Bereits im Mai 2021 kündigte Google in einem ersten Blogpost an, künftig einen neuen Sicherheitsbereich in Google Play Store einzuführen. Dieser sollte mehr Transparenz darüber geben, welche Daten für welche Zwecke durch die Apps auf den Android Smartphones verwendet werden.
Nach weiteren Informationen, die im Juli und Oktober 2021 hinsichtlich des neuen Sicherheitsbereichs folgten, gab Google nun am 26. April 2022 in einem weiteren Blogpost die Veröffentlichung der neuen Funktion bekannt: den Abschnitt zur Datensicherheit.
Demnach sind ausnahmslos alle Anbieter von Apps im Google Play Store bis zum 20. Juli 2022 verpflichtet, die Nutzer darüber zu informieren, wie Nutzerdaten von Ihrer App erhoben, weitergegeben und geschützt werden. Außerdem müssen die Nutzer darüber informiert werden, ob die App diese Daten zwingend benötigt oder nicht.
Um diese ganzen Angaben machen zu können, müssen die Anbieter ein in der Google Play Console bereitgestelltes Formular zur Datensicherheit ausfüllen. Wichtig ist dabei zu erwähnen, dass die Entwickler bereits im Vorfeld eine Datenschutzerklärung für ihre App in der Google Play Console verlinken müssen. Dies ist nämlich Voraussetzung dafür, dass das Formular zur Datensicherheit abgeschickt und die Informationen zur Datensicherheit den Nutzern angezeigt werden können.
Welche Apps sind betroffen?
Alle Anbieter, die eine App im Google Play Store veröffentlicht haben, müssen das Formular zur Datensicherheit ausfüllen. Dazu gehören Apps in internen, geschlossenen, offenen oder Produktions-Test-Tracks.
Was ist zu tun (kurz und knapp)?
Hier eine kurze Zusammenfassung, was im Rahmen der Bereitstellung von Apps gemacht werden muss.
1. Prüfen, ob Apps entwickelt und angeboten werden
2. Wissen welche Daten verarbeitet werden und welche Daten davon zwingend erforderlich oder optional sind (Nutzer- und Geräte-Daten)?
- Konkrete personenbezogene Daten, wie Name, Anschrift, Chat, Video, etc.
- Tracking-Daten, wie Statistik und Marketing
- Diagnose-Daten, wie das technische App-Verhalten
- Push-Nachrichten oder In-App-Nachrichten für Werbung, Status-Meldungen, etc.
Hinweis:
Jede eingebundene Bibliothek und jedes eingebundene Software Development Kit (SDK) führt zu einer Datenverarbeitung und muss somit berücksichtigt werden (Einbindung von Drittanbietern).
3. Datenschutzerklärung entwickeln bzw. aktualisieren (nur für die App, nicht mit der eigenen Webseite verwechseln)
4. Datenschutzerklärung innerhalb der App bereitstellen oder auf eine eigene Webseite verlinken
5. Datenschutzerklärung in der Google Play Console verlinken
6. Datensicherheits-Formular in der Google Play Console ausfüllen
Bedenken Sie bitte auch, dass ggf. externe App-Entwicklungs-Unternehmen (Agenturen) nicht für die Datenverarbeitung verantwortlich sind und somit auch nicht als Verantwortliche bei Google genannt werden sollten.
Alle Informationen hierzu finden Sie in den entsprechenden Google-Informationen für den Abschnitt zur Datensicherheit von Google Play.
Mögliche Konsequenzen bei Nicht-Einhaltung?
Die Konsequenzen für einen nicht genehmigten Abschnitt oder eine nicht genehmigte Datenschutzerklärung können von der Ablehnung der neuen App-Einreichungen oder des App-Updates bis hin zu zusätzlichen Durchsetzungsmaßnahmen seitens Google reichen.
Hinweis:
Alle geforderten Informationen müssten bereits im Rahmen bestehender gesetzlicher Informations- und Einwilligungspflichten der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) durch die App-Anbieter umgesetzt worden sein (gesetzliche Sanktionen sind somit ebenfalls möglich) – Google fördert diese durch die neue vertragliche Pflicht zur Zusammenstellung einer groben und leicht lesbaren Übersicht zur Datensicherheit.
Autor: Okan Karagöz, Consultant Data Protection Services, Creditreform Compliance Services GmbH
