Als Entwickler, der Google Workspace APIs und unsere Entwicklerprodukte und ‑dienste verwendet, erheben und verwalten Sie häufig sensible Nutzerdaten. Beachten Sie dabei die folgenden wichtigen Grundsätze:
- Datenschutz: Verwenden Sie Google Workspace-Nutzerdaten nicht für verbotene Zwecke. Dritten ist es untersagt, Nutzerdaten zu verkaufen oder für Werbezwecke zu verwenden.
- Transparenz: Erklären Sie Nutzern genau, welche Daten Sie erheben, warum Sie sie erheben und wie Sie sie verwenden.
- Respekt: Berücksichtigen Sie Nutzeranfragen zum Löschen ihrer Daten.
- Sicherheit: Verarbeiten Sie alle Nutzerdaten auf sichere Weise und weisen Sie nach, dass Sie bestimmte Sicherheitsmaßnahmen einhalten.
- Spezifität: Fordern Sie keinen Zugriff auf Daten an, die Sie nicht benötigen. Der Datenzugriff sollte nur erfolgen, um die nutzerfreundlichen Funktionen Ihrer App oder Ihres Dienstes bereitzustellen.
Google-Richtlinie zu Nutzerdaten und Entwicklern
Die Richtlinie zu Nutzerdaten der Google API-Dienste regelt die Verwendung aller Google API-Dienste, wenn Sie als Entwickler Zugriff auf Nutzerdaten anfordern. Diese Google Workspace-Richtlinie zu Nutzerdaten und Entwicklern enthält zusätzliche Informationen, die Ihre Nutzung und Ihren Zugriff auf Google Workspace-Entwicklerprodukte und ‑dienste regeln, die Nutzerdaten anfordern. Dazu gehören Gmail, Google Chat, Google Drive, Google Sheets und andere Google Workspace APIs, MCPs und andere Entwicklertools, die Zugriff auf Nutzerdaten anfordern.
Zusätzlich zu der unten aufgeführten Richtlinie regeln auch die Nutzungsbedingungen für Google APIs, die Richtlinie zur akzeptablen Nutzung von Google Chat, der Google Chat-Entwicklerleitfaden, die Nutzungsbedingungen für die Google Drive API, die Google Drive-Programmrichtlinien, der Google Drive-Entwicklerleitfaden, die Gmail-Programmrichtlinien, der Gmail-Entwicklerleitfaden, die Richtlinie zur akzeptablen Nutzung von Google Meet, die Nutzungsbedingungen für Google Apps Script und die OAuth 2.0-Richtlinien Ihre Nutzung und Ihren Zugriff auf die Google Workspace-Entwicklerprodukte und ‑dienste sowie die zugehörigen Nutzerdaten. Ihre Nutzung kann auch durch die Google Workspace Marketplace-Vereinbarung für Entwickler geregelt werden. Sie müssen alle anwendbaren Gesetze und Bestimmungen einhalten.
Lesen Sie sich diese Richtlinien bitte in regelmäßigen Abständen durch, da sie gelegentlich aktualisiert werden. Es liegt in Ihrer Verantwortung, die Einhaltung dieser Richtlinien regelmäßig zu prüfen. Sollten Sie die Anforderungen unserer Richtlinien zu irgendeinem Zeitpunkt nicht mehr erfüllen können oder sollte diesbezüglich ein erhebliches Risiko bestehen, stellen Sie die Nutzung unserer Dienste ein und wenden Sie sich an uns. Wir behalten uns das Recht vor, den Zugriff auf Google-Nutzerdaten zu entfernen oder einzuschränken, wenn Sie gegen diese Richtlinie verstoßen.
