Zusammenfassung
- Wir möchten, dass Sie im Rahmen unseres Bug-Bounty-Programms Themen Sicherheitslücken auf koordinierte Weise offenlegen, und wollen vermeiden, dass Forscher wegen ihrer Versuche, unsere Bug-Bounty-Richtlinie einzuhalten, rechtliche Konsequenzen fürchten müssen. Wir können Dritte nicht binden. Gehen Sie daher nicht davon aus, dass sich dieser Schutz auf Dritte erstreckt. Fragen Sie uns im Zweifelsfall, bevor Sie eine bestimmte Aktion durchführen, von der Sie denken, dass sie außerhalb der Grenzen unserer Richtlinien liegen könnte.
- Da sowohl personenbezogene als auch nicht personenbezogene Daten einen Forscher gefährden können, geben wir Inhalte an Dritte nur in beschränktem Umfang weiter. Gegebenenfalls geben wir nicht personenbezogene wesentliche Informationen aus Ihrem Bericht an betroffene Dritte weiter, jedoch nur, nachdem wir Sie darüber informiert und uns verpflichtet haben, dass diese Dritten keine rechtlichen Schritte gegen Sie einleiten werden. Wir geben personenbezogene Daten (Name, E-Mail-Adresse, Telefonnummer usw.) nur mit Ihrer schriftlichen Zustimmung an Dritte weiter.
- Wenn Ihre Sicherheitsforschung im Rahmen des Bug-Bounty-Programms gegen bestimmte Einschränkungen unserer Standortregeln verstößt, erlauben die Safe-Harbor-Bedingungen eine begrenzte Ausnahme.
1. Safe-Harbor-Bedingungen
Um die Erforschung und koordinierte Offenlegung von Sicherheitslücken zu fördern, werden wir wegen unbeabsichtigter oder gutgläubiger Verstöße gegen diese Richtlinie keine zivil- oder strafrechtlichen Schritte unternehmen und keine Strafverfolgung einleiten. Wir betrachten Aktivitäten im Bereich der Sicherheitsforschung und Aufdeckung von Schwachstellen, die im Einklang mit dieser Richtlinie durchgeführt werden, als „autorisiertes” Verhalten gemäß dem Computer Fraud and Abuse Act, dem Digital Millennium Copyright Act (DMCA) und anderen anwendbaren Gesetzen für die Nutzung von Computern wie dem Cal. Penal Code 502(c). Wir verzichten auf jeden potenziellen Anspruch im Sinne des Digital Millennium Copyright Act gegen Sie, der darauf begründet sein könnte, dass Sie die technologischen Maßnahmen, die wir zum Schutz der Anwendungen im Rahmen dieses Bug-Bounty-Programms eingesetzt haben, umgehen.
Wenn Ihre Sicherheitsforschung die Netzwerke, Systeme, Informationen, Anwendungen, Produkte oder Dienstleistungen eines Dritten betrifft, seien Sie sich darüber bewusst, dass wir solche Dritten nicht an unsere Bestimmungen binden können, und solche Dritten gegebenenfalls rechtliche Schritte einleiten oder Hinweise an die Strafverfolgungsbehörden geben können. Wir können und werden keine Sicherheitsforschung im Namen anderer juristischer Personen genehmigen und können Sie in keiner Weise verteidigen, freistellen oder anderweitig vor Handlungen Dritter schützen, die durch Ihre Handlungen verursacht wurden.
Von Ihnen wird wie immer erwartet, dass Sie alle für Sie geltenden Gesetze einhalten und keine Daten stören oder gefährden, die über das hinausgehen, was dieses Bug-Bounty-Programm erlaubt.
Bitte wenden Sie sich zunächst an uns, bevor Sie eine Aktivität durchführen, die mit dieser Richtlinie unvereinbar ist oder darin nicht thematisiert wird. Wir behalten uns das alleinige Recht vor, zu entscheiden, ob ein Verstoß gegen diese Richtlinie versehentlich oder in gutem Glauben begangen wurde, und eine proaktive Kontaktaufnahme mit uns, bevor wir Maßnahmen ergreifen, spielt bei dieser Entscheidung eine wesentliche Rolle. Fragen Sie im Zweifelsfall nach!
2. Safe-Harbor-Verfahren in Bezug auf Dritte
Wenn Sie einen Bericht über unser Bug-Bounty-Programm einreichen, der einen Drittanbieter-Dienst betrifft, werden wir die Weitergabe von Informationen an betroffene Drittanbieter einschränken. Wir können nicht personenbezogene Inhalte aus Ihrem Bericht an einen betroffenen Dritten weitergeben, jedoch erst, nachdem wir Sie darüber informiert haben und der Dritte sich schriftlich verpflichtet hat, auf der Grundlage Ihres Berichts keine rechtlichen Schritte gegen Sie einzuleiten oder Kontakt mit den Strafverfolgungsbehörden aufzunehmen. Wir geben Ihre personenbezogenen Daten nicht an betroffene Dritte weiter, ohne vorher Ihre schriftliche Zustimmung einzuholen.
Bitte beachten Sie, dass wir keine außerplanmäßigen Tests im Namen Dritter zulassen können und diese Tests den Rahmen unserer Richtlinien sprengen. Ziehen Sie die Bug-Bounty-Richtlinie des jeweiligen Drittanbieters zu Rate, wenn er über eine solche verfügt, oder wenden Sie sich direkt oder über einen rechtlichen Vertreter an den Drittanbieter, bevor Sie Tests in Bezug auf diesen Drittanbieter oder seine Dienste durchführen. Dies stellt keine Zustimmung unsererseits dar, Sie hinsichtlich Klagen Dritter, die auf Ihren Handlungen beruhen, zu verteidigen, freizustellen oder in sonstiger Weise zu schützen, und darf nicht als eine solche Zustimmung verstanden werden.
Wenn ein Dritter, einschließlich der Strafverfolgungsbehörden, aufgrund Ihrer Teilnahme an diesem Bug-Bounty-Programm rechtliche Schritte gegen Sie einleitet, Sie unsere Bug-Bounty-Richtlinie jedoch ausreichend befolgt haben (d. h. keine vorsätzlichen oder böswilligen Verstöße begangen haben), so werden wir Schritte unternehmen, um bekanntzumachen, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden. Obwohl wir die eingereichten Berichte sowohl als vertrauliche als auch als potenziell rechtlich geschützte Dokumente betrachten, die in den meisten Fällen vor einer erzwungenen Offenlegung geschützt sind, beachten Sie bitte, dass ein Gericht uns trotz unserer Einwände anweisen könnte, Daten an Dritte weiterzugeben.
3. Eingeschränkte Verzichtserklärung in Bezug auf andere Standortrichtlinien
Soweit Ihre Sicherheitsforschungsaktivitäten mit bestimmten Einschränkungen in unseren jeweiligen Standortrichtlinien unvereinbar sind, aber im Einklang mit den Bestimmungen unseres Bug-Bounty-Programms stehen, verzichten wir auf diese Einschränkungen, um Ihre Sicherheitsforschung im Rahmen dieses Bug-Bounty-Programms zu ermöglichen. Wie oben gilt: Fragen Sie im Zweifelsfall nach!