Benötige ich eine Datenschutzerklärung für App-Berechtigungen?

Ja. Beide Stores verlangen eine Datenschutzerklärung, die zu Ihren Berechtigungen, Datennutzungen, Weitergaben und Aufbewahrungsfristen passt. Hosten Sie sie unter einer öffentlichen URL und verlinken Sie sie im Store und in der App.

Was ist das Datenschutzmanifest von Apple?

Es handelt sich um eine Datei, die die APIs und Datentypen deklariert, die Ihre App verwendet. Apple prüft sie während der Überprüfung, um sicherzustellen, dass Sie Berechtigungen korrekt offenlegen und die APIs mit erforderlicher Begründung rechtfertigen.

Wie detailliert sollte mein Google Play Datensicherheitsformular sein?

Führen Sie jeden Datentyp auf, den Sie erheben, ob er weitergegeben wird, ob er verschlüsselt ist, die Aufbewahrung und ob Nutzer eine Löschung beantragen können. Ihre Angaben müssen dem Laufzeitverhalten entsprechen.

Wie gehe ich mit optionalen Berechtigungen um?

Erklären Sie, warum Sie sie anfordern, fragen Sie im jeweiligen Kontext nach und lassen Sie Nutzer fortfahren, ohne sie zu erteilen, sofern die Funktion sie nicht zwingend erfordert. Bieten Sie einen Pfad in den Einstellungen, um sie später umzuschalten.

Wo sollte ich meine Richtlinie und Offenlegungen verlinken?

Fügen Sie Links im Store-Eintrag, in Onboarding-Bildschirmen, in den Einstellungen und in jeder Berechtigungsabfrage hinzu, die sich auf die Datennutzung bezieht. Wiederholen Sie CTAs zu Ihren Generatoren für Konsistenz.

Checkliste zur Offenlegung von App-Berechtigungen für iOS und Google Play

App Stores prüfen Offenlegungen von Berechtigungen mittlerweile genau. Unvollständige oder widersprüchliche Angaben können Ablehnungen oder Entfernungen auslösen. Dieser Leitfaden liefert eine vollständige Checkliste, um Datentypen zuzuordnen, Store-Formulare korrekt auszufüllen und jede Offenlegung mit Ihrer Datenschutzerklärung, Cookie-Richtlinie und Ihren Bedingungen abzustimmen.

Verwenden Sie Ihre CTA-Banner erneut und fügen Sie Links zum Generator für Datenschutzerklärungen, zum Generator für Cookie-Richtlinien und zum Generator für Nutzungsbedingungen in Ihrem App-Store-Eintrag, im Onboarding und in den Einstellungen hinzu.

Warum Transparenz bei Berechtigungen wichtig ist

Aufsichtsrechtliche und plattformseitige Prüfung

GDPR, CPRA und Plattformrichtlinien verlangen genaue Beschreibungen der Datenerhebung, -nutzung und -weitergabe. Aufsichtsbehörden und App Stores ahnden irreführende Abfragen, verstecktes Tracking oder nicht übereinstimmende Offenlegungen.

Vertrauen und Conversion

Klare Erklärungen zu Berechtigungen senken Deinstallationsraten und unterstützen den Vertrieb an Unternehmen. Beschaffungsteams erwarten abgestimmte Datenschutzerklärungen und Sicherheitskontrollen.

Hinweise zur Durchsetzung

Mehrere Apps wurden wegen falscher Angaben zur Datensicherheit ausgelistet. Der CPRA-Vergleich von Sephora über 1,2 Mio. USD (2022, CA AG) und die GDPR-Geldbuße von Meta über etwa 1,2 Mrd. EUR (2023, Reuters) verdeutlichen die Kosten intransparenter Praktiken.

Ordnen Sie jeden Datentyp zu

Berechtigungen und abgeleitete Daten identifizieren

Führen Sie Kamera, Mikrofon, Fotos, Standort (grob/fein), Kontakte, Kalender, Gesundheit, Bewegung und Benachrichtigungen auf. Beziehen Sie abgeleitete Daten wie Analyse-Ereignisse, Absturzprotokolle, Geräte-IDs und Werbe-IDs ein.