Berechtigter Zugriff auf und berechtigte Nutzung von Gmail-Bereichen
Anfragen bezüglich des Zugriffs auf Nutzerdaten müssen klar und verständlich formuliert sein. Google Workspace-Entwicklerprodukte und ‑dienste dürfen nur gemäß den anwendbaren Richtlinien und Nutzungsbedingungen und nur für die in dieser Richtlinie und der Entwicklerdokumentation erläuterten genehmigten Anwendungsfälle verwendet werden. Das bedeutet, dass Sie nur dann Zugriff auf Berechtigungen anfordern dürfen, wenn Ihre App oder Ihr Dienst einem der genehmigten Anwendungsfälle entspricht. Fordern Sie nur dann Zugriff auf Google Workspace-Entwicklerprodukte und ‑dienste an, wenn Ihre App oder Ihr Dienst einem unserer genehmigten Anwendungsfälle entspricht.
Genehmigte Anwendungsfälle für den Zugriff auf Berechtigungen für Gmail-Bereiche sind:
- Integrierte und webbasierte E-Mail-Clients, mit denen Nutzer über eine Benutzeroberfläche E-Mails verfassen, senden, lesen und verarbeiten können.
- Apps, die automatisch E-Mails sichern
- Apps, die die E-Mail-Nutzung zu Produktivitätszwecken verbessern (z. B. Apps für das Kundenbeziehungsmanagement, verzögertes Senden von E-Mails oder Serienbriefe oder die Bereitstellung von Zusammenfassungen mit generativer KI)
- Apps, die Informationen aus E-Mails verwenden, um Berichts- oder Überwachungsdienste für Nutzer bereitzustellen, die die E-Mail-Nutzung verbessern (z. B. Apps, die Reisepläne automatisieren oder den Status von Flügen oder Paketzustellungen verfolgen)
Die Gmail-Bereiche sind für bestimmte Anwendungsfälle nicht zulässig. Dazu zählt unter anderem Folgendes:
- Mobile Tastaturen
- Apps, die E-Mails einmalig oder manuell exportieren
- Apps, die andere Daten als E-Mail-Nachrichten in Gmail speichern oder sichern
- Apps, die mehrere Konten verwenden, um die Google-Richtlinien zu missbrauchen, Kontobeschränkungen von Gmail zu umgehen, Filter und Spam zu umgehen oder auf andere Weise Missbrauchs- oder Sicherheitsbeschränkungen zu unterlaufen
- Apps, die Spam oder unerwünschte kommerzielle E-Mails verbreiten Apps, die kommerzielle Massen-E-Mails senden, z. B. für das Kundenbeziehungsmanagement, sind zulässig, sofern der Nutzer dem Erhalt von E-Mails zugestimmt hat.
Berechtigter Zugriff auf und berechtigte Nutzung von Google Drive-Bereichen
Fordern Sie nur dann Zugriff auf Drive-Bereiche an, wenn Ihre App oder Ihr Dienst einem unserer genehmigten Anwendungsfälle entspricht.
Genehmigte Anwendungsfälle für den Zugriff auf Drive-Bereiche sind:
- Integrierte und webbasierte Apps, die eine lokale Synchronisierung oder automatische Sicherung der Drive-Dateien von Nutzern ermöglichen
- Produktivitäts- und Bildungs-Apps (z. B. Apps für die Aufgabenverwaltung, Notizen, die Zusammenarbeit in Arbeitsgruppen und im Klassenzimmer), die nur eingeschränkte Bereiche verwenden, um Drive-Dateien (oder deren Metadaten oder Berechtigungen) über die Benutzeroberfläche der App zu verarbeiten
- Berichts- und Sicherheits-Apps, die Nutzern oder Kunden Einblicke in die Freigabe oder den Zugriff auf Dateien geben
Die Drive-Bereiche sind für bestimmte Anwendungsfälle nicht zulässig. Dazu zählt unter anderem Folgendes:
- Sicherung von Nutzer- oder App-Inhalten aus der App oder dem Projekt eines Entwicklers in Drive
- Mining von Kryptowährungen
- Breite Videoverbreitung oder Verbreitung von urheberrechtlich geschützten Inhalten ohne Genehmigung
- Verwendung von Drive als Ersatz für ein groß angelegtes Content Delivery Network (CDN)
- Tools zum Klonen von Dateien, die das Sharding von Nutzerspeicher ermöglichen und/oder die Speicherlimits von Drive umgehen
- Apps, die mehrere Konten verwenden, um die Google-Richtlinien zu missbrauchen, Kontobeschränkungen von Drive zu umgehen oder auf andere Weise Missbrauchs- oder Sicherheitsbeschränkungen zu unterlaufen
- Apps, die Spam oder unerwünschte kommerzielle Nachrichten verbreiten Apps, die kommerzielle Massennachrichten senden, z. B. für das Kundenbeziehungsmanagement, sind zulässig, sofern der Nutzer dem Erhalt von Nachrichten zugestimmt hat.
