Zur Markenüberprüfung einreichen

Alle Apps, die auf Google-APIs zugreifen, müssen bestätigen, dass sie ihre Identität und Absicht gemäß der Nutzerdatenrichtlinie für Google API-Dienste korrekt darstellen. Um Sie und die gemeinsamen Nutzer von Google und Ihrer App zu schützen, müssen Ihr Zustimmungsbildschirm und Ihre Anwendung möglicherweise von Google überprüft werden.

Ihre App muss überprüft werden, wenn sie alle folgenden Kriterien erfüllt:

  • In der Google API Consoleist die Konfiguration Ihrer App für den Nutzertyp Extern festgelegt. Das bedeutet, dass Ihre App für jeden Nutzer mit einem Google-Konto verfügbar ist.
  • Sie möchten, dass in Ihrer App auf dem OAuth-Zustimmungsbildschirm ein Logo oder ein Anzeigename präsentiert wird.

Wenn Sie bestätigte Markeninformationen angeben, ist es wahrscheinlicher, dass ein Nutzer Ihre Marke erkennt und sich entscheidet, Ihrer App Zugriff zu gewähren. Bestätigte Markeninformationen können auch dazu führen, dass es später weniger Widerrufe gibt, wenn ein Nutzer oder Google Workspace-Administrator Drittanbieter-Apps und ‑Dienste mit Zugriff auf das Konto überprüft. Die Markenüberprüfung des OAuth-Zustimmungsbildschirms dauert in der Regel 2–3 Arbeitstage nach dem Einreichen.

Wenn Sie Ihren Antrag auf Markenbestätigung nicht einreichen, kann dies dazu führen, dass Nutzer Ihrer Anfrage nach ihren Daten weniger vertrauen. Das kann später zu weniger Nutzerautorisierungen und mehr Widerrufen führen.

Auf dem Zustimmungsbildschirm wird Nutzern mitgeteilt, wer Zugriff auf ihre Daten anfordert und auf welche Art von Daten Ihre App in ihrem Namen zugreifen muss. Das ist in Abbildung 1 in Feld 2 dargestellt.

Wenn Ihre App die Markenüberprüfung durchläuft und genehmigt wird, ist es wahrscheinlicher, dass die Identitäts- und Nutzerdatenrichtlinien Ihrer Anwendung von dem Konto, das die Berechtigung erteilt, klar verstanden werden. Wenn Sie die Gründe für die Anfrage klar darlegen, ist es wahrscheinlicher, dass der Kontoinhaber Ihre Anfragen autorisiert und den Zugriff beibehält, wenn er mögliche Widerrufe auf der Seite Google-Konto prüft. Die Inhalte, die Sie auf dem OAuth Branding page in der Cloud Console konfigurieren, werden in den folgenden Komponenten angezeigt:

  1. Name und Logo Ihrer App (wie in Abbildung 1 in Feld 1 dargestellt)
  2. Die E‑Mail-Adresse für den Nutzer-Support, die angezeigt wird, nachdem der Name Ihrer App ausgewählt wurde (Feld 2 in Abbildung 1)
  3. Links zu Ihrer Datenschutzerklärung und Ihren Nutzungsbedingungen (Feld 3 in Abbildung 1)
Nummerierte Labels veranschaulichen verschiedene Funktionen eines OAuth-Zustimmungsbildschirms aus einem Projekt mit genehmigten Markeninformationen.
Abbildung 1. Mock-up des OAuth-Zustimmungsbildschirms.

Autorisierte Domains

Im Rahmen der Markenüberprüfung müssen alle Domains, die mit dem OAuth-Zustimmungsbildschirm und den Anmeldedaten einer Anwendung verknüpft sind, von Google überprüft werden. Wir bitten Sie, die Domainkomponente zu bestätigen, die für die Registrierung für ein öffentliches Suffix verfügbar ist: die oberste private Domain. Beispiel: Wenn für einen OAuth-Zustimmungsbildschirm die Startseite der Anwendung https://sub.example.com/product konfiguriert ist, wird der Kontoinhaber aufgefordert, die Inhaberschaft der Domain example.com zu bestätigen.