Erforderlich und optional trennen

Markieren Sie, welche Berechtigungen für die Kernfunktionalität unerlässlich sind und welche optionale Verbesserungen darstellen. Bieten Sie nach Möglichkeit alternative Pfade an.

Mit Zwecken und Rechtsgrundlagen verknüpfen

Ordnen Sie jeden Datentyp seinem Zweck (Funktionsbereitstellung, Analyse, Werbung, Sicherheit) und seiner Rechtsgrundlage (Vertrag, Einwilligung, berechtigtes Interesse) zu. Beziehen Sie sich auf die GDPR-Hinweise zu Rechtsgrundlagen und die FTC-Geschäftshinweise zu Fairness-Erwartungen.

Store-Offenlegungen mit Ihren Richtlinien abstimmen

Sprache synchronisieren

Verwenden Sie dieselben Datenkategorien und Zwecke im App Store Privacy Nutrition Label, im Play Datensicherheitsformular und in Ihrer Datenschutzerklärung. Vermeiden Sie Unterschiede im Fachjargon, die Rückfragen bei der Prüfung verursachen.

Auf Kernrichtlinien verlinken

Binden Sie CTAs zu Ihrem Generator für Datenschutzerklärungen, zum Generator für Cookie-Richtlinien und zum Generator für Nutzungsbedingungen in den Einstellungen, im Onboarding und in Abfragen ein.

Ein Versionsprotokoll führen

Verfolgen Sie Richtlinienversionen, eingereichte Store-Formulare und SDK-Aktualisierungen. Aktualisieren Sie Offenlegungen, bevor Sie Releases ausliefern, die die Datenerhebung verändern.

Anforderungen des Apple App Store

Datenschutz-Nutritionslabels und Manifeste

Vervollständigen Sie die App-Privacy-Details in App Store Connect. Verwenden Sie das Datenschutzmanifest, um APIs mit erforderlicher Begründung (Kamera, Mikrofon, Standort, User Defaults, Dateizeitstempel) zu deklarieren, und stellen Sie sicher, dass Ihre Nutzungsbegründungen korrekt sind.

Laufzeitabfragen

Erklären Sie in klarer Sprache, warum Sie eine Berechtigung anfordern, und verweisen Sie darauf, wie die Daten verwendet werden. Bieten Sie Links zu Ihrer Richtlinie von Bildschirmen zur Berechtigungsaufklärung aus an.

Schutz von Minderjährigen und Datenminimierung

Wenn Ihre App Minderjährige erreichen könnte, vermeiden Sie unnötiges Tracking und befolgen Sie die Plattformregeln. Halten Sie die Datenaufbewahrung kurz und dokumentieren Sie sie in Ihrer Richtlinie.

Anforderungen von Google Play

Genauigkeit des Datensicherheitsformulars

Führen Sie jeden Datentyp auf, der erhoben, weitergegeben, verschlüsselt, aufbewahrt und löschbar ist. Halten Sie das Formular mit Ihrem Laufzeitverhalten und SDK-Aktualisierungen abgestimmt.

Familien und Altersaspekte

Wenn Sie Kinder oder gemischte Zielgruppen ansprechen, halten Sie die Families Policy ein. Vermeiden Sie personalisierte Werbung und beschränken Sie die Datenerhebung auf das Notwendige.

Create a comprehensive privacy policy for your website or app. Create yours in minutes with TermsBox.

Generate Now

Links im Store-Eintrag

Geben Sie eine funktionierende URL zur Datenschutzerklärung im Eintrag und in den In-App-Einstellungen an. Fügen Sie einen Link zu Ihren Bedingungen und Ihrer Cookie-Richtlinie hinzu, wenn Sie Web-Views mit Tracking verwenden.

