Wie es in einem Artikel im Google-Sicherheitsblog heißt, sollen Apps, die persönliche Daten wie E-Mail, Telefonnummer oder bestimmte Gerätedaten verarbeiten, Nutzer in Zukunft gesondert darauf aufmerksam machen. Zudem soll die Datenschutzerklärung nun auch immer innerhalb der App zur Verfügung stehen.

Bevor persönliche Daten gesammelt und übertragen werden, die keinen Bezug zur Funktionalität der App haben, muss die App auf gut sichtbare Art erläutern, wie die Daten genutzt werden, und sie muss eine explizite Zustimmung der Nutzer einholen. Diese Anforderung gelten für alle Funktionen, beispielsweise auch für Analyse- oder Absturzberichte.

Persönliche Daten nicht klar definiert

Was Google allerdings genau unter "persönlichen Daten" versteht, geht aus der Verlautbarung nur sehr vage hervor. Als Beispiel für persönliche Daten nennt Google die E-Mail-Adresse und Telefonnummer.

In der verlinkten Richtlinien zu Nutzerdaten werden als Beispiele für "personenbezogene oder vertrauliche Nutzerdaten" genannt: Identifikationsdaten, Finanz- und Zahlungsinformationen, Authentifizierungsinformationen, Telefonbuch- oder Kontaktdaten, Mikrofon- und Kamerasensordaten sowie vertrauliche Gerätedaten. Was vertrauliche Gerätedaten sein sollen, bleibt offen.

Wie in dem Blogpost nachzulesen ist, soll die Maßnahme dabei helfen, die bereits länger geltende Richtlinie zu unerwünschter Software besser durchzusetzen. In der heißt es unter einem Punkt namens "Schutz vor Datenerschleichung": "Wenn Software personenbezogene Daten eines Nutzers erfasst oder überträgt, muss der Nutzer darüber in Kenntnis gesetzt werden."

Strafen für Verstöße

Eine mögliche Sanktion, wenn die Vorgaben missachtet werden, sind Warnmeldungen des Konzerneigenen Programms Google Play Protect, die den Nutzer oder die Nutzerin auf Verstöße der betreffenden Apps aufmerksam machen. Zudem sollen auch Webseiten, die auf diese Apps verlinken, sanktioniert werden. Browser würden dann Hinweise beim Aufruf der Seiten anzeigen, vermutlich auf Basis der Webseiten-Datenbank von „Google Safe Browsing“.

Die Anforderungen bezieht Google auf Apps aus dem Google Play-Store, aber auch auf Apps aus anderen Quellen wie F-Droid oder Amazons App-Store. Mit Veröffentlichung des Blogposts am 1. Dezember räumt Google den App-Anbietern eine Frist von 60 Tagen ein, um die neuen Regeln umzusetzen.

Mit dieser Maßnahme spielt der IT-Konzern, der immer wieder auch selbst wegen seines Umgangs mit Nutzerdaten in der Kritik steht, seine Marktmacht voll aus. Aus Wettbewerbssicht ist diese Marktmacht tendenziell problematisch. Aus Datenschutzsicht betrachtet, erscheint uns die Maßnahme aber als Schritt in die richtige Richtung.