Data Portability API-Nutzerdaten- und Entwicklerrichtlinie

Als Entwickler, der die Data Portability API nutzt, sensible Nutzerdaten. Behalten Sie die folgenden wichtigen Grundsätze für den Umgang mit Daten im Hinterkopf:

  • Datenschutz: Verwenden Sie Nutzerdaten nicht für unzulässige Zwecke.
  • Seien Sie transparent: Stellen Sie Nutzern genau dar, welche Daten Sie warum Sie sie sammeln und wie Sie sie verwenden.
  • Respektvoll umgehen: Geh verantwortungsvoll mit Nutzerdaten um. Wenn möglich, lassen Sie wie Nutzende ihre Daten aus einem Produkt übertragen und Anfragen von Nutzenden an ihre Daten zu löschen.
  • Sicher sein: Behandeln Sie alle Nutzerdaten sicher und zeigen Sie nach, dass Sie sich daran halten. auf bestimmte Sicherheitspraktiken.
  • Seien Sie konkret: Fordern Sie keinen Zugriff auf Daten an, die Sie nicht benötigen. Alle Daten sollte der Zugriff darauf bestehen, nur die Funktionen Ihrer Anwendung oder Ihres Dienstes zur Verfügung zu stellen. von denen die Nutzenden profitieren.

Nutzungsbedingungen für Google APIs Nutzerdatenrichtlinie der Google API-Dienste und Die OAuth 2.0-Richtlinien regeln die Nutzung aller Google API-Dienste, wenn Sie als Entwickler den Zugriff auf Nutzerdaten anfordern. Diese Nutzerdaten der Data Portability API und die Entwicklerrichtlinien weitere Informationen, die Ihre Nutzung und auf die Data Portability API zugreifen. Die Data Portability API bietet Endnutzern im Europäischen Wirtschaftsraum (EWR) haben Sie mehr Kontrolle über ihre Daten, da sie einfacher Daten aus Google zu exportieren.

Zusammen mit Google Datenexport sorgt die Data Portability API dafür, dass Nutzer den Zugriff auf und die Kontrolle über ihre Daten zu ermöglichen. Weitere Informationen zur Datenschutzerklärung und zu den Datenschutzeinstellungen von Google, die Kontrolle über die Nutzenden.

Rufen Sie diese Seite regelmäßig auf. Diese Richtlinien werden gelegentlich aktualisiert. Es ist ist der Entwickler für die Überwachung und die Sicherstellung der Einhaltung dieser in regelmäßigen Abständen. Wenn Sie die Richtlinie zu irgendeinem Zeitpunkt nicht einhalten können oder wenn ein erhebliches Risiko besteht, dass Sie diese nicht erfüllen können, nutzen Sie unsere Dienste sofort und wenden Sie sich an uns. Google behält sich vor, das Recht, Google-Nutzerdaten zu entfernen oder den Zugriff darauf einzuschränken, wenn Sie dieser Richtlinie. Im Falle eines Konflikts zwischen dieser Richtlinie oder anderen Bestimmungen in Bezug auf API-Dienste, diese Richtlinie zu Nutzerdaten und die Entwicklerrichtlinie für die Data Portability API hat Vorrang.

Angemessener Datenzugriff und ordnungsgemäße Verwendung von Nutzerdaten

Anfragen zum Exportieren von Nutzerdaten müssen klar und verständlich sein. Die Die Data Portability API darf nur gemäß den anwendbaren Richtlinien verwendet werden. sowie für Anwendungsfälle, die Nutzern zugute kommen, wie in diesen . Das bedeutet, dass Entwickler nur dann Zugriff auf Berechtigungen anfordern können, eine Anwendung oder ein Dienst einem der genehmigten Anwendungsfälle entspricht.

Genehmigte Anwendungsfälle für den Zugriff auf Berechtigungen sind:

  • Anwendungen oder Dienste mit einer oder mehreren Funktionen, die den primären dem Nutzer zugutekommen, indem es ihm erlaubt, Nutzerdaten von einem Google-Dienst zu einer anderen Plattform oder einem anderen Dienst für die Vorteile für die Nutzenden.

Erforderliche Mindestberechtigungen anfordern

Entwickler dürfen nur Zugriff auf Berechtigungen anfordern, die für die Implementierung von Funktionen für eine Anwendung oder einen Dienst. Das bedeutet:

  • Fordern Sie keinen Zugriff auf Informationen an, die Sie nicht benötigen. Wenn ein Produkt keinen Zugriff auf bestimmte Berechtigungen benötigt, dürfen Sie Zugriff auf diese Berechtigungen. Nicht „zukunftssicher“ machen Zugriff auf Nutzer indem sie Zugriff auf Informationen anfordern, die Dienste oder die nicht implementiert wurden.

  • Fordern Sie Berechtigungen nach Möglichkeit im Kontext an. Fordern Sie nur Zugriff auf Nutzerdaten im Kontext (wenn möglich) durch inkrementelle Autorisierung verwenden. So können Nutzende verstehen, warum Sie die Daten benötigen.