Der Abschnitt Autorisierte Domains des Editors für den OAuth-Zustimmungsbildschirm muss die privaten Top-Level-Domains enthalten, die in den URIs des Abschnitts App-Domain verwendet werden. Dazu gehören die Startseite der App, die Datenschutzerklärung und die Nutzungsbedingungen. Der Bereich Autorisierte Domains muss auch die Weiterleitungs-URIs und/oder JavaScript-Quellen enthalten, die in Ihren OAuth-Clienttypen vom Typ „Webanwendung“ autorisiert sind.

Bestätigen Sie die Inhaberschaft Ihrer autorisierten Domains über die Google Search Console. Ein Google-Konto mit Berechtigungen als Inhaber für eine Domain muss mit dem API Console Projekt verknüpft sein, in dem diese autorisierte Domain verwendet wird. Weitere Informationen zur Domainbestätigung in der Google Search Console finden Sie unter Websiteinhaberschaft bestätigen.

Schritte zur Vorbereitung auf die Überprüfung

Alle Apps, die über Google APIs Zugriff auf Daten anfordern, müssen die folgenden Schritte ausführen, um die Markenüberprüfung abzuschließen:

  1. Prüfen Sie, ob Ihre App unter einen der Anwendungsfälle im Abschnitt Ausnahmen von den Überprüfungsanforderungen fällt.
  2. Ihre App muss die Branding-Anforderungen der zugehörigen APIs oder des zugehörigen Produkts erfüllen. Ein Beispiel finden Sie in den Branding-Richtlinien für Google-Anmeldebereiche.
  3. Bestätigen Sie die Inhaberschaft der autorisierten Domains Ihres Projekts in der Google Search Console. Verwenden Sie ein Google-Konto, das mit Ihrem API Console -Projekt als Inhaber oder Bearbeiter verknüpft ist.
  4. Achten Sie darauf, dass alle Branding-Informationen auf dem OAuth-Zustimmungsbildschirm, z. B. App-Name, Support-E-Mail-Adresse, Startseiten-URI und Datenschutzerklärung-URI, die Identität der App korrekt darstellen.

Anforderungen an die Startseite der Anwendung

Ihre Startseite muss die folgenden Anforderungen erfüllen:

  • Ihre Startseite muss öffentlich zugänglich sein und darf nicht nur für angemeldete Nutzer Ihrer Website verfügbar sein.
  • Die Relevanz Ihrer Startseite für die zu überprüfende App muss klar erkennbar sein.
  • Links zum Eintrag Ihrer App im Google Play Store oder zur Facebook-Seite Ihrer App gelten nicht als gültige Startseiten für Anwendungen.

Anforderungen an den Link zur Datenschutzerklärung der Anwendung

Die Datenschutzerklärung Ihrer App muss die folgenden Anforderungen erfüllen:

  • Die Datenschutzerklärung muss für Nutzer sichtbar sein, auf derselben Domain wie die Startseite Ihrer Anwendung gehostet werden und auf dem OAuth-Zustimmungsbildschirm der Google API Consoleverlinkt sein. Die Startseite muss eine Beschreibung der Funktionen der App sowie Links zur Datenschutzerklärung und zu den optionalen Nutzungsbedingungen enthalten.
  • In der Datenschutzerklärung muss offengelegt werden, wie Ihre Anwendung auf Google-Nutzerdaten zugreift, diese verwendet, speichert oder weitergibt. Sie müssen die Verwendung von Google-Nutzerdaten auf die in Ihrer veröffentlichten Datenschutzerklärung beschriebenen Praktiken beschränken.

