Googles offener Brief zur Pflichtregistrierung von Entwicklern für die App-Verteilung

 (keepandroidopen.org)
2 Punkte von GN⁺ 2026-02-25 | 1 Kommentare | Auf WhatsApp teilen
  • 38 zivilgesellschaftliche Organisationen, Non-Profit-Organisationen und Technologieunternehmen aus aller Welt haben ihre Ablehnung von Googles Pflicht zur Entwicklerregistrierung für die externe Verteilung von Android-Apps erklärt
  • Sie weisen darauf hin, dass Android bereits auf Betriebssystemebene, mit App-Signaturen und Play Protect über verschiedene Schutzmechanismen verfügt
  • Ein zentrales Registrierungssystem bedrohe Innovation und Wettbewerb, Privatsphäre und die Freiheit der Nutzer und schaffe eine Struktur, in der Google die gesamte App-Verteilung kontrollieren könne, so die Kritik
  • Zudem warnen sie, dass diese Richtlinie die Eintrittshürden für kleine Entwickler, Open-Source-Projekte, Entwickler in sanktionierten Ländern und Menschenrechtsaktivisten erhöhe
  • Die unterzeichnenden Organisationen fordern von Google die Rücknahme der Richtlinie, die Wiederherstellung von Offenheit und Neutralität sowie eine transparente Abstimmung mit der Community

Hintergrund des Widerstands gegen die Richtlinie

  • Google plant, künftig für alle Entwickler, die Apps außerhalb des Play Store vertreiben wollen, eine zentrale Registrierung vorzuschreiben
    • Der Registrierungsprozess umfasst die Einreichung eines Ausweisdokuments, die Zustimmung zu den Nutzungsbedingungen und die Zahlung einer Gebühr
  • Die unterzeichnenden Organisationen weisen darauf hin, dass diese Maßnahme Googles Gatekeeping-Befugnisse auf Bereiche ausweite, die nichts mit Google-Diensten zu tun hätten
    • Sie warnen, dass Google damit die Befugnis erhalten könnte, Apps weltweit nach Belieben zu deaktivieren

Eintrittshürden und Hemmnisse für Innovation

  • Die Registrierungspflicht wirkt sich nachteilig auf Einzelentwickler, kleine Teams und Open-Source-Projekte aus
    • Viele Fälle seien schwer registrierbar, etwa wegen fehlender Ressourcen, eingeschränktem Zugang zu Infrastruktur oder Wohnsitz in sanktionierten Ländern
  • Auch datenschutzorientierte Entwickler, Menschenrechtsaktivisten und Notfallorganisationen würden Risiken ausgesetzt
  • Diese administrative Belastung könne zu geringerer Softwarevielfalt und einer stärkeren Konzentration auf große Unternehmen führen

Bedenken zu personenbezogenen Daten und Überwachung

  • Googles Registrierungssystem würde eine Datenbank personenbezogener Daten aller Android-Entwickler schaffen
    • Es werden Bedenken hinsichtlich der Speicherung und Nutzung der erhobenen Informationen sowie des Umgangs mit staatlichen Anfragen geäußert
  • Für jene, die datenschutzschützende oder politisch sensible Apps entwickeln, entstehe ein unnötiges Überwachungsrisiko

Risiko willkürlicher Durchsetzung und Kontosperrungen

  • Googles bestehendes App-Prüfsystem steht seit Langem wegen intransparenter Entscheidungen und begrenzter Einspruchsmöglichkeiten in der Kritik
    • Genannt werden Probleme wie automatisierte Entscheidungen, Sperrungen ohne klare Begründung und die mögliche Einflussnahme politischer oder wettbewerblicher Faktoren
  • Eine Struktur, in der ein einzelnes Unternehmen sämtliche Vertriebsrechte kontrolliert, widerspreche einem gesunden Wettbewerbsökosystem