Berechtigter Zugriff auf und berechtigte Nutzung von Google Chat-Bereichen
Fordern Sie nur dann Zugriff auf Chat-Bereiche an, wenn Ihre App oder Ihr Dienst einem unserer genehmigten Anwendungsfälle entspricht.
Genehmigte Anwendungsfälle für den Zugriff auf Chat-Bereiche sind:
- Integrierte und webbasierte Apps, mit denen Nutzer über eine Benutzeroberfläche Chat-Nachrichten oder ähnliche Kommunikation verfassen, senden, lesen und verarbeiten können
- Apps, die die Chat-Nutzung zu Produktivitätszwecken verbessern (z. B. eine Chat-App für die Aufgabenverwaltung, mit der Sie anderen Mitgliedern im Bereich Aufgaben zuweisen können)
- Apps, die Informationen aus Chat-Nachrichten verwenden, um Berichts- oder Überwachungsdienste für Nutzer bereitzustellen (z. B. eine App, die Nutzer benachrichtigt, wenn ein Kollege nicht im Büro ist)
- Apps, die Nachrichten, Mitgliedschaften, Gruppen oder andere ähnliche Chat-Funktionen importieren
- Apps, die Daten austauschen und verwenden, die über die Chat API abgerufen wurden, um mit anderen Messaging-Produkten, ‑Diensten oder ‑Funktionen zu interagieren
Die Chat-Bereiche sind für bestimmte Anwendungsfälle nicht zulässig. Dazu zählt unter anderem Folgendes:
- Verwendung von Chat als Ersatz für ein groß angelegtes Content Delivery Network (CDN)
- Apps, die mehrere Konten verwenden, um die Google-Richtlinien zu missbrauchen, Kontobeschränkungen von Chat zu umgehen oder auf andere Weise Missbrauchs- oder Sicherheitsbeschränkungen zu unterlaufen
- Apps, die Spam oder unerwünschte kommerzielle Nachrichten verbreiten Apps, die kommerzielle Massennachrichten senden, z. B. für das Kundenbeziehungsmanagement, sind zulässig, sofern der Nutzer dem Erhalt von Nachrichten zugestimmt hat.
Berechtigter Zugriff auf und berechtigte Nutzung von Google Meet-Bereichen
Fordern Sie nur dann Zugriff auf Meet-Bereiche an, wenn Ihre App oder Ihr Dienst einem unserer genehmigten Anwendungsfälle entspricht.