Anwendung zur Überprüfung einreichen

In einem Google Cloud Console Projekt werden alle Ihre Cloud Console Ressourcen organisiert. Ein Projekt umfasst mehrere zugehörige Google-Konten, die die Berechtigung haben, Projektvorgänge auszuführen, mehrere aktivierte APIs sowie Abrechnungs-, Authentifizierungs- und Überwachungseinstellungen für diese APIs. Ein Projekt kann beispielsweise einen oder mehrere OAuth-Clients enthalten, APIs für die Verwendung durch diese Clients konfigurieren und einen OAuth-Zustimmungsbildschirm konfigurieren, der Nutzern angezeigt wird, bevor sie den Zugriff auf Ihre App autorisieren.

Wenn einer Ihrer OAuth-Clients nicht für die Produktion bereit ist, empfehlen wir, ihn aus dem Projekt zu löschen, für das die Überprüfung angefordert wird. Dies ist in den Clients pagemöglich.

So reichen Sie einen Antrag auf Bestätigung ein:

  1. Achten Sie darauf, dass Ihre App den Nutzungsbedingungen für Google APIs und der Nutzerdatenrichtlinie für Google API-Dienste entspricht.
  2. Halten Sie die Inhaber- und Bearbeiterrollen der zugehörigen Konten Ihres Projekts sowie die E-Mail-Adresse für den Nutzersupport und die Kontaktdaten des Entwicklers Ihres OAuth-Zustimmungsbildschirms in Ihrer Cloud Consoleauf dem neuesten Stand. So wird sichergestellt, dass die richtigen Mitglieder Ihres Teams über neue Anforderungen benachrichtigt werden.
  3. Rufen Sie das OAuth-Überprüfungscenter Cloud Consoleauf.
  4. Klicken Sie auf die Schaltfläche Projektauswahl.

  5. Wählen Sie im angezeigten Dialogfeld Auswählen aus Ihr Projekt aus. Wenn Sie Ihr Projekt nicht finden, aber die Projekt-ID kennen, können Sie eine URL in Ihrem Browser im folgenden Format erstellen:

    https://console.developers.google.com/auth/branding?project=[PROJECT_ID]

    Ersetzen Sie [PROJECT_ID] durch die Projekt-ID, die Sie verwenden möchten.

  6. Klicken Sie auf die Schaltfläche App bearbeiten.
  7. Geben Sie die erforderlichen Informationen auf der Seite „OAuth-Zustimmungsbildschirm“ ein und wählen Sie dann die Schaltfläche Speichern und fortfahren aus.
  8. Klicken Sie auf die Schaltfläche Bereiche hinzufügen oder entfernen, um alle von Ihrer App angeforderten Bereiche anzugeben. Im Bereich Nicht vertrauliche Bereiche ist eine erste Gruppe von Bereichen vorab ausgefüllt, die für Google-Log-in erforderlich sind. Hinzugefügte Bereiche werden als nicht vertraulich klassifiziert, sensitive, or restricted.
  9. Geben Sie bis zu drei Links zu relevanter Dokumentation für ähnliche Funktionen in Ihrer App an.

  10. Geben Sie in den folgenden Schritten alle zusätzlichen Informationen an, die zu Ihrer App angefordert werden.

  11. Wenn für die von Ihnen angegebene App-Konfiguration eine Bestätigung erforderlich ist, können Sie die App zur Bestätigung einreichen. Füllen Sie die Pflichtfelder aus und klicken Sie dann auf Senden, um den Bestätigungsprozess zu starten.

Nachdem Sie Ihre App eingereicht haben, meldet sich das Trust & Safety-Team von Google per E-Mail mit allen zusätzlichen Informationen, die es benötigt, oder mit den Schritten, die Sie ausführen müssen. Prüfen Sie die E‑Mail-Adressen im Abschnitt Kontaktdaten des Entwicklers und die Support-E‑Mail-Adresse Ihres OAuth-Zustimmungsbildschirms auf Anfragen nach zusätzlichen Informationen. Sie können auch auf der Seite „OAuth-Zustimmungsbildschirm“ Ihres Projekts den aktuellen Überprüfungsstatus Ihres Projekts einsehen. Dort wird auch angezeigt, ob der Überprüfungsprozess pausiert ist, während wir auf Ihre Antwort warten.