Transparente und genaue Hinweise und Kontrollen

Die Data Portability API verarbeitet personenbezogene und vertrauliche Daten. Alle Apps und Dienste müssen eine Datenschutzerklärung enthalten, die umfassende wie in einer Anwendung oder einem Webdienst Nutzerdaten erhoben, verwendet und weitergegeben werden. Dieses die Arten von Parteien enthält, an die Nutzerdaten weitergegeben werden, wie Sie die wie Sie die Daten speichern und sichern und was mit den Daten geschieht, wenn ein -Konto deaktiviert oder gelöscht wurde.

Anwendungen und Dienste müssen außerdem Zugriff auf Nutzerdaten im Kontext anfordern, indem mit inkrementeller Autorisierung, damit Nutzende besser verstehen, warum Sie die Daten benötigen und wie sie verwendet werden. Zusätzlich zu den geltendem Recht zu erfüllen, müssen Sie außerdem Folgendes beachten: Anforderungen, die unsere OAuth 2.0-Richtlinien und Nutzer der Google API-Dienste widerspiegeln Datenrichtlinien:

  1. Entwickler müssen offengelegt, dass Daten exportiert, abgerufen, erhoben, Nutzung und Weitergabe. Die Offenlegung:
    1. Muss die Identität der Anwendung oder der App korrekt darstellen oder Dienst, der auf Nutzerdaten zugreifen möchte;
    2. Muss innerhalb der Anwendung liegen, wenn sie anwendungsbasiert ist oder in einem ein separates Dialogfenster zu öffnen, wenn es webbasiert ist.
    3. Muss bei normaler Verwendung der Anwendung angezeigt werden, wenn wenn sie webbasiert sind und nicht die Navigation durch ein Menü oder die Einstellungen erfordern,
    4. Sie müssen verständliche und genaue Informationen zu den Typen angeben. von Daten, auf die zugegriffen wird, die angefordert, exportiert oder erhoben werden;
    5. Es muss erklärt werden, wie die Daten verwendet und weitergegeben werden. wenn Sie eine aber die Daten werden auch für andere Zwecke genutzt, sekundärer Zweck ist, müssen Sie die Nutzer über beide Anwendungsfälle informieren;
    6. Die Offenlegung darf nicht nur in der Datenschutzerklärung oder in den Nutzungsbedingungen erfolgen. und
    7. Sie darf nicht in andere Offenlegungen integriert werden, die nichts mit personenbezogenen Daten zu tun haben. und die Erhebung sensibler Daten.

  2. Die Offenlegung des Entwicklers muss einem Ersuchen unmittelbar unmittelbar vorangestellt werden um die Nutzereinwilligung einzuholen. Sie dürfen nicht vor Erhalt der Sammlung beginnen Einwilligung geben. Die Bitte um Einwilligung:
    1. Der Dialog zur Einholung von Einwilligungen muss klar und eindeutig präsentiert werden Art und Weise;
    2. Der Nutzer muss z. B. aktiv seine Zustimmung bekunden, um eine solche zum Akzeptieren auswählen, ein Kästchen anklicken oder einen mündlichen Befehl eingeben, zu akzeptieren;
    3. Eine Navigation weg von der Offenlegung darf nicht als Einwilligung; indem Sie wegklicken, die Taste „Zurück“ oder Startbildschirmtaste; und
    4. Benachrichtigungen, die automatisch geschlossen werden oder zeitlich befristet sind, dürfen nicht verwendet werden.
  3. Sie müssen eine Hilfedokumentation zur Verfügung stellen, in der erläutert wird, wie Nutzer die Verwaltung und ihre Daten aus der App löschen.

Eingeschränkte Nutzung von Nutzerdaten

Wenn Sie für eine angemessene Verwendung auf die Data Portability API zugreifen, gibt der muss der Entwickler die erhaltenen Daten Anforderungen. Diese Anforderungen gelten für sensible und eingeschränkte Bereiche, Rohdaten, die über die Data Portability API abgerufen wurden, und Daten, die aggregiert, anonymisiert, de-identifiziert oder aus den Rohdaten abgeleitet wurde.

  1. Die Nutzung von Daten auf die Bereitstellung oder Verbesserung des entsprechenden Anwendungsfalls beschränken oder Funktionen, die für den Nutzer der anfragenden Anwendung sichtbar und deutlich sichtbar sind .
  2. Eine Übertragung von Daten ist nur in folgenden Fällen zulässig:
    1. Bereitstellung oder Verbesserung geeigneter Funktionen für den Anwendungsfall oder für Nutzer die in der Benutzeroberfläche der anfragenden App deutlich erkennbar sind, mit der Einwilligung des Nutzers;
    2. Aus Sicherheitsgründen, z. B. zur Untersuchung von Missbrauch
    3. Zur Einhaltung geltender Gesetze und Bestimmungen; oder
    4. Im Rahmen einer Fusion, Übernahme oder einem Verkauf der Assets des Entwicklers nachdem die ausdrückliche Einwilligung des Nutzers eingeholt wurde.

