Apple Privacy Manifest

Was ist das Apple Datenschutzmanifest?

Apple verlangt für jede App in seinem App Store ein Privacy Manifest. Dabei handelt es sich um eine Datei, die dem Code der App hinzugefügt werden muss und die Art der erhobenen Daten sowie die Gründe für deren Erfassung festlegt. Xcode fasst diese Dateien in einem Bericht zusammen; anschließend werden die Informationen gescannt und in den Bereich für Datenschutzinformationen der App im App Store hochgeladen.

Sie können hier das offizielle Manifest lesen.

Das auf der Worldwide Developers’ Conference 2023 (WWDC23) vorgestellte Privacy Manifest ist Teil der laufenden Datenschutz-Initiativen von Apple. Diese zielen darauf ab, die Transparenz für User zu erhöhen und persönliche Daten zu schützen. Es stellt sicher, dass Entwickler ihre Datenerhebungspraktiken klar offenlegen – insbesondere im Hinblick auf Third-party SDKs, die in eine App eingebettet sind.

Vor der Einführung dieser Anforderung wussten App-Entwickler oft nicht genau, welche Daten ihre Third-party SDKs sammelten oder wofür diese verwendet wurden.

Warum hat Apple das Privacy Manifest eingeführt?

Im Jahr 2022 kündigte Apple die Privacy Nutrition Labels an. Diese verpflichteten Apps dazu, Informationen über ihre Datenschutzpraktiken für einen durchschnittlichen User bereitzustellen.

Privacy Manifeste sind die nächste Evolutionsstufe dieser Nutrition Labels und bieten Usern noch detailliertere Informationen darüber, wie ihre Daten gesammelt und verwendet werden. Da alle Anwendungen – einschließlich der mit Ihrer App verbundenen Third-party Apps und Plugins – eigene Privacy Manifeste haben, vereinfacht Apple den Prozess: Sie können diese zu einem einzigen Manifest für Ihre App zusammenfassen (Roll-up).

Die Privacy Manifeste verpflichten Entwickler dazu, ihre Datennutzung und den API-Zugriff offenzulegen. Dies stärkt die Transparenz und verhindert den Missbrauch von Geräte-APIs für nicht autorisierte Zwecke wie Fingerprinting. Indem Entwickler gezwungen werden, ihre Datennutzung zu deklarieren, wird API-Missbrauch unterbunden, was letztendlich SKAdNetwork als primäres Attribution-Tool für Werbetreibende etabliert.

Was sind die Hauptfunktionen eines Apple Privacy Manifests?

Ab iOS 17 muss jede neue oder aktualisierte App die folgenden Informationen enthalten:

Datennutzung: NSPrivacyTracking

Dies ist ein Key (Schlüssel), der angibt, ob die App um Erlaubnis fragt, User über Apps und Websites anderer Unternehmen hinweg zu tracken. Er basiert auf Apples App Tracking Transparency (ATT) Framework, das vorschreibt, dass Apps die Zustimmung (Consent) der User einholen müssen, bevor Tracking-Aktivitäten stattfinden.

Externe Domains: NSPrivacyTrackingDomains

Alle externen Domains, die von der App oder einem Third-party SDK genutzt werden, müssen im Privacy Manifest aufgeführt werden, um Transparenz über potenzielles Tracking zu gewährleisten. Domains, die nicht den neuesten Datenschutzregeln und ATT-Anforderungen von Apple entsprechen, können von Apple blockiert werden, sofern der User dem Tracking nicht explizit zugestimmt hat (Opt-in).

Nutrition Labels: NSPrivacyCollectedDataTypes

Diese Labels listen die Arten von Daten auf, die Ihre App oder ein Third-party SDK über User sammelt, sowie die Gründe für die Erfassung. Entwickler können Xcode nutzen, um einfach einen Datenschutzbericht zu erstellen, der eine Zusammenfassung der von der App und allen verknüpften Third-party SDKs gesammelten Daten liefert.

Jeder Eintrag unter NSPrivacyCollectedDataTypes enthält:

• Die Art der erhobenen Daten
• Angabe, ob die Daten mit dem User verknüpft sind
• Angabe, ob die Daten den User tracken
• Gründe für die Datenerhebung

Beispiel: Erfassung von Kontaktinformationen (laut offizieller Apple-Dokumentation)

Erforderliche Gründe API: NSPrivacyAccessedAPITypes

Fingerprinting ist strikt untersagt – selbst wenn ein User dem Tracking explizit zugestimmt hat. Diese Regelung unterbindet Fingerprinting sowohl in Ihrem eigenen Code als auch innerhalb von Third-party SDKs.

So erstellen und implementieren Sie ein Apple Privacy Manifest

Nachdem Sie nun die einzelnen Bestandteile des Apple Privacy Manifests kennen, folgt hier eine Schritt-für-Schritt-Anleitung zur Erstellung Ihrer eigenen Datei:

Schritt 1: Öffnen Sie Xcode.

Schritt 2: Wählen Sie File > New File.

Schritt 3: Scrollen Sie nach unten zum Bereich „Resource“ und wählen Sie den Dateityp App Privacy aus.

Schritt 4: Klicken Sie auf Next.

Schritt 5: Markieren Sie das entsprechende Target Ihrer App oder Ihres Third-party SDKs in der Liste.

Schritt 6: Klicken Sie auf Create.

Hinweis: Die Datei wird automatisch mit dem Namen PrivacyInfo.xcprivacy erstellt. Dies ist der zwingend erforderliche Dateiname für gebündelte Privacy Manifeste. Damit Xcode einen Datenschutzbericht generieren kann, müssen Sie die Datei zudem den Ressourcen Ihres Targets hinzufügen.

Sobald die Datei erstellt wurde, fügen Sie die folgenden Keys (Schlüssel) in das Dictionary auf der obersten Ebene dieser Property-List-Datei ein:

• NSPrivacyTracking
• NSPrivacyTrackingDomains
• NSPrivacyCollectedDataTypes
• NSPrivacyAccessedAPITypes

Das Wichtigste auf einen Blick

• Pflichtdokument für alle: Das Apple Privacy Manifest ist für alle Apps im App Store obligatorisch. Es dokumentiert präzise, welche Daten gesammelt werden und wie diese verwendet werden.
• Transparenz & Schutz: Es ist die konsequente Weiterentwicklung der Privacy Nutrition Labels. Ziel ist es, die Transparenz für User zu erhöhen, Fingerprinting zu unterbinden und SKAdNetwork als Standard-Attribution-Tool zu festigen.
• Zentrale Komponenten: Zu den wichtigsten Inhalten gehören die Deklaration von Tracking-Berechtigungen (NSPrivacyTracking) und die Auflistung externer Domains (NSPrivacyTrackingDomains).
• Compliance-Check: Entwickler müssen sowohl die Datentypen (NSPrivacyCollectedDataTypes) als auch die genutzten APIs (NSPrivacyAccessedAPITypes) offenlegen, um den Richtlinien von Apple zu entsprechen.
• Einfache Umsetzung: Der Prozess in Xcode ist geradlinig und ermöglicht es Entwicklern, die Datenschutzstandards von Apple effizient zu erfüllen.