Zur Markenüberprüfung einreichen

Bei allen Anwendungen, die auf Google APIs zugreifen, muss überprüft werden, ob sie gemäß der Nutzerdatenrichtlinie der API-Dienste von Google ihre Identität und Absicht korrekt darstellen. Um Sie und die gemeinsamen Nutzer von Google und Ihrer App zu schützen, müssen Ihr Zustimmungsbildschirm und Ihre Anwendung möglicherweise von Google geprüft werden.

Ihre Anwendung muss überprüft werden, wenn sie die folgenden Kriterien erfüllt:

  • In der Google API Consoleist die Konfiguration Ihrer Anwendung für den Nutzertyp Extern festgelegt. Das bedeutet, dass Ihre Anwendung für jeden Nutzer mit einem Google-Konto verfügbar ist.
  • Sie möchten, dass Ihre Anwendung ein Logo oder einen Anzeigenamen auf dem OAuth-Zustimmungsbildschirm anzeigt.

Wenn Sie bestätigte Markeninformationen verwenden, erhöhen Sie die Wahrscheinlichkeit, dass Nutzer Ihre Marke erkennen und sich dafür entscheiden, Zugriff auf Ihre Anwendung zu gewähren. Bestätigte Markeninformationen können auch zu weniger Widerrufen führen, wenn ein Nutzer oder Google Workspace-Administrator Drittanbieter-Apps und ‐Dienste mit Zugriff auf das Konto überprüft. Die Markenüberprüfung für den OAuth-Zustimmungsbildschirm dauert in der Regel zwei bis drei Werktage, nachdem Sie das Formular zur Überprüfung eingereicht haben.

Wenn du deinen Antrag auf Markenüberprüfung nicht einreichst, kann dies dazu führen, dass das Nutzervertrauen in deine Datenanfrage sinkt. Dies kann später zu weniger Nutzerautorisierungen und mehr Widerrufen führen.

Auf dem Zustimmungsbildschirm sehen Nutzer, wer Zugriff auf ihre Daten anfordert und auf welche Art von Daten Ihre App in ihrem Namen zugreifen muss, wie in Feld 2 von Abbildung 1 hervorgehoben.

Wenn Ihre Anwendung den Prozess der Markenüberprüfung durchläuft und die Genehmigung erhält, ist es wahrscheinlicher, dass das Konto, das die Berechtigung erteilt, Ihre Richtlinien zu Identität und Nutzerdaten besser verstehen können. Dieses klare Verständnis erhöht die Wahrscheinlichkeit, dass ein Kontoinhaber deine Anfragen autorisiert und den Zugriff behält, wenn er mögliche Widerrufe auf seiner Google-Konto-Seite prüft. Mit dem Inhalt, den Sie im OAuth Consent Screen page in API Console konfigurieren, werden die folgenden Komponenten ausgefüllt:

  1. Name und Logo Ihrer App (wie in Feld 1 von Abbildung 1 dargestellt)
  2. Ihre E-Mail-Adresse für den Nutzersupport, die nach der Auswahl des App-Namens angezeigt wird (Feld 2 von Abbildung 1)
  3. Links zu Ihrer Datenschutzerklärung und zu Ihren Nutzungsbedingungen (Kasten 3 von Abbildung 1)
Nummerierte Labels veranschaulichen verschiedene Funktionen eines OAuth-Zustimmungsbildschirms aus einem Projekt mit genehmigten Markeninformationen.
Abbildung 1. Modell des OAuth-Zustimmungsbildschirms.

Autorisierte Domains

Im Rahmen der Markenüberprüfung müssen alle Domains, die dem OAuth-Zustimmungsbildschirm und den Anmeldedaten einer Anwendung zugeordnet sind, überprüft werden. Wir möchten Sie bitten, die zur Registrierung verfügbare Domainkomponente mit einem öffentlichen Suffix zu bestätigen: der privaten Top-Domain. In einem OAuth-Zustimmungsbildschirm, der mit der Startseite der Anwendung https://sub.example.com/product konfiguriert ist, wird der Kontoinhaber beispielsweise aufgefordert, die Inhaberschaft der Domain example.com zu bestätigen.