Ausnahmen von den Überprüfungsanforderungen

Wenn Ihre App in einem der in den folgenden Abschnitten beschriebenen Szenarien verwendet wird, müssen Sie sie nicht zur Überprüfung einreichen.

Private Nutzung

Ein Anwendungsfall ist, wenn Sie der einzige Nutzer Ihrer App sind oder Ihre App nur von wenigen Nutzern verwendet wird, die Sie alle persönlich kennen. Sie und Ihre begrenzte Anzahl von Nutzern können den Bildschirm für nicht bestätigte Apps durchlaufen und Ihren privaten Konten Zugriff auf Ihre App gewähren.

Projekte, die in den Stufen „Entwicklung“, „Test“ oder „Staging“ verwendet werden

Damit Sie die Google OAuth 2.0-Richtlinien einhalten, empfehlen wir, verschiedene Projekte für Test- und Produktionsumgebungen zu verwenden. Wir empfehlen, Ihre App nur zur Überprüfung einzureichen, wenn Sie sie allen Nutzern mit einem Google-Konto zur Verfügung stellen möchten. Wenn sich Ihre App in der Entwicklungs-, Test- oder Staging-Phase befindet, ist keine Überprüfung erforderlich.

Wenn sich Ihre App in der Entwicklungs- oder Testphase befindet, können Sie den Veröffentlichungsstatus in der Standardeinstellung Test belassen. Diese Einstellung bedeutet, dass sich Ihre App noch in der Entwicklung befindet und nur für Nutzer verfügbar ist, die Sie der Liste der Testnutzer hinzufügen. Sie müssen die Liste der Google-Konten verwalten, die an der Entwicklung oder am Testen Ihrer App beteiligt sind.

Warnmeldung, dass Google eine App, die getestet wird, nicht überprüft hat.
Abbildung 2. Warnbildschirm für Tester

Nur dienstbezogene Daten

Wenn Ihre App über ein Dienstkonto nur auf ihre eigenen Daten zugreift und nicht auf Nutzerdaten (die mit einem Google-Konto verknüpft sind), müssen Sie sie nicht zur Überprüfung einreichen.

Informationen zu Dienstkonten finden Sie in der Google Cloud-Dokumentation unter Dienstkonten. Eine Anleitung zur Verwendung eines Dienstkontos finden Sie unter OAuth 2.0 für Server-zu-Server-Anwendungen verwenden.

Nur zur internen Verwendung

Das bedeutet, dass die App nur von Personen in Ihrer Google Workspace- oder Cloud Identity-Organisation verwendet wird. Das Projekt muss der Organisation gehören und der OAuth-Zustimmungsbildschirm muss für den internenNutzertyp konfiguriert sein. In diesem Fall muss Ihre App möglicherweise von einem Organisationsadministrator genehmigt werden. Weitere Informationen finden Sie unter Zusätzliche Überlegungen zu Google Workspace.

Domainweite Installation

Wenn Ihre App nur auf Nutzer einer Google Workspace- oder Cloud Identity-Organisation ausgerichtet ist und Sie immer die domainweite Installation verwenden, ist keine App-Überprüfung erforderlich. Das liegt daran, dass ein Domainadministrator bei einer domainweiten Installation Drittanbieter- und internen Anwendungen Zugriff auf die Daten Ihrer Nutzer gewähren kann. Nur Organisationsadministratoren können die App auf die Zulassungsliste für die Verwendung in ihren Domains setzen.

Weitere Informationen dazu, wie Sie Ihre App domainweit installieren, finden Sie in den FAQs. Meine Anwendung hat Nutzer mit Geschäftskonten aus einer anderen Google Workspace-Domain.