Genehmigte Anwendungsfälle für den Zugriff auf Berechtigungen für Meet-Bereiche sind:
- Integrierte Web- und Web-Apps, die die Echtzeitverarbeitung, das Streaming oder die Speicherung von Audio und Video von Teilnehmern in der Besprechung über eine Benutzeroberfläche ermöglichen
- Apps, die die Meet-Nutzung zu Produktivitätszwecken verbessern (z. B. eine App zur Bildschirmaufzeichnung, mit der Sie Bilder im Bereich freigeben können)
- Apps, die Informationen aus Meet verwenden, um Berichts- oder Überwachungsdienste für Nutzer bereitzustellen (z. B. eine App, die Einblicke in Besprechungen oder Reden bietet)
- Apps, die Daten austauschen und verwenden, die über die Meet REST API abgerufen wurden, um mit anderen Videoprodukten, ‑Diensten oder ‑Funktionen zu interagieren
Die Meet-Bereiche sind für bestimmte Anwendungsfälle nicht zulässig. Dazu zählt unter anderem Folgendes:
- Apps, die Meet-Nutzerdaten, ‑Inhalte oder ‑Metadaten ohne rechtliche Genehmigung oder ohne Einwilligung überwachen oder verbreiten
- Breite Videoverbreitung oder Verbreitung von illegalem Material oder urheberrechtlich geschützten Inhalten ohne Genehmigung
- Apps, die mehrere Konten verwenden, um die Google-Richtlinien zu missbrauchen, Kontobeschränkungen von Meet zu umgehen, Filter und Spam zu umgehen oder auf andere Weise Missbrauchs- oder Sicherheitsbeschränkungen zu unterlaufen (z. B. digitale Änderungen von Personen zu böswilligen Zwecken zu speichern oder zu verbreiten oder die API zu verwenden, um Nutzer falsch darzustellen oder zu täuschen)
Die erforderlichen Mindestberechtigungen anfordern
Sie dürfen nur Zugriff auf Berechtigungen fordern, die unbedingt für die Implementierung der Funktionen Ihrer App oder Ihres Dienstes erforderlich sind. Das bedeutet:
Fordern Sie keinen Zugriff auf Informationen an, die Sie nicht benötigen. Fordern Sie nur Zugriff auf die Berechtigungen an, die für die Implementierung der Funktionen oder Dienste Ihrer App erforderlich sind. Wenn Ihre App keinen Zugriff auf bestimmte Berechtigungen erfordert, dürfen Sie keinen Zugriff auf diese Berechtigungen anfordern. Versuchen Sie nicht, Ihren Zugriff auf Nutzerdaten auf mögliche zukünftige Dienste und Funktionen vorzubereiten, indem Sie bereits vorher Zugriff auf Informationen dafür anfordern.
Fordern Sie Berechtigungen nach Möglichkeit im Kontext an. Fordern Sie nur dann Zugriff auf Nutzer daten im Kontext (über die schrittweise Autorisierung) an, wenn Sie die Daten benötigen, damit die Nutzer verstehen, warum Sie die Daten benötigen.
Transparente und genaue Information und Kontrolle
Sie müssen eine Datenschutzerklärung veröffentlichen, in der vollständig dokumentiert ist, wie Ihre App mit Nutzerdaten interagiert. Dazu gehört auch, wie Ihre App oder Ihr Webdienst Nutzerdaten erhebt, verwendet und weitergibt. Sie müssen die URL der Datenschutzerklärung in Ihrer OAuth-Clientkonfiguration angeben, wenn Ihre App öffentlich verfügbar gemacht wird.
Apps und Dienste müssen außerdem im Kontext Zugriff auf Nutzerdaten anfordern (über die schrittweise Autorisierung) , damit Nutzer besser verstehen, welche Daten weitergegeben werden, warum Sie die Daten benötigen und wie die Daten verwendet werden. Sie können beispielsweise Nutzer auffordern, die Aufrufung von MCP, Tool, Skill oder anderem agentischen Verhalten detailliert zu bestätigen. Zusätzlich zu den gesetzlichen Anforderungen müssen Sie auch die folgenden Anforderungen erfüllen, die unsere Richtlinien zu OAuth 2.0 und zu Nutzerdaten der Google API-Dienste widerspiegeln:
Sie müssen Informationen über den Zugriff auf die Daten und deren Erfassung, Nutzung und Weitergabe offenlegen. Es gilt Folgendes:
- In der Offenlegung muss die Identität der App oder des Dienstes, über den auf Nutzerdaten zugegriffen wird, korrekt angegeben sein.