Einschränkung des Wettbewerbs und regulatorische Fragen

  • Durch die Registrierung könnte Google sämtliche Trends in der App-Entwicklung und die Strategien von Wettbewerbern erfassen
    • Dies könne zu Informationsasymmetrien im Markt führen und das Risiko erhöhen, konkurrierende Produkte vorab zu blockieren oder zu kopieren
  • Regulierungsbehörden in der Europäischen Union, den USA und anderen Regionen untersuchen bereits Plattformmonopole und die Bevorzugung eigener Dienste,
    und die unterzeichnenden Organisationen betonen, dass Google Offenheit und Interoperabilität wahren müsse

Ausreichende bestehende Sicherheitsmechanismen

  • Android verfügt bereits über Sicherheitsfunktionen wie Sandboxing, Berechtigungssysteme, Signaturprüfung und Warnhinweise beim Sideloading
  • Diese Mechanismen hätten die Nutzer seit 17 Jahren geschützt,
    und wenn Google tatsächlich Sicherheitsbedenken habe, müsse es sich auf die Stärkung der bestehenden Mechanismen konzentrieren, so das Argument

Gemeinsame Forderungen

  • Sofortige Rücknahme der Pflicht zur Entwicklerregistrierung für Drittanbieter-Vertrieb
  • Transparente Konsultationen mit Zivilgesellschaft, Entwicklern und Regulierungsbehörden
  • Gewährleistung von Plattformneutralität, um Googles kommerzielle Interessen vom Plattformbetrieb zu trennen
  • Wiederherstellung der Offenheit von Android und Schutz von freier Software und digitaler Souveränität

Unterzeichnende Organisationen

  • EFF, FSF, FSFE, F-Droid, Nextcloud, Proton, Vivaldi, Tor Project und 38 weitere Organisationen sind beteiligt
  • Sie fordern, dass Google das Programm zur Entwicklerverifizierung einstellt
    und gemeinsam nach einem Gleichgewicht zwischen Sicherheit und Offenheit sucht

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-02-25
Hacker-News-Kommentare

  • Der umstrittenste Teil dieses Briefs ist die Behauptung „Existing Measures Are Sufficient“ (bestehende Maßnahmen seien ausreichend)
    Google hat in seiner Ankündigung vom November 2025 im offiziellen Blog den Angriffsvektor klar beschrieben
    Zum Beispiel rufen in Südostasien Betrüger ihre Opfer an, behaupten, „das Bankkonto wurde gehackt“, schüren Angst und drängen sie dazu, eine Sicherheits-„Verifizierungs-App“ zu installieren. Diese App ist in Wirklichkeit Malware, fängt Benachrichtigungen ab, stiehlt 2FA-Codes und räumt dann das Konto leer
    Google argumentiert, dass zur Verhinderung solcher Angriffe eine Identitätsprüfung von Entwicklern nötig sei. Ohne Identitätsnachweis wiederhole sich nur ein endloses „Whac-A-Mole“-Spiel, bei dem ständig neue Schad-Apps erstellt werden
    Ich finde eine Registrierungspflicht zwar auch überzogen, aber statt einfach zu sagen „so wie jetzt ist es in Ordnung“ brauchen wir meiner Meinung nach bessere Alternativen. Denkbar wären etwa Kompromisse wie eine Registrierungspflicht nur für sensible Berechtigungen wie das Abfangen von Benachrichtigungen oder SMS, oder teure Zertifikate für Entwickler, die sich nicht registrieren

