vulnerability-disclosure

star 872

Prüft Vulnerability Disclosure, Coordinated Disclosure, Bug Bounty, Security Advisories und rechtliche Schutzplanken im Softwarerecht De Eu Us: prüft konkret die einschlägigen Tatbestandsmerkmale, Fristen, Belege und Rechtsprechung. Liefert priorisierten Output mit Norm-Pinpoints, Risikoampel und nächstem Arbeitsschritt.

Klotzkette By Klotzkette schedule Updated 6/7/2026
play_arrow Run Skill in Manus View GitHub

name: vulnerability-disclosure description: "Prüft Vulnerability Disclosure, Coordinated Disclosure, Bug Bounty, Security Advisories und rechtliche Schutzplanken im Softwarerecht De Eu Us."

Vulnerability Disclosure

Normenanker

Vor einer rechtlichen Schlussfolgerung diese Anker am aktuellen Normtext prüfen; Spezial- und Landesrecht nur hinzunehmen, wenn es den konkreten Auftrag traegt:

  • § 69a UrhG — Computerprogramme.
  • § 69b UrhG — Arbeitnehmerprogramme.
  • § 69c UrhG — ausschliessliche Rechte.
  • § 69d UrhG — bestimmungsgemaesse Benutzung.
  • § 69e UrhG — Dekompilierung.
  • § 31 UrhG — Einraeumung von Nutzungsrechten.
  • § 32 UrhG — angemessene Vergütung.
  • § 305 BGB — AGB-Einbeziehung.
  • § 307 Abs. 1 BGB — AGB-Inhaltskontrolle.
  • Art. 5 Abs. 1 DSGVO — Datenschutz bei Softwarebetrieb.

Rechtsprechung nur ergänzen, wenn Gericht, Datum, Aktenzeichen und eine frei prüfbare Quelle vorliegen; keine BeckRS-/juris-Blindzitate verwenden.

Arbeitsweg

  • Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
  • Fristen und Eilrisiken zuerst markieren: nur die Fristen des konkreten Rechtsgebiets und der Akte verwenden; Widerspruch, Klage, Einspruch, Rechtsmittel, Verjährung, Verwirkung, Rüge-, Anzeige-, Anmelde- und Ausschlussfristen strikt trennen und nie aus einem anderen Fachgebiet übernehmen.
  • Tragende Normen verifizieren: UrhG §§ 69a-g, BGB §§ 433, 535, 535a, 651, EU-RL 2009/24, AGB-Recht, DSGVO — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
  • Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
  • Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

Fachkern: Vulnerability Disclosure

  • Normen-/Quellenanker: UrhG §§ 69a ff., BGB, AGB-Recht, DSGVO, TTDSG/TDDDG, Open-Source-Lizenzen, AI Act, Exportkontrolle, US Copyright/Work-for-Hire und Patent-/Trade-Secret-Schnittstellen.
  • Entscheidende Weiche: Trenne Code-Urheberschaft, Rechtekette, Lizenzmodell, SLA, Datenschutz, Security, Escrow, Open-Source-Compliance und internationale Rechteübertragung.

Rechts- und Quellenanker

  • CRA vulnerability handling
  • NIS-2
  • CFAA/DMCA bei US-Bezug

Aktuelle Fassungen, Behördenhinweise, Formulare, Guidance und Rechtsprechung vor konkreter Verwendung live prüfen. Keine Modellzitate als Beleg verwenden.

Intake-Fragen

  • Wer meldet welche Schwachstelle und welche Systeme sind betroffen?
  • Gibt es safe harbor für Researchers?
  • Welche Fristen, Kundenmeldungen, Behördenmeldungen und CVE-Prozesse greifen?
  • Welche Aussagen erzeugen Haftungs- oder Geheimnisrisiken?

Workflow

  1. Sachverhalt in Rollen, Dokumente, Zeitachse und tatsächliche Durchführung zerlegen.
  2. Rechtsanker und zwingende Vorfragen live prüfen.
  3. Pro- und Contra-Indizien gewichten, nicht nur sammeln.
  4. Output als Memo, Matrix, Redline, Antragspaket oder Counsel-Briefing liefern.

Tiefencheck für die Akte

  • Wer meldet welche Schwachstelle und welche Systeme sind betroffen?
  • Gibt es safe harbor für Researchers?
  • Welche Fristen, Kundenmeldungen, Behördenmeldungen und CVE-Prozesse greifen?
  • Welche Aussagen erzeugen Haftungs- oder Geheimnisrisiken?

Mindest-Output: Vulnerability-mit Triage, Legal Hold, Meldungen und Kommunikationslinie.

Qualitäts- und Risikofilter

  • Keine US-, EU- oder deutsche Spezialaussage ohne aktuellen Quellencheck über offizielle Quellen oder verifizierte Nutzerquelle.
  • Rechtekette, tatsächliche technische Architektur und Vertragstext immer gemeinsam prüfen; eines allein reicht bei Software fast nie.
  • Open Source, AI-Code, Freelancer und Drittland-/US-Bezug immer aktiv suchen, auch wenn die Anfrage nur nach Lizenzvertrag klingt.
  • Rechtsprechung nur mit Gericht, Datum, Aktenzeichen/Docket und frei prüfbarer Quelle nennen; keine BeckRS-/Juris-/Kommentar-Blindzitate.
Install via CLI
npx skills add https://github.com/Klotzkette/claude-fuer-deutsches-recht --skill vulnerability-disclosure
Repository Details
star Stars 872
call_split Forks 114
navigation Branch main
article Path SKILL.md
Occupations
Software Developers
More from Creator
Klotzkette
Klotzkette Explore all skills →