- Die Offenlegung muss in der App selbst (bei appbasierten Diensten) oder in einem separaten Dialogfenster (bei webbasierten Diensten) angezeigt werden.
- Sie muss dem Nutzer während der normalen Verwendung der App (bei appbasierten Diensten) oder der Website (bei webbasierten Diensten) angezeigt werden, ohne dass dieser ein Menü oder Einstellungen öffnen muss.
- In der Offenlegung müssen genaue und korrekte Informationen zu den Typen von Daten, auf die zugegriffen wird und die angefordert und/oder erfasst werden, angegeben sein.
- Es muss erklärt werden, wie die Daten verwendet und/oder weitergegeben werden: Wenn Sie Daten für einen bestimmten Zweck anfordern, aber auch für einen anderen Zweck nutzen, müssen Sie die Nutzer über beide Anwendungsfälle informieren.
- Die Offenlegung darf nicht nur in der Datenschutzerklärung oder in den Nutzungsbedingungen erfolgen.
- Sie darf nicht in andere Offenlegungen eingebunden werden, die nicht im Zusammenhang mit der Erhebung personenbezogener oder sensibler Daten stehen.
Die Offenlegung muss unmittelbar vor der Anfrage zur Zustimmung des Nutzers erfolgen. Sie dürfen mit der Erhebung von Daten erst beginnen, wenn Sie die ausdrückliche Einwilligung erhalten haben. Für die Einwilligungserklärung gilt:
- Das Dialogfeld zur Einholung der Einwilligung muss klar und eindeutig präsentiert werden.
- Der Nutzer muss z. B. durch Tippen, Markieren eines Kästchens oder einen verbalen Befehl aktiv seine Zustimmung bekunden.
- Ein Wegtippen der Offenlegung, das Drücken der Zurück- oder Startbildschirmtaste oder Ähnliches darf nicht als Einwilligung aufgefasst werden.
- Meldungen, die automatisch geschlossen werden oder zeitlich befristet sind, dürfen nicht verwendet werden.
Sie müssen Nutzern eine Hilfedokumentation zur Verfügung stellen, in der erklärt wird, wie Nutzer ihre Daten verwalten und aus Ihrer App oder Ihrem Dienst löschen können.
Eingeschränkte Verwendung von Nutzerdaten
Wenn Sie zu einem zulässigen Zweck auf Google Workspace-Bereiche zugreifen, muss Ihre Nutzung der erhobenen Daten den folgenden Anforderungen entsprechen. Diese Anforderungen gelten für Daten, die sowohl aus sensiblen als auch aus eingeschränkten Bereichen abgeleitet wurden.
- Beschränken Sie die Verwendung von Daten auf die Bereitstellung oder Verbesserung derjenigen Anwendungsfälle oder Funktionen, die in der Benutzeroberfläche der anfragenden App deutlich sichtbar sind.
Datenübertragungen sind nicht zulässig, außer:
- Zur Bereitstellung oder Verbesserung derjenigen Anwendungsfälle oder nutzerorientierten Funktionen, die in der Benutzeroberfläche der anfragenden App deutlich sichtbar sind, wobei die Übertragung nur mit Einwilligung der Nutzer erfolgen darf
- Aus Sicherheitsgründen (beispielsweise zur Untersuchung von Missbrauch)
- Zur Einhaltung geltender Gesetze und/oder Vorschriften
- Im Rahmen einer Fusion, eines Erwerbs oder einer Veräußerung von Vermögenswerten des Entwicklers, nachdem zuvor vom Nutzer seine ausdrückliche Einwilligung eingeholt wurde
Gestatten Sie Personen nicht, Nutzerdaten zu lesen, es sei denn:
- Sie haben die ausdrückliche Einwilligung oder Zustimmung des Nutzers zum Ansehen bestimmter Nachrichten, Dateien oder anderer Daten eingeholt und dokumentiert (z. B. um einem Nutzer zu helfen, wieder auf das Produkt oder einen Dienst zuzugreifen, nachdem er sein Passwort verloren hat).