Der Abschnitt Autorisierte Domains des OAuth-Zustimmungsbildschirms muss die privaten Top-Domains enthalten, die in den URIs des Abschnitts App-Domain verwendet werden. Zu diesen Domains gehören die Startseite der App, die Datenschutzerklärung und die Nutzungsbedingungen. Der Abschnitt Autorisierte Domains muss außerdem die Weiterleitungs-URIs und/oder JavaScript-Quellen enthalten, die in den OAuth-Clienttypen „Webanwendung“ autorisiert wurden.

Bestätige die Inhaberschaft deiner autorisierten Domains mithilfe der Google Search Console. Ein Google-Konto mit Inhaberberechtigungen für eine Domain muss mit dem API Console Projekt verknüpft sein, das diese autorisierte Domain verwendet. Weitere Informationen zur Domainbestätigung in der Google Search Console findest du unter Website-Inhaberschaft bestätigen.

Schritte zur Vorbereitung auf die Überprüfung

Alle Apps, die über Google APIs den Datenzugriff anfordern, müssen die folgenden Schritte für die Markenüberprüfung ausführen:

  1. Deine App muss keinem der im Abschnitt Ausnahmen von den Überprüfungsanforderungen genannten Anwendungsfälle entsprechen.
  2. Ihre App muss die Branding-Anforderungen der zugehörigen APIs oder Produkte erfüllen. Entsprechende Informationen finden Sie beispielsweise in den Branding-Richtlinien für Google Log-in-Bereiche.
  3. Bestätige die Inhaberschaft für die autorisierten Domains deines Projekts in der Google Search Console. Verwenden Sie als Inhaber oder Bearbeiter ein Google-Konto, das mit Ihrem API Console Projekt verknüpft ist.
  4. Achten Sie darauf, dass alle Branding-Informationen auf dem OAuth-Zustimmungsbildschirm, z. B. der App-Name, die Support-E-Mail-Adresse, die Startseiten-URI, der URI der Datenschutzerklärung usw., die Identität der App korrekt wiedergeben.

Anforderungen an die Startseite der Anwendung

Ihre Startseite muss die folgenden Anforderungen erfüllen:

  • Deine Startseite muss öffentlich zugänglich sein und darf nicht nur für die angemeldeten Nutzer deiner Website zugänglich sein.
  • Die Relevanz Ihrer Startseite für die zu überprüfende App muss deutlich erkennbar sein.
  • Links zum Eintrag deiner App im Google Play Store oder auf der entsprechenden Facebook-Seite gelten nicht als gültige Startseiten der App.

Anforderungen an Links zur Datenschutzerklärung der Anwendung

Achten Sie darauf, dass die Datenschutzerklärung Ihrer App die folgenden Anforderungen erfüllt:

  • Die Datenschutzerklärung muss für Nutzer sichtbar sein, in derselben Domain wie die Startseite Ihrer Anwendung gehostet und im OAuth-Zustimmungsbildschirm von Google API Consoleverlinkt sein. Die Startseite muss eine Beschreibung der Funktionalität der App sowie Links zur Datenschutzerklärung und optionalen Nutzungsbedingungen enthalten.
  • In der Datenschutzerklärung muss offengelegt werden, wie Ihre App auf Google-Nutzerdaten zugreift, diese verwendet, speichert oder weitergibt. Sie müssen die Verwendung der Google-Nutzerdaten auf die Praktiken beschränken, die in Ihrer veröffentlichten Datenschutzerklärung offengelegt werden.