Praktische Tabelle für Berechtigungen und Offenlegungen

Berechtigung/Daten	Zweck	Ort der Offenlegung	Kontrollen	Aufbewahrung
Kamera	Profilfotos, Belege	Abfragetext, Richtlinie, Store-Formulare	Umschalter in den Einstellungen	Bis zur Löschung durch Nutzer oder Kontolöschung
Standort (grob/fein)	Angebote in der Nähe, Lieferung	Abfrage, Richtlinie, Store-Formulare	Im Kontext fragen, Überspringen erlauben	30-90 Tage, danach Löschung
Kontakte	Freunde einladen	Abfrage, Richtlinie	Überspringen erlauben, Einladungen löschen	Nicht langfristig speichern
Benachrichtigungen	Hinweise, Erinnerungen	Abfrage, Einstellungen	In-App-Umschalter	Bis zur Deaktivierung durch Nutzer
Analyse-SDK	Nutzungsanalyse	Richtlinie, Banner falls erforderlich	Cookie-/Einwilligungsbanner	13 Monate
Werbe-ID	Attribution/Werbung	Richtlinie, CMP-Banner	Opt-out oder Ad-Tracking begrenzen	Standard des Anbieters

Schritt-für-Schritt-Checkliste zur Umsetzung

1) Inventarisieren und dokumentieren

Prüfen Sie alle Berechtigungen, SDKs, APIs und Datenflüsse. Erfassen Sie für jeden Punkt Zwecke, Weitergabe und Aufbewahrung.

2) Richtlinienaktualisierungen entwerfen

Aktualisieren Sie Ihre Datenschutz- und Cookie-Richtlinien, um das Inventar widerzuspiegeln. Verlinken Sie für Konsistenz auf den Generator für Datenschutzerklärungen und den Generator für Cookie-Richtlinien.

3) Store-Einreichungen aktualisieren

Vervollständigen Sie die App-Store-Datenschutzdetails, das Datenschutzmanifest und das Play Datensicherheitsformular mit denselben Kategorien. Bewahren Sie Screenshots der Einreichungen als Referenz auf.

4) In-App-Aufklärung umsetzen

Fügen Sie Bildschirme vor der Berechtigungsabfrage hinzu, die den Nutzen erklären und auf Ihre Richtlinie verlinken. Fordern Sie Berechtigungen im Moment des Bedarfs an, nicht beim ersten Start.

5) Einwilligung und Opt-outs konfigurieren

Zeigen Sie für Analyse und Werbung dort, wo erforderlich, ein Einwilligungsbanner an. Beachten Sie GPC und bieten Sie Umschalter für Ad-Tracking und Datenweitergabe an.

6) Testen und überwachen

Testen Sie die Abläufe auf iOS und Android. Stellen Sie sicher, dass verweigerte Berechtigungen die Kernerlebnisse nicht beeinträchtigen. Testen Sie nach SDK-Aktualisierungen erneut.

Häufige Fehler, die zu vermeiden sind

Nicht übereinstimmende Offenlegungen

Wenn Ihre Datenschutzerklärung Datentypen aufführt, die in den Store-Formularen fehlen (oder umgekehrt), können Prüfteams ablehnen. Halten Sie die Formulierungen synchron.

Zu früh fragen

Standort oder Kamera beim ersten Start ohne Kontext anzufordern, erhöht die Ablehnungsraten. Fragen Sie, wenn die Funktion gleich genutzt wird.

Keine alternativen Pfade

Eine fehlende Option zum Überspringen optionaler Funktionen erzeugt Reibung und kann gegen Store-Vorgaben verstoßen.

Widerruf ignorieren

Nutzer brauchen eine Möglichkeit, Berechtigungen zu widerrufen. Stellen Sie Umschalter in den Einstellungen und einen klaren Pfad zum Löschen erhobener Daten bereit.

Nicht aufgeführte SDK-Erhebung

Drittanbieter-SDKs können Daten erheben, selbst wenn Sie sie nicht nutzen. Prüfen Sie das Verhalten der SDKs und bilden Sie es in Formularen und Richtlinien ab.