- Die Daten (einschließlich abgeleiteter Daten) werden gemäß den anwendbaren Datenschutzvorschriften und anderen rechtlichen Anforderungen der jeweiligen Gerichtsbarkeit aggregiert, anonymisiert und für interne Vorgänge verwendet.
- Es ist aus Sicherheitsgründen erforderlich (beispielsweise zur Untersuchung eines Fehlers oder Missbrauchs) oder
- zur Einhaltung geltender Gesetze und/oder Vorschriften.
Alle anderen Formen der Übertragung, der Verwendung oder des Verkaufs von Nutzerdaten sind strengstens untersagt. Hierzu zählen auch:
- Die Übertragung oder der Verkauf von Nutzerdaten an Dritte wie beispielsweise Werbeplattformen, Datenbroker oder Reseller von Informationen
- Die Übertragung, der Verkauf oder die Verwendung von Nutzerdaten für die Schaltung von Werbeanzeigen, einschließlich Retargeting, personalisierter oder interessenbezogener Werbung
- Die Übertragung, der Verkauf oder die Verwendung von Nutzerdaten zur Ermittlung der Kreditwürdigkeit oder zu Kreditvergabezwecken
- Die Übertragung, der Verkauf oder die Verwendung von Nutzerdaten zum Erstellen, Trainieren oder Verbessern eines Modells für maschinelles Lernen oder künstliche Intelligenz, das über das personalisierte Modell dieses bestimmten Nutzers für den entsprechenden Anwendungsfall oder die entsprechende nutzerorientierte Funktion hinausgeht
Sie müssen dafür sorgen, dass Ihre Mitarbeiter, Vertreter, Auftragnehmer und Nachfolger diese Google-Richtlinie zu Nutzerdaten und Entwicklern einhalten.
In Ihrer App oder auf einer Website, die zu Ihrem Webdienst oder Ihrer App gehört, muss eine Bestätigung zu sehen sein, in der versichert wird, dass Ihre Verwendung der Daten den Anforderungen bezüglich der eingeschränkten Datennutzung entspricht. Das könnte beispielsweise ein Link auf einer Startseite sein, der zu einer speziellen Seite oder einer Datenschutzerklärung führt und folgenden Hinweis enthält: "Die Verwendung der von Google Workspace-Bereichen erhaltenen Daten entspricht der Google-Richtlinie zu Nutzerdaten, einschließlich den Anforderungen bezüglich der eingeschränkten Nutzung."
Eine sichere Betriebsumgebung aufrechterhalten
Behandeln Sie alle Nutzerdaten bei der Übertragung und im Ruhezustand sicher. Ergreifen Sie angemessene und geeignete Maßnahmen, um alle Apps oder Systeme, die die Google Workspace APIs und alle daraus abgeleiteten Daten nutzen, vor unbefugten oder unrechtmäßigen Zugriffen, Verwendungen, Zerstörungen, Verlusten, Änderungen oder Offenlegungen zu schützen. Außerdem sollten Sie die empfohlenen (falls zutreffend) und erforderlichen Best Practices für die Sicherheit in der Dokumentation der jeweiligen Spezifikation befolgen, wenn Sie Google-Entwicklerprodukte und ‑dienste in andere Plattformen, Dienste oder Protokolle einbinden, z.B. Best Practices für die Sicherheit im Model Context Protocol.
Apps, die auf eingeschränkte Bereiche zugreifen, müssen nachweisen, dass sie bestimmte Sicherheitsmaßnahmen einhalten.