    • Ich verstehe nicht, warum die Community anders reagieren sollte. Die Welt ist von Natur aus nicht sicher, und vollständige Sicherheit ist nur um den Preis verlorener Freiheit möglich
      Menschen sollten auch die Freiheit haben, selbst schlechte Entscheidungen zu treffen. Wenn jemand einem Betrüger am Telefon glaubt und eine App installiert, ist das kein Angriffsvektor, sondern eine persönliche Entscheidung. Nutzer deshalb daran zu hindern, Apps auf ihren eigenen Geräten zu installieren, ist nicht anders, als würde eine Bank sagen: „Abhebungen sind verboten, weil du das Geld ja in einer Bar ausgeben könntest“
    • Ich bin der Verfasser dieses Briefs und koordiniere die Unterzeichner. Ich sage nicht, dass „alles in Ordnung“ sei, sondern weise darauf hin, dass Android auf neue Bedrohungsmodelle bereits mit schrittweiser Härtung der Sicherheit reagiert hat
      Zum Beispiel blockieren die Restricted Settings von Android 13–14 Betrugsmaschen, bei denen per Telefon zur Installation einer APK verleitet wird, und der Enhanced Confirmation Mode von Android 15 verhindert bösartige Apps, die Systemeinstellungen manipulieren wollen
      Diese Funktionen wirken bereits, und dass Google nun plötzlich alles verriegeln will, ist ein Bruch mit der bisherigen Richtung. Malware gab es schon immer, auch im Play Store. Es gibt zu wenig Grundlage, um die jetzige extreme Maßnahme zu rechtfertigen
    • Eine Entwicklerregistrierung ist keine Lösung für das Problem. Gestohlene Ausweise sind billig zu bekommen, und Kriminelle können dutzende neue Apps pro Tag hochladen
      Das eigentliche Problem sind mangelnde technische Bildung, die Vertrauensseligkeit vieler Menschen, fehlende Ermittlungsfähigkeit und dass einige Staaten Betrugsorganisationen gewähren lassen
      Meine Banking-App startet nicht, wenn ein Anruf läuft oder Fernsteuerung aktiv ist. Auf gerooteten Geräten gibt es aber keinen Ausweg. Letztlich ist es also Ausweichverhalten, wenn einzelne Länder einfach Google die Schuld geben
      Solche Einschränkungen werden in wenigen Tagen umgangen sein, und am Ende haben nur normale Nutzer mehr Unannehmlichkeiten
    • Wenn sich jemand dazu bringen lässt, Sicherheitswarnungen zu ignorieren, kann man diese Person genauso gut dazu bringen, 2FA-Codes direkt vorzulesen oder andere Phishing-Methoden zu nutzen
    • Es gibt keine perfekte Lösung für dieses Problem. Lässt man zu, dass Nutzer nicht verifizierte Apps installieren, besteht das Risiko bösartiger Apps; verhindert man es, wird die Freiheit der Nutzer eingeschränkt
      Man könnte auch einen komplizierten „Entsperr“-Prozess einführen, aber das käme letztlich ebenfalls darauf hinaus, dass normale Nutzer keine inoffiziellen Apps installieren können
      Das Betrugsproblem ist tatsächlich ernst, aber die vorgeschlagene Lösung wirkt wie eine schlimmere Therapie als die Krankheit

  • Ein Richter hat Google gesagt: „Apple ist nicht kartellrechtswidrig, weil es auf seiner Plattform keine Wettbewerber gibt“ (im Zusammenhang mit dem Epic-Verfahren)
    Google hat diese Aussage wörtlich genommen. Daher komme die aktuelle Richtlinie. Ich halte das für eine der schlimmsten jüngeren Gerichtsentscheidungen

    • Mit solchen Fragen sollte sich nicht ein Richter, sondern der Gesetzgeber befassen. Plattformen, auf die alle angewiesen sind, sollten wie Telekommunikation gesetzlich reguliert werden
      Ich halte den Ansatz der EU, Apple und Google als Gateway-Plattformen einzustufen, für deutlich besser. Der US-Kongress schafft es nicht, einen rechtlichen Rahmen für einen modernen Umgang damit zu schaffen
    • Ich erinnere mich, dass du denselben Kommentar schon vor ein paar Tagen geschrieben hast. Link zum früheren Kommentar
    • Kannst du genauer erklären, auf welches Urteil du dich beziehst? Mich interessiert, wie diese Schlussfolgerung zustande gekommen ist

  • Das Problem bei der Entwicklerregistrierung ist, dass Google und Regierungen dadurch die Befugnis zur App-Zensur bekommen
    Wenn eine Regierung verlangt, „VPN-Apps zu verbieten“, kann Google die Registrierungsanforderungen nutzen, um sie zu blockieren