Beispiele zur Durchsetzung und Lehren

Fälle zu Standortdaten: Apps wurden wegen nicht offengelegter Standorterhebung im Hintergrund aus den Stores entfernt (Presseberichte). Legen Sie die Nutzung im Hintergrund stets ausdrücklich offen.
Sephora (2022): CPRA-Vergleich über 1,2 Mio. USD wegen nicht offengelegten Trackings und fehlgeschlagener Opt-outs (California AG). Sorgen Sie für Transparenz und Opt-out-Handhabung.
Meta (2023): GDPR-Geldbuße über etwa 1,2 Mrd. EUR (Reuters) verdeutlicht die Bedeutung rechtmäßiger Übermittlung und Klarheit bei der Datennutzung.

Checkliste für Start und Wartung

Berechtigungen, SDKs und abgeleitete Daten inventarisieren; Zwecken und Rechtsgrundlagen zuordnen.
Datenschutz-, Cookie- und Bedingungsseiten mit übereinstimmenden Kategorien aktualisieren; per CTAs verlinken.
App-Store-Datenschutzdetails, Datenschutzmanifest und Play Datensicherheit mit einheitlicher Formulierung vervollständigen.
Kontextbezogene Abfragen hinzufügen und Überspringen für optionale Berechtigungen erlauben.
Einwilligung, GPC und Opt-outs für Analyse und Werbung beachten.
Vierteljährlich und nach jeder SDK- oder Funktionsänderung überprüfen.

Beispielformulierungen für Berechtigungsabfragen

Kamera: „Wir verwenden die Kamera, um Belege zu scannen und sie Ihrem Konto zuzuordnen. Die Bilder bleiben mit Ihrem Profil verknüpft und werden nicht für Werbung verwendet.“
Standort: „Erlauben Sie den Standort, um Dienste in der Nähe zu finden. Sie können ohne Standortfreigabe fortfahren und Ihre Stadt manuell hinzufügen.“
Kontakte: „Wir greifen nur auf Kontakte zu, um von Ihnen ausgewählte Einladungen zu senden. Wir speichern Ihr Adressbuch nach dem Versand nicht.“

30-Tage-Einführungsplan

Woche 1: Alle Berechtigungen, SDKs und Datenflüsse prüfen; den Store-Offenlegungen zuordnen.
Woche 2: Richtlinienabschnitte und Store-Formulare neu schreiben; Bildschirme vor der Berechtigungsabfrage und Optionen zum Überspringen hinzufügen.
Woche 3: Einwilligung für Analyse und Werbung umsetzen; Umschalter in den Einstellungen hinzufügen; Verweigerungspfade testen.
Woche 4: QA durchführen, Screenshots für die Prüfung, juristische Prüfung und Aktualisierungen in beiden Stores veröffentlichen. Kalendererinnerungen für vierteljährliche Überprüfungen einrichten.

Kennzahlen und QA

Erteilungs- gegenüber Verweigerungsraten von Berechtigungen nach Plattform und Bildschirm.
Ergebnisse der App-Prüfung und Zeit bis zur Freigabe.
Absturz- oder Fehlerraten, wenn Berechtigungen verweigert werden.
Einhaltung der SLA für Datenschutzanfragen zu Auskunft und Löschung.
SDK-Änderungsprotokoll und zugehörige Aktualisierungen der Offenlegungen.

Erweiterter Testplan

Jede Berechtigung beim ersten Start verweigern, um eine reibungslose Degradierung und keine Abstürze zu bestätigen.
Berechtigungen mitten in der Sitzung erteilen und bestätigen, dass die App sich nach Möglichkeit ohne Neustart aktualisiert.
Berechtigungen in den Betriebssystemeinstellungen widerrufen und prüfen, ob die App die Änderung verarbeitet.
Bestätigen, dass Analyse- und Werbe-SDKs Einwilligungsumschalter und regionale Einstellungen respektieren.
Frische Screenshots für jede Abfrage und jeden Offenlegungsort für die Store-Prüfpakete erstellen.