Anwendung zur Überprüfung einreichen

In einem Google API Console Projekt sind alle Ihre API Console Ressourcen organisiert. Ein Projekt besteht aus einer Reihe verknüpfter Google-Konten mit der Berechtigung zum Ausführen von Projektvorgängen, einer Reihe von aktivierten APIs sowie Abrechnungs-, Authentifizierungs- und Monitoringeinstellungen für diese APIs. Ein Projekt kann beispielsweise einen oder mehrere OAuth-Clients enthalten, APIs für die Verwendung durch diese Clients konfigurieren und einen OAuth-Zustimmungsbildschirm konfigurieren, der Nutzern angezeigt wird, bevor sie den Zugriff auf Ihre Anwendung autorisieren.

Wenn einer Ihrer OAuth-Clients noch nicht für die Produktion bereit ist, empfehlen wir, ihn aus dem Projekt zu löschen, für das die Überprüfung angefordert wird. Dies ist in der Google API Consolemöglich.

Gehen Sie dazu so vor:

  1. Ihre App muss den Nutzungsbedingungen für Google APIs und der Nutzerdatenrichtlinie der Google API-Dienste entsprechen.
  2. Halten Sie die Inhaber- und Bearbeiterrollen für die mit Ihrem Projekt verknüpften Konten auf dem aktuellen Stand. Halten Sie außerdem die E-Mail-Adresse für den Nutzersupport Ihres OAuth-Zustimmungsbildschirms und die Kontaktdaten des Entwicklers in Ihrem API Consoleauf dem aktuellen Stand. So wird sichergestellt, dass die richtigen Mitglieder Ihres Teams über neue Anforderungen informiert werden.
  3. Rufen Sie API Console OAuth Consent Screen pageauf.
  4. Klicken Sie auf die Schaltfläche Projektauswahl.

  5. Wählen Sie im Dialogfeld Auswählen aus Ihr Projekt aus. Wenn Sie Ihr Projekt nicht finden, aber Ihre Projekt-ID kennen, können Sie in Ihrem Browser eine URL im folgenden Format erstellen:

    https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

    Ersetzen Sie [PROJECT_ID] durch die Projekt-ID, die Sie verwenden möchten.

  6. Wählen Sie die Schaltfläche App bearbeiten aus.
  7. Geben Sie die erforderlichen Informationen auf der Seite des OAuth-Zustimmungsbildschirms ein und wählen Sie dann die Schaltfläche Speichern und fortfahren aus.
  8. Verwenden Sie die Schaltfläche Bereiche hinzufügen oder entfernen, um alle von Ihrer Anwendung angeforderten Bereiche zu deklarieren. Ein anfänglicher Satz von Bereichen, die für Google Log-in erforderlich sind, ist im Abschnitt Nicht vertrauliche Bereiche vorausgefüllt. Hinzugefügte Bereiche werden als nicht vertraulich eingestuft: sensitive, or restricted.
  9. Geben Sie bis zu drei Links zu relevanten Dokumentationen für zugehörige Funktionen in Ihrer App an.

  10. Geben Sie alle zusätzlichen Informationen an, die in den nachfolgenden Schritten zu Ihrer App angefordert werden.

  11. Wenn die von Ihnen angegebene Anwendungskonfiguration eine Prüfung erfordert, können Sie die Anwendung zur Prüfung einreichen. Füllen Sie die Pflichtfelder aus und klicken Sie dann auf Senden, um den Bestätigungsprozess zu starten.

Nachdem Sie Ihre App eingereicht haben, setzt sich das Trust & Safety-Team von Google per E-Mail mit allen weiteren erforderlichen Informationen oder den erforderlichen Schritten in Verbindung. Suchen Sie in den E-Mail-Adressen im Bereich Kontaktdaten des Entwicklers und in der Support-E-Mail-Adresse Ihres OAuth-Zustimmungsbildschirms nach weiteren Informationen. Auf der Seite „OAuth-Zustimmungsbildschirm“ Ihres Projekts können Sie den aktuellen Überprüfungsstatus Ihres Projekts einsehen und sehen, ob die Überprüfung pausiert wurde, während wir auf Ihre Antwort warten.