    • Haben sie diese Befugnis nicht ohnehin schon?
    • Es ist sogar noch gravierender. Wenn Installationen nur noch über offizielle Wege möglich sind, kann Google nachverfolgen, wer welche Apps verwendet
      Zum Beispiel könnten Personen, die eine ICE-Tracking-App installieren, an die Regierung gemeldet und auf eine Terroristenliste gesetzt werden

  • Ein Registrierungssystem erzeugt nur Reibungskosten für tausende legitime Entwickler, während böswillige Akteure mit Tarnfirmen oder gestohlenen Ausweisen weiterhin zurückkehren werden
    Identitätsprüfung und Kriminalitätsbekämpfung sind zwei verschiedene Probleme

    • Tatsächlich ist diese Reibung nicht wegen der „Sicherheit“ da, sondern Absicht im Design. Google will kleine Entwickler verdrängen
      Schon jetzt zwingt Google einzelne Entwickler im Play Store dazu, ihren Klarnamen offenzulegen, stuft ihre Apps im Ranking herab und blendet Warnhinweise wie „Diese App wird nur selten installiert“ ein
      Letztlich ist das eine Strategie für ein Ökosystem mit Fokus auf Apps großer Unternehmen. So sinkt der Wartungsaufwand und der Umsatz steigt
    • Natürlich kann man nicht sagen, dass diese Reibung völlig wirkungslos wäre. Tausende Konten mit gestohlenen Ausweisen anzulegen ist schwierig, Malware-Varianten zu erstellen aber deutlich einfacher
      Ich weiß nicht, ob diese Abwägung sinnvoll ist, aber man kann sie auch nicht als völlig bedeutungslos abtun
    • Google schafft es nicht einmal, schädliche Apps im Play Store ordentlich auszusortieren. Dort gibt es weiterhin massenhaft Fake- und Spam-Apps

  • Ich würde Google gerne sagen: Räumt erst einmal die Malware im Play Store auf, bevor ihr über Sideloading diskutiert

  • Ein Verbot von Installationen außerhalb des Play Store wäre für Power-User katastrophal
    Ich habe Root zwar aufgegeben, aber Dinge wie Werbeblockierung über APKs gelöst. Wenn solche Apps blockiert werden, gibt es für mich keinen Grund mehr, Android zu nutzen

  • Diese Liste der Unterzeichner wirkt wie ein Verzeichnis der Gruppen, die Google loswerden möchte

    • Genau das ist es. Google interessiert sich nicht für die Zivilgesellschaft, sondern nur für die Stärkung der eigenen Macht
      Hoffentlich bringt diese Maßnahme mehr Menschen dazu, nach Alternativen zu Google zu suchen

  • Wenn Android und iOS beide geschlossen wären, würde ich jedes Mal iOS wählen
    Ich nutze Android wegen seiner Offenheit. Wenn die verschwindet, würde ich Apples geschliffene UX und das Ökosystem vorziehen

    • Ich werde seit einem Jahr gezwungen, iOS zu benutzen, und habe diese geschliffene UX oder das starke Ökosystem bis heute nicht gespürt

  • Ehrlich gesagt passt die Formulierung „unverhältnismäßige Auswirkungen auf marginalisierte Communities“ eher auf ältere Betrugsopfer in Entwicklungsländern als auf Hacker
    Diese Menschen verlieren häufig ihr Vermögen durch betrügerische Apps

  • Aus „Don’t be evil“ ist offenbar „Sei nur dann nicht böse, wenn du vorher einen staatlichen Ausweis registriert hast“ geworden
    Google hat vor Gericht die Offenheit von Android betont, um sich gegen Kartellverfahren zu verteidigen, schließt diese Tür nun aber selbst
    Als Begründung wird Sicherheit vorgeschoben, tatsächlich geht es aber nicht um „unkontrollierbare Entwickler“, sondern um Entwickler, die sich nicht monetarisieren lassen"