Fallbeispiel

Problem: Die App forderte beim ersten Start ohne Erklärung den Standort im Hintergrund an; die Store-Prüfung lehnte ab und Nutzer verweigerten die Berechtigung.
Lösung: Aufklärung vor der Berechtigungsabfrage hinzugefügt, im Kontext gefragt, eine Option zum Überspringen bereitgestellt und die Datenschutzerklärung sowie Store-Formulare entsprechend aktualisiert. Die Erteilungsrate verbesserte sich und die Prüfung wurde bestanden.

Audit-Arbeitsbuch

Jede Berechtigung mit Begründung, Status optional gegenüber erforderlich und Ort in der App auflisten.
SDKs erfassen, die auf dieselben Daten zugreifen, und bestätigen, dass die Offenlegungen sie abdecken.
Prüfen, dass Richtlinie, Manifeste und Store-Formulare für jeden Datentyp identische Formulierungen verwenden.
Aufbewahrungs- und Löschverhalten für jeden Datentyp notieren und testen.
Screenshots für jede Abfrage und jeden Offenlegungsort für die Einreichungspakete verfolgen.

Fazit

Transparenz bei Berechtigungen schützt Nutzer und hält Ihre App in den Stores verfügbar. Indem Sie Offenlegungen über Richtlinien, Abfragen und Store-Formulare abstimmen und Einwilligung und Widerruf beachten, verringern Sie das Ablehnungsrisiko und schaffen Vertrauen. Behalten Sie CTAs zum Generator für Datenschutzerklärungen, zum Generator für Cookie-Richtlinien und zum Generator für Nutzungsbedingungen in jedem Ablauf, damit Ihr rechtlicher Aufbau kohärent bleibt, während Sie Aktualisierungen ausliefern.

Testcheckliste vor der Einreichung

Den ersten Start auf iOS und Android mit Neuinstallationen testen.
Bestätigen, dass Berechtigungsabfragen zu den Funktionen passen, die sie auslösen.
Prüfen, dass der Link zur Datenschutzerklärung sowohl in der App als auch im App-Store-Eintrag öffnet.
Gegenprüfen, dass Analyse und SDKs in Ihren Offenlegungen abgedeckt sind.

Offenlegungen aktuell halten

Aktualisieren Sie Ihre Datenschutzerklärung und Store-Formulare, wenn Sie SDKs, Werbung oder Analyse hinzufügen.
Berechtigungen bei jedem Release erneut prüfen.
Ein Änderungsprotokoll der Datenpraktiken für Auditzwecke führen.

Klare Offenlegungen von Berechtigungen verbessern die Freigaberaten und schaffen Nutzervertrauen. Ordnen Sie Ihre Daten zu, stimmen Sie Ihre Richtlinie ab und halten Sie die Store-Formulare bei jedem Release aktuell.

Wichtigste Erkenntnisse

Stimmen Sie Store-Offenlegungen, Manifeste und Ihre Datenschutzerklärung mit den genauen Daten und Berechtigungen ab, die Ihre App nutzt.
Fordern Sie Berechtigungen im Kontext mit klarem Nutzen an und erlauben Sie das Überspringen optionaler Funktionen.
Prüfen Sie SDKs, Einwilligungshandhabung und Screenshots bei jedem Release, um Verzögerungen bei der Prüfung zu vermeiden.
Bieten Sie einfache Pfade für Widerruf, Löschung und Auskunft, um das Vertrauen hoch zu halten.

Ressourcen

Apple-Datenschutzmanifeste und APIs mit erforderlicher Begründung: Lesen Sie vor dem Release die aktuelle Apple-Entwicklerdokumentation.
Google Play Datensicherheit-Hilfecenter für die aktuellen Formularanforderungen.
FTC-Geschäftshinweise für Grundsätze der Fairness und Transparenz.