikel.

Die vollständige Richtlinie zu Nutzerdaten finden Sie hier.
Richtlinie zu Berechtigungen und APIs, über die auf vertrauliche Daten zugegriffen wird

Anfragen für Berechtigungen und APIs, über die auf vertrauliche Daten zugegriffen wird, sollten für die Nutzer Sinn ergeben. Sie dürfen lediglich Anfragen zu Berechtigungen und APIs stellen, über die auf vertrauliche Daten zugegriffen wird, wenn diese Berechtigungen oder APIs zur Implementierung vorhandener Funktionen oder Dienste in Ihrer App erforderlich sind. Die Funktionen und Dienste müssen in Ihrem Google Play-Eintrag angegeben sein. Berechtigungen oder APIs, über die auf vertrauliche Daten zugegriffen wird und die den Zugriff auf Nutzer- oder Gerätedaten für nicht offengelegte, nicht implementierte oder nicht zugelassene Funktionen oder Zwecke ermöglichen, dürfen nicht verwendet werden. Personenbezogene oder vertrauliche Daten, auf die über Berechtigungen oder APIs zugegriffen wird, dürfen niemals verkauft oder für einen Zweck weitergegeben werden, der den Verkauf möglich macht.

Die vollständige Richtlinie zu Berechtigungen und APIs, über die auf vertrauliche Daten zugegriffen wird, finden Sie hier.

Beispiele für durch SDKs verursachte Verstöße

  • Apps mit einem SDK, das zu unzulässigen oder nicht offengelegten Zwecken den Zugriff auf die Standortermittlung im Hintergrund anfordert.
  • Apps mit einem SDK, das über die Android-Berechtigung „read_phone_state“ ausgelesene IMEIs ohne Nutzereinwilligung überträgt.
Richtlinie zu Malware
Unsere Richtlinie zu Malware ist einfach: kein böswilliges Verhalten, also Malware, bei Android, im Google Play Store und auf Geräten von Nutzern. Mit diesem Grundsatz möchten wir Android zu einer möglichst sicheren Plattform für unsere Nutzer und ihre Geräte machen.

 Malware ist jeglicher Code, der eine Gefahr für Nutzer, ihre Daten und ihre Geräte darstellt. Beispiele sind potenziell schädliche Apps (PSAs), Binärprogramme und Framework-Änderungen, wie z. B. Trojaner, Phishing- oder Spyware-Apps. Diese Kategorien werden von uns regelmäßig aktualisiert und ergänzt.

Die Anforderungen dieser Richtlinie gelten auch für Drittanbietercode (z. B. ein SDK), der in Ihrer App enthalten ist.

Die vollständige Richtlinie zu Malware finden Sie hier.

Beispiele für durch SDKs verursachte Verstöße

  • Apps, die SDK-Bibliotheken von Anbietern enthalten, die schädliche Software vertreiben.
  • Apps, die gegen das Berechtigungsmodell von Android verstoßen oder Anmeldedaten wie beispielsweise OAuth-Tokens von anderen Apps stehlen.
  • Apps, die Funktionen missbrauchen, um zu verhindern, dass sie deinstalliert oder beendet werden können.
  • Apps, die SELinux deaktivieren.
  • Apps mit einem SDK, das gegen das Android-Berechtigungsmodell verstößt, indem es durch den Zugriff auf Gerätedaten zu unbekannten Zwecken erhöhte Berechtigungen erhält.
  • Apps mit einem SDK, das Nutzer auf betrügerische Weise dazu verleitet, Inhalte über die Abrechnung per Mobilfunkvertrag zu kaufen oder zu abonnieren.

Apps zur Rechteausweitung, die das Gerät ohne Nutzerberechtigung rooten, werden als Rooting-Apps eingestuft.

Spyware

Bei Spyware handelt es sich um schädliche Anwendungen, schädlichen Code oder schädliche Verhaltensweisen, bei denen Nutzer- oder Gerätedaten erhoben, exfiltriert oder weitergegeben werden, obwohl sie nicht mit richtlinienkonformen Funktionen in Verbindung stehen.

Schädlicher Code oder schädliche Verhaltensweisen, die als Ausspähen des Nutzers betrachtet werden können oder bei denen Daten exfiltriert werden, ohne den Nutzer ausreichend zu informieren bzw. seine Einwilligung einzuholen, werden ebenfalls als Spyware eingestuft.

Hier finden Sie die vollständige Richtlinie zu Spyware.

Zu den durch SDKs verursachten Spyware-Verstößen zählen unter anderem:

  • Apps, die ein SDK verwenden, das Daten aus Audio- oder Anrufaufzeichnungen überträgt, wenn dies nicht im Zusammenhang mit richtlinienkonformen App-Funktionen steht
  • Apps mit schädlichem Code von Drittanbietern (zum Beispiel SDKs), die Daten auf eine für den Nutzer unerwartete Weise vom Gerät aus versenden und/oder den Nutzer nicht ausreichend darüber informieren bzw. seine Einwilligung einholen
Richtlinie zu unerwünschter Software für Mobilgeräte

Transparenz und klare Offenlegung

Der gesamte Code sollte den Versprechen an den Nutzer entsprechen. Apps sollten alle kommunizierten Funktionen bieten. Sie dürfen Nutzer nicht verwirren.

Beispiele für Verstöße

  • Werbebetrug
  • Social Engineering

Nutzerdaten schützen

Der Zugriff, die Verwendung, die Erhebung und die Weitergabe personenbezogener und vertraulicher Nutzerdaten müssen klar und transparent sein. Die Verwendung von Nutzerdaten muss gegebenenfalls allen relevanten Richtlinien zu Nutzerdaten entsprechen und es müssen alle Vorkehrungen zum Schutz der Daten getroffen werden.

Beispiele für Verstöße

  • Datenerfassung (siehe Spyware)
  • Missbrauch von eingeschränkten Berechtigungen

Die vollständige Richtlinie zu unerwünschter Software für Mobilgeräte finden Sie hier.
Richtlinie zum Missbrauch von Geräten und Netzwerken

Apps, die das Gerät des Nutzers, andere Geräte oder Computer, Server, Netzwerke, APIs oder Dienste, einschließlich, aber nicht beschränkt auf andere Apps auf dem Gerät, Google-Dienste oder das Netz eines autorisierten Mobilfunkanbieters, stören, unterbrechen, beschädigen oder in unerlaubter Weise darauf zugreifen, sind nicht zulässig.

Apps und Drittanbietercode (z. B. SDKs) mit interpretierten Sprachen wie JavaScript, Python oder Lua, die zur Laufzeit geladen werden und beispielsweise nicht mit der App verpackt sind, dürfen keine Verstöße gegen Google Play-Richtlinien ermöglichen.

Code, mit dem Sicherheitslücken eingeführt oder ausgenutzt werden, ist nicht zulässig. Informieren Sie sich im Programm zur Verbesserung der App-Sicherheit über die aktuellen Sicherheitsprobleme, die Entwicklern gemeldet wurden.

Die vollständige Richtlinie zum Missbrauch von Geräten und Netzwerken finden Sie hier.

Beispiele für durch SDKs verursachte Verstöße

  • Apps, die Proxy-Dienste für den Zugriff auf Inhalte Dritter zu Verfügung stellen – Proxy-Dienste dürfen nur in Apps angeboten werden, bei denen diese Funktion klar und deutlich der Hauptzweck für Nutzer ist.
  • Apps mit einem SDK, das ausführbaren Code von einer anderen Quelle als Google Play herunterlädt, z. B. DEX‑Dateien oder nativen Code.
  • Apps mit einem SDK, das ein eingebettetes WebView mit JavaScript-Schnittstelle enthält, über die nicht vertrauenswürdige Webinhalte (z. B. HTTP‑URLs) oder nicht verifizierte URLs aus nicht vertrauenswürdigen Quellen geladen werden (z. B. URLs, die über nicht vertrauenswürdige Intents aufgerufen werden).
  • Apps mit einem SDK, das Code für die Aktualisierung des eigenen APKs enthält.
  • Apps mit einem SDK, das Nutzer durch das Herunterladen von Dateien über eine unsichere Verbindung dem Risiko einer Sicherheitslücke aussetzt.
  • Apps mit einem SDK, das Code für den Download oder die Installation von Apps aus unbekannten Quellen außerhalb von Google Play enthält.
  • Apps mit einem SDK, das Dienste im Vordergrund ohne angemessenen Anwendungsfall verwendet.
  • Apps mit einem SDK, das Dienste im Vordergrund aus einem richtlinienkonformen Grund verwendet, aber nicht im App-Manifest deklariert ist.
Richtlinie zu irreführendem Verhalten

Apps, mit denen Nutzer getäuscht werden sollen oder die unlauteres Verhalten ermöglichen, sind nicht zulässig. Dazu gehören unter anderem Apps, die keine Funktion haben. Die Funktionalität von Apps muss in allen Teilen der Metadaten genau dargelegt, beschrieben und mit Bildern/Videos erläutert werden. Apps dürfen keine Funktionen oder Warnmeldungen des Betriebssystems oder anderer Apps nachahmen. Änderungen an Geräteeinstellungen dürfen nur mit Wissen und Zustimmung des Nutzers durchgeführt werden und müssen vom Nutzer wieder rückgängig gemacht werden können.

Die vollständige Richtlinie zu irreführendem Verhalten finden Sie hier.

Verhaltenstransparenz

Die Funktionalität Ihrer App sollte für Nutzer deutlich sein. Verwenden Sie keine versteckten, inaktiven oder undokumentierten Funktionen Ihrer App. Techniken zur Umgehung von App-Rezensionen sind nicht zulässig. Von Apps können zusätzliche Angaben verlangt werden, um die Nutzersicherheit, Systemintegrität und Einhaltung von Richtlinien sicherzustellen.

Beispiel eines durch ein SDK verursachten Verstoßes

  • Ihre App beinhaltet ein SDK, das Techniken zum Umgehen von App-Rezensionen verwendet.

Welche Verstöße gegen Google Play-Richtlinien für Entwickler werden häufig durch SDKs verursacht?

Damit Sie dafür sorgen können, dass jeglicher von Ihrer App verwendete Drittanbietercode den Programmrichtlinien für Entwickler von Google Play entspricht, lesen Sie bitte die folgenden Richtlinien:

Während gegen die genannten Richtlinien am häufigsten verstoßen wird, kann unsicherer SDK-Code auch zu Verstößen gegen andere Richtlinien führen. Lesen Sie alle Richtlinien vollständig und bleiben Sie über alle Änderungen auf dem Laufenden, da Sie als App-Entwickler die Verantwortung dafür tragen, dass Ihre SDKs App-Daten auf richtlinienkonforme Weise verarbeiten.

Weitere Informationen finden Sie in unserer Hilfe.

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Suche
Suche löschen
Suche schließen
Hauptmenü
10268118735690728755
true
Suchen in der Hilfe
true
true
true
true
true
92637
false
false
false
false