Zu den empfohlenen Sicherheitsmaßnahmen zählen die Implementierung und Aufrechterhaltung eines Informationssicherheits-Managementsystems gemäß Standard ISO/IEC 27001 . Darüber hinaus sollten Sie dafür sorgen, dass Ihre App oder Ihr Webdienst robust ist und keine der im Bericht OWASP Top 10beschriebenen häufigen Schwachstellen aufweist.
Erforderliche Sicherheitsmaßnahmen:
Verwendung eines branchenüblichen Verschlüsselungsstandards zum Verschlüsseln von Nutzerdaten, die
- auf tragbaren Geräten oder tragbaren elektronischen Medien gespeichert sind,
- außerhalb der Systeme von Google oder Ihrer Systeme verwaltet werden,
- über ein externes Netzwerk übertragen werden, das nicht ausschließlich von Ihnen verwaltet wird, und
- im Ruhezustand auf Ihren Systemen gespeichert sind.
Daten werden über sichere, moderne Protokolle übertragen (etwa über HTTPS).
Nutzerdaten und Anmeldedaten, insbesondere Tokens wie OAuth-Zugriffs- und -Aktualisierungstokens, werden im Ruhezustand verschlüsselt.
Es wird sichergestellt, dass Schlüssel und Schlüsselmaterial angemessen verwaltet werden, beispielsweise durch Speichern in einem Hardware-Sicherheitsmodul oder einem Schlüsselverwaltungssystem mit gleichwertiger Sicherheit.
Schutz vor Prompt-Injection-Techniken durch Verwendung von Model Armor von Google Cloud Platform oder anderem Schutz vor Prompt-Injection.
Zu den erforderlichen Sicherheitsmaßnahmen für eingeschränkte Bereiche gehört auch die Einhaltung der Cloud Application Security Assessment (CASA). Abhängig von der API, auf die zugegriffen wird, und der Anzahl der Nutzerberechtigungen oder Nutzer verlangen wir möglicherweise auch, dass Ihre App oder Ihr Dienst einer regelmäßigen Sicherheitsprüfung unterzogen wird und Ihnen von einer dazu bestimmten Drittpartei ein Prüfbericht ausgestellt wird.
Sie erklären sich damit einverstanden, Google unter security@google.com unverzüglich über jeden bekannten oder vermuteten unbefugten Zugriff auf die Systeme, Netzwerke, Konten oder andere Orte, an denen Google-Daten gespeichert sind ("Sicherheitsvorfall"), zu informieren. Sie erklären sich damit einverstanden, bei der Behebung jedes bekannten oder vermuteten Sicherheitsvorfalls uneingeschränkt mit Google zusammenzuarbeiten und Google in einem solchen Fall unter security@google.com zu benachrichtigen, bevor Sie öffentliche Erklärungen zu einem bekannten oder vermuteten Sicherheits vorfall abgeben.
Eingeschränkte Bereiche
Zu den eingeschränkten Bereichen von Google Workspace gehören:
Alle Gmail API-Bereiche, die einer App Folgendes ermöglichen:
- Nachrichtentexte (einschließlich Anhänge), Metadaten oder Header lesen, erstellen oder ändern oder
- Postfachzugriff, E-Mail-Weiterleitung oder Administratoreinstellungen steuern.
Alle Drive API-Bereiche, die einer App Folgendes ermöglichen:
- Inhalte oder Metadaten der Drive-Dateien eines Nutzers lesen, ändern oder verwalten, ohne dass der Nutzer den Zugriff auf die einzelnen Dateien gewährt.
Alle Chat API-Bereiche, die einer App Folgendes ermöglichen:
- Inhalte oder Metadaten der Chat-Nachrichten eines Nutzers lesen, ändern oder verwalten.
Alle Meet REST API-Bereiche, die einer App Folgendes ermöglichen:
- Die Echtzeitverarbeitung von Audio und Video von Teilnehmern in der Besprechung lesen, ändern oder verwalten.
Weitere Informationen finden Sie in der Liste der eingeschränkten Bereiche.