  3. Menschen dürfen Nutzerdaten nicht lesen, es sei denn:
    1. Sie haben die ausdrückliche Zustimmung des Nutzers zum Lesen eingeholt und dokumentiert bestimmte Daten; könnten Sie z. B. einem Nutzer helfen, wieder Zugriff ein Produkt oder einen Dienst anbieten, nachdem sie ihr Passwort verloren haben;
    2. Die Daten, einschließlich Ableitungen, werden aggregiert und für interne in Übereinstimmung mit den anwendbaren Datenschutzbestimmungen und anderen rechtliche Anforderungen der Gerichtsbarkeit;
    3. Sie sind aus Sicherheitsgründen erforderlich, z. B. um Missbrauch zu untersuchen. oder
    4. Sie müssen die anwendbaren Gesetze und Bestimmungen einhalten.

Eine bestätigende oder ähnliche Erklärung, dass die Bewerbung oder dass die Nutzung der Daten den Einschränkungen der eingeschränkten Nutzung entspricht, oder auf einer Website, die zum Dienst oder . Zum Beispiel ein Link auf einer Startseite zu einer speziellen Seite oder Datenschutz die folgende Richtlinie enthält:

„Die Verwendung der von der Data Portability API erhaltenen Informationen entspricht den Richtlinie zu Nutzerdaten und Entwickler für die Portability API, einschließlich der Eingeschränkte Nutzungsanforderungen".

Es können ähnliche Sätze verwendet werden, die auf die Datenfreigabe abgestimmt sind. im Abschnitt „Eingeschränkte Nutzung“ aufgeführt.

Sichere Betriebsumgebung aufrechterhalten

Sie müssen alle Nutzerdaten sicher handhaben. Ergreifen Sie angemessene und geeignete Maßnahmen, zum Schutz aller Anwendungen oder Systeme, die die Data Portability API nutzen vor unbefugtem oder rechtswidrigem Zugriff, Nutzung, Zerstörung, Verlust, Änderung oder Offenlegung.

Anwendungen, die auf eingeschränkte Bereiche zugreifen, müssen bestimmte Sicherheitsanforderungen erfüllen . Zu den empfohlenen Sicherheitsmaßnahmen gehören die Implementierung und Wartung einem Managementsystem für die Informationssicherheit gemäß ISO/IEC 27001 und sicherzustellen, dass die Anwendung oder der Webdienst robust und frei von gängigen Sicherheitsprobleme gemäß den OWASP Top 10.

Zu den erforderlichen Sicherheitsmaßnahmen gehören:

  1. Die Verwendung eines branchenweit akzeptierten Verschlüsselungsstandards zur Verschlüsselung von Nutzerdaten, die:
    1. Speicherung auf tragbaren Geräten oder tragbaren elektronischen Medien
    2. Außerhalb der Systeme von Google oder des Entwicklers
    3. Übertragung über ein externes Netzwerk, das nicht nur von Ihnen verwaltet wird und
    4. die auf den Systemen des Entwicklers in Ruhe sind.
  2. Datenübertragung mit modernen sicheren Protokollen wie HTTPS
  3. Aufbewahrung von Nutzerdaten und Anmeldedaten, insbesondere Tokens wie OAuth-Zugriff und Aktualisierungstokens, verschlüsselt bei Inaktivität.
  4. Sicherstellen, dass Schlüssel und Schlüsselmaterial angemessen verwaltet werden, z. B. ein Hardwaresicherheitsmodul oder ein Schlüsselverwaltungssystem mit gleicher Stärke

Zu den erforderlichen Sicherheitsmaßnahmen für eingeschränkte Bereiche gehören Cloud Application Security Assessment (CASA). Darüber hinaus können Sie auch erforderlich, um die Anwendung oder den Dienst einer regelmäßigen Sicherheitsprüfung zu ermöglichen und um ein Leistungsschreiben von einem von Google benannten Dritten zu erhalten, .

Sie erklären sich damit einverstanden, Google unverzüglich unter security@google.com über bekannte oder auf die Systeme, Netzwerke, Konten oder andere Daten, Standorte, an denen Google-Daten gespeichert sind. Dies wird als Sicherheitsvorfall bezeichnet. Ich erklären sich damit einverstanden, in vollem Umfang mit Google zusammenzuarbeiten, um bekannte oder mutmaßliche Sicherheitsprobleme zu beheben. Vorfall und in jedem solchen Fall, Google unter security@google.com zu benachrichtigen bevor du öffentliche Erklärungen zu bekannten oder mutmaßlichen Vorfall.

OAuth-2.0-Bereiche

Eine Liste aller Bereiche und Ressourcengruppen der Data Portability API finden Sie in der OAuth 2.0-Bereiche für Google APIs.

Weitere Informationen zu eingeschränkten Bereichen finden Sie in der Liste der eingeschränkten Bereiche.