Kriterien für vertrauenswürdige Apps

Karikatur: Eine Hand hält ein Tablet mit Apps in Form von Bonbons auf dem Bildschirm.

Sie haben eine App programmiert und wundern sich, warum so wenige Leute sie benutzen, obwohl sie kostenlos ist? Das könnte daran liegen, dass die Leute Ihrer App nicht vertrauen. Das können Sie ändern! Dafür haben wir die folgende Checkliste mit den wichtigsten Punkten zusammengestellt. (Wir konzentrieren uns auf Android-Apps, weil wir bei iOS-Apps nicht sooo gut helfen können – da müssen Hersteller genauso wie die Kundschaft auf Apple vertrauen. Dennoch gelten die folgenden Punkte für iOS sinngemäß.)

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Kriterien

Eine vertrauenswürdige App hat mindestens folgende Eigenschaften:

  1. Sie ist quelloffen. Der Quellcode wird also fortlaufend veröffentlicht. Nur so kann von unabhängiger Seite mit vertretbarem Aufwand geprüft werden, was die App tut und was nicht. Auch Abhängigkeiten von unfreien Komponenten, wie z. B. den Play-Diensten von Google sollten vermieden werden. Mindestens sollte es alternativ eine Variante der App geben, die gänzlich frei ist.

  2. Sie ist reproduzierbar. In den meisten Fällen wird Software nicht in Form von Quellcode, sondern als Installationspaket oder ausführbare Datei verteilt. Damit von unabhängiger Seite mit vertretbarem Aufwand nachgeprüft werden kann, dass ein Installationspaket oder eine ausführbare Datei aus dem veröffentlichten Quellcode gebaut wurde, muss dieser Bauprozess reproduzierbar sein. Das heißt: Für einen gegebenen Quellcode wird beim Bauen immer dieselbe ausführbare Datei erzeugt. Die selbstgebaute App kann dann leicht mit der verglichen werden, die in App-Stores und auf anderen Websites zum Download angeboten wird. Das ist heute Stand der Technik.

  3. Sie enthält keine Tracker. Apps, die nicht quelloffen sind, enthalten oft Tracker. Das ist Schadsoftware, die Informationen aus der App an Websites ausleitet. Wir nennen Sie Schadsoftware, weil sie nicht im Interesse der User agiert. Ob eine Android-App Tracker enthält, kann man bei Exodus Privacy prüfen. Auch ein Tracker, der „nur“ zum Zählen von Usern Daten an Google Analytics meldet, wäre eine Schadsoftware.

  4. Sie arbeitet möglichst datensparsam. Nicht nur Tracker sind ein Problem für die Privatsphäre. Es ist leider auch nicht unüblich, dass Apps Daten auf dem Gerät erheben, die sie für die ihre eigentlich Aufgabe gar nicht benötigen. Aufmerksam sollte man werden, wenn Berechtigungen abgefragt werden, die nicht zur beworbenen Funktionalität der App passen. Entwickler.innen sollten daher darauf achten, dass nur absolut notwendige Daten erhoben werden. Auf Berechtigungen, die technisch nicht zwingend notwendig sind, sollte verzichtet werden. Weniger Neugier schafft Vertrauen.

  5. Sie zwingt nicht zur Benutzung eines bestimmten App-Stores. Die Nutzung des Google-Play-Stores ist an Geschäftsbedingungen gebunden, die der informationellen Selbstbestimmung widersprechen, und auch technisch hat Google damit mehr Kontrolle über Android-Telefone als nötig. Deshalb bevorzugen gut informierte User andere Wege, Apps zu installieren, z.B. F-Droid. Versuchen Sie, Ihre App in F-Droid unterzubringen! Bis dahin können Sie Ihre App in einem mit F-Droid kompatiblen Repository auf Ihrer Website bereitstellen. Oder bieten Sie wenigstens die APK-Datei auf Ihrer Website zum Download an.

  6. Kein Registrierungszwang. Ihre App verlangt von Nutzerinnen und Nutzern nicht, dass sie einen Account anlegen müssen. Bei Apps, die Funktionen beinhalten, wo ein Account unerlässlich ist (zum Beispiel, wenn Daten auf unterschiedlichen Geräten genutzt werden sollen), ist nur dieser Teil von einem Login abhängig. Der Rest der App funktioniert ohne. Geräte haben genügend Rechenpower, so dass alle Berechnungen auf dem Gerät selbst und nicht in der Cloud ausgeführt werden können.

  7. Sie hält sich an geltendes Recht. Das sollte selbstverständlich sein, ist es aber zur Zeit nicht. Wenn eine App auch von Bürger.innen der EU genutzt wird, muss sie sich zum Beispiel an die DSGVO halten (Marktortprinzip). Wie das zu erreichen ist, beschreibt die Website gdpr4devs in einfachem Englisch.

Suchen Sie nach Apps für Ihr Android-Smartphone, die mit gutem Beispiel voran gehen? Dann schauen Sie sich unseren Artikel zum alternativen App-Store F-Droid und freien Apps an.

Diese Kriterien gelten für alle Apps. Besonders bei Apps, die Kontakt zum Internet aufnehmen, ist die Einhaltung dieser Kriterien wichtig. Denn bei jeder Datenübertragung via Internet werden prinzipbedingt personenbezogene Daten übertragen, nämlich mindestens die IP-Adresse.

Siehe auch

  • Speziell für Messenger-Apps haben wir eine eigene Kriterienliste erarbeitet.

  • Für Apps, die besonders sensible Daten verarbeiten, gelten noch strengere Kriterien, z. B. für Gesundheits-Apps. Für Corona-Tracing-Apps haben wir und der CCC schon früher Kriterien aufgestellt.

  • Das Sane software manifesto gibt weitere Tipps für die Entwicklung grundrechtewahrender Software.

  • Interview von Radio Corax mit Christian Pietsch von unserer AG Digitale Selbstverteidigung über diese Kriterien für vertrauenswürdige Apps.

Veröffentlicht am 11.03.2021

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld