Im Mittelpunkt der neuen Play-Richtlinien stehen zwei Berechtigungen. Beim Zugriff auf Kontakte soll der neue Contact Picker zur Hauptmethode werden: Nutzer gewähren Apps damit nur Zugriff auf die konkret ausgewählten Kontakte. Laut Google entspricht das dem Anspruch von Android auf Datentransparenz und einen möglichst kleinen Berechtigungsumfang. Die bisherige Berechtigung READ_CONTACTS, die Apps das Auslesen sämtlicher Kontakte ermöglichte, bleibt nur noch Anwendungen vorbehalten, die ohne sie nicht funktionieren.
Künftig müssen alle betroffenen Apps den Picker oder das Android Sharesheet als Hauptweg zum Kontaktzugriff nutzen. Wer Android 17 — derzeit in der Beta-Phase — oder neuere Versionen anvisiert, soll die Berechtigung READ_CONTACTS am besten ganz aus dem App-Manifest entfernen. Benötigt eine App weiterhin vollen, dauerhaften Zugriff auf die Kontaktliste, muss der Bedarf über eine Play Developer Declaration in der Play Console begründet werden.
Die zweite Änderung betrifft einen vereinfachten Standort-Button in Android 17, über den Apps einmaligen Zugriff auf den genauen Standort anfordern können. So sollen Nutzer besser entscheiden können, wie viele Informationen sie für welchen Zeitraum preisgeben. Zusätzlich erscheint künftig eine dauerhafte Anzeige, sobald eine Nicht-System-App auf den Standort zugreift. Entwickler sollen prüfen, ob ihre Apps wirklich nur die nötigste Menge an Standortdaten anfordern.
Für punktuelle, vorübergehende Standortabfragen empfiehlt Google das Flag onlyForLocationButton im Manifest. Apps, die dauerhaften, präzisen Standortzugriff benötigen, müssen ebenfalls eine Play Developer Declaration einreichen. Das entsprechende Formular soll vor Oktober 2026 verfügbar sein; Vorabprüfungen in der Play Console zur Erkennung möglicher Verstöße sollen ab dem 27. Oktober starten.
Gegen Betrug richtet sich eine weitere Neuerung: eine in die Play Console integrierte Funktion zur sicheren Übertragung von App-Eigentum zwischen Unternehmen. Ab dem 27. Mai 2026 empfiehlt Google, Eigentümerwechsel über diese Funktion abzuwickeln. Inoffizielle Übertragungen — etwa das Teilen von Zugangsdaten oder der Kauf und Verkauf von Konten auf Drittanbieter-Marktplätzen — seien nicht zulässig, da sie Unternehmen angreifbar machten.
Parallel meldet Google Zahlen zur Werbemoderation. Mehr als 99 Prozent der gegen Richtlinien verstoßenden Anzeigen seien 2025 erkannt worden, bevor sie Nutzer sahen. Laut Keerat Sharma, Vice President und General Manager für Ads Privacy and Safety, verstehen die neuen Modelle anders als frühere schlüsselwortbasierte Systeme die Absicht hinter Inhalten besser und könnten schädliche Werbung selbst dann vorab blockieren, wenn sie auf Tarnung ausgelegt ist.
Insgesamt entfernte oder blockierte der Konzern 602 Millionen Anzeigen und 4 Millionen Konten im Zusammenhang mit Betrug. Mehr als 4,8 Milliarden Anzeigen wurden eingeschränkt, und gegen über 480 Millionen Webseiten ging Google vor, weil sie unter anderem sexuell explizite Inhalte, Waffenwerbung, Glücksspiel, Alkohol, Tabak oder Malware verbreiteten. Zum Vergleich: 2024 sperrte Google mehr als 39,2 Millionen Werbekonten, stoppte 5,1 Milliarden schädliche Anzeigen und schränkte 9,1 Milliarden Anzeigen ein. Bis Ende des vergangenen Jahres sei die Mehrheit der in Google Ads erstellten Responsive Search Ads sofort geprüft worden.