Ausnahmen von den Überprüfungsanforderungen

Wenn deine App in einem der in den folgenden Abschnitten beschriebenen Szenarien verwendet wird, musst du sie nicht zur Überprüfung einreichen.

Private Nutzung

Ein Anwendungsfall wäre, wenn du der einzige Nutzer deiner App bist oder sie nur von wenigen Nutzern verwendet wird, die dir alle persönlich bekannt sind. Möglicherweise möchten Sie und Ihre begrenzte Anzahl von Nutzern den Bildschirm für nicht überprüfte Anwendungen durchlaufen und Ihren privaten Konten Zugriff auf die Anwendung gewähren.

Projekte, die in Entwicklungs-, Test- oder Staging-Ebenen verwendet werden

Zur Einhaltung der Google OAuth 2.0-Richtlinien empfehlen wir, verschiedene Projekte für Test- und Produktionsumgebungen zu erstellen. Wir empfehlen, die Anwendung nur zur Prüfung einzureichen, wenn sie für jeden Nutzer mit einem Google-Konto verfügbar sein soll. Befindet sich Ihre Anwendung also in der Entwicklungs-, Test- oder Staging-Phase, ist keine Überprüfung erforderlich.

Wenn sich deine App in der Entwicklungs- oder Testphase befindet, kannst du den Veröffentlichungsstatus in der Standardeinstellung Test belassen. Diese Einstellung bedeutet, dass sich Ihre App noch in der Entwicklung befindet und nur für Nutzer verfügbar ist, die Sie der Liste der Testnutzer hinzufügen. Du musst die Liste der Google-Konten verwalten, die an der Entwicklung oder dem Testen deiner Anwendung beteiligt sind.

Warnmeldung, dass eine App, die gerade getestet wird, nicht von Google bestätigt wurde
Abbildung: 2 Warnungsbildschirm für Tester

Nur diensteigene Daten

Wenn Ihre Anwendung ein Dienstkonto nur für den Zugriff auf ihre eigenen Daten verwendet, aber nicht auf Nutzerdaten, die mit einem Google-Konto verknüpft sind, müssen Sie sie nicht zur Prüfung einreichen.

Informationen zu Dienstkonten finden Sie in der Google Cloud-Dokumentation unter Dienstkonten. Eine Anleitung zur Verwendung eines Dienstkontos finden Sie unter OAuth 2.0 für Server-zu-Server-Anwendungen verwenden.

Nur zur internen Verwendung

Das bedeutet, dass die Anwendung nur von Personen in Ihrer Google Workspace- oder Cloud Identity-Organisation verwendet wird. Das Projekt muss der Organisation gehören und der OAuth-Zustimmungsbildschirm muss für den Nutzertyp Intern konfiguriert werden. In diesem Fall benötigt Ihre Anwendung möglicherweise die Genehmigung eines Organisationsadministrators. Weitere Informationen finden Sie unter Zusätzliche Überlegungen für Google Workspace.

Domainweite Installation

Wenn Ihre Anwendung nur auf Nutzer einer Google Workspace- oder Cloud Identity-Organisation ausgerichtet sein soll und immer die domainweite Installation verwendet wird, ist keine Anwendungsüberprüfung für die Anwendung erforderlich. Das liegt daran, dass ein Domainadministrator bei einer domainweiten Installation Drittanbieter- und internen Anwendungen Zugriff auf die Daten Ihrer Nutzer gewähren kann. Organisationsadministratoren sind die einzigen Konten, die die Anwendung zur Verwendung in ihren Domains auf eine Zulassungsliste setzen können.

Informationen zur domainweiten Installation Ihrer Anwendung finden Sie in den FAQs unter Meine Anwendung hat Nutzer mit Unternehmenskonten aus einer anderen Google Workspace-Domain.