Vimeo Player und Datenschutz – Was in die Datenschutzerklärung gehört

Webseitenbetreiber, die Vimeo-Videos über iFrame-Einbettung anbieten, ermöglichen eine direkte Verbindung zwischen dem Browser des Besuchers und den Vimeo-Servern. Der Vimeo-Anbieter erhebt dabei personenbezogene Daten wie IP-Adresse, Geräte- und Browserinformationen. Die Datenschutzerklärung muss diese Verarbeitung transparent erläutern und alle DSGVO-Anforderungen erfüllen.

A. Zweck und Funktionsweise des Vimeo Player

Der Vimeo Player ist ein Video-Hosting- und Bereitstellungsdienst der Vimeo, Inc. Wenn ein Webseitenbetreiber ein Video auf seiner Seite einbettet, nutzt der Player eine iFrame-Integration – das bedeutet, dass das Video nicht lokal gespeichert, sondern von Vimeo-Servern abgerufen wird. Der Browser des Besuchers verbindet sich dann direkt mit Vimeo, um das Video zu laden und wiederzugeben.

Dies ist zu unterscheiden von:

• Vimeo als Videoplattform: Ein Nutzer kann auf vimeo.com ein eigenes Profil erstellen und Videos hochladen – diese Nutzungsform wird hier nicht behandelt.
• Vimeo Pro/Business: Ein Webseitenbetreiber nutzt Vimeo als Hosting-Dienst, um eigene Videos einzubetten. In diesem Fall ist der Webseitenbetreiber Nutzer des Vimeo-Dienstes; Vimeo ist der Anbieter und Verantwortlicher für die Datenverarbeitung.

Die iFrame-Einbettung wird typischerweise mit einem Code wie <iframe src="https://player.vimeo.com/video/[ID]"></iframe> realisiert.

B. Pflichtangaben in der Datenschutzerklärung

Nach Art. 13 und 14 DSGVO muss die Datenschutzerklärung eindeutig offenlegen, dass und wie Vimeo-Videos eingebettet sind, da diese Einbettung mit Datentransfers in ein Drittland (USA) verbunden ist. Die Angaben müssen für den Besucher verständlich und nachvollziehbar sein.

Erforderliche Informationen:

• Name und Kontaktdaten des Anbieters (Vimeo, Inc., Adresse)
• Zweck der Datenverarbeitung (Bereitstellung und Analyse von Videoinhalten)
• Art der erhobenen personenbezogenen Daten
• Dauer der Speicherung
• Rechtsgrundlage (üblicherweise Einwilligung)
• Rechte des Betroffenen (Auskunft, Löschung, Widerspruch)
• Drittlandtransfer und Schutzmaßnahmen (Datenschutzrahmen, Standardvertragsklauseln)

Viele Muster-Datenschutzerklärungen sind unvollständig oder zu allgemein formuliert. Ein rechtssicherer Text erfordert eine individuelle Prüfung des konkreten Einsatzes.

C. Anbieter

Unternehmensname: Vimeo, Inc.

Anschrift: 330 West 34th Street, 10th Floor, New York, NY 10001, USA

Kontakt für Datenschutz:

• E-Mail: privacy@vimeo.com
• Telefon: (212) 524-8791

Datenschutzrichtlinie: https://vimeo.com/privacy

Datenschutzrahmen: Vimeo und seine Tochtergesellschaften (einschließlich Livestream LLC und VideoJi, Inc.) sind zertifizierte Teilnehmer des EU-U.S. Data Privacy Framework (DPF), des UK Extension zum EU-U.S. DPF und des Swiss-U.S. DPF. Dies bedeutet, dass Vimeo sich verpflichtet hat, die strengen Datenschutzanforderungen der Europäischen Union einzuhalten und eine angemessene Datenschutzniveaugarantie bei der Übertragung personenbezogener Daten aus der EU, Großbritannien und der Schweiz in die USA zu bieten.

Standardvertragsklauseln (SCC): Zusätzlich zur DPF-Zertifizierung können Standardvertragsklauseln als Schutzmaßnahme für Datentransfers verwendet werden.

D. Datenverarbeitung – Ablauf

Die Datenverarbeitung durch Vimeo bei der Einbettung eines Videos erfolgt in mehreren Schritten:

E. Erhobene Daten

Vimeo erhebt eine Vielzahl von Datenkategorien beim Abspielen eingebetteter Videos:

Webserver-Protokolldaten

• Internet-Protokoll-Adresse (IPv4 oder IPv6)
• Zeitstempel der Anfrage (Datum und Uhrzeit des Zugriffs)
• Referrer-Information (welche Webseite das Video eingebettet hat – zur Verfolgung der Videoquelle)
• HTTP-Request-Methode und Status-Code

Endgeräte-Daten

• Gerätetyp (Desktop, Tablet, Mobile)
• Betriebssystem (Windows, macOS, iOS, Android)
• Eindeutige Gerätekennungen (sofern vorhanden)

Browserinformationen

• Browser-Typ und -Version
• User-Agent-String
• Akzeptierte Sprachen und Zeichenkodierungen

Standortdaten

• Grobe geografische Standortinformation (aus IP-Adresse abgeleitet)

Videointeraktions- und Wiedergabedaten

• Play/Pause/Stop-Events
• Zeitpunkt und Dauer der Wiedergabe
• Qualitätseinstellungen (gewählte Auflösung)
• Vollbildmodus-Nutzung

Vimeo-Nutzungskonto-Daten

• Falls der Besucher bei Vimeo angemeldet ist, kann Vimeo die Videowiedergabe mit dem Vimeo-Benutzerkonto verknüpfen. Dies ermöglicht es Vimeo, die Aktivität über mehrere Webseiten hinweg nachzuverfolgen.

F. Nutzungszwecke

Funktionsbereitstellung Vimeo nutzt die erhobenen Daten primär, um das Video eingebettete bereitzustellen, zu streamen und wiederzugeben. Dazu zählen auch technische Optimierungen wie adaptive Bitrate-Anpassung an die Bandbreite des Besuchers.

Allgemeine Produktverbesserung und Analyse Vimeo erstellt interne Statistiken über die Videonutzung, um die Plattform zu verbessern. Dies geschieht unabhängig von den Zielen des Webseitenbetreibers – Vimeo verfolgt damit eigene, kommerzielle Interessen.

Sicherheit und Missbrauchsprävention Vimeo nutzt die Daten zur Erkennung von Bots, zum Schutz vor unautorisierten Zugriffen und zur Prävention von Videopiraterie.

G. Rechtsgrundlagen

Primäre Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Da die Einbettung von Vimeo-Videos nicht notwendig für den Betrieb der Webseite ist, lässt sie sich nicht auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) stützen. Eine Aufrechterhaltung der Website, ihre Sicherheit oder Optimierung können üblicherweise nicht geltend gemacht werden, um Vimeo zu rechtfertigen.

Daher ist aktive, explizite Einwilligung des Besuchers erforderlich, bevor Vimeo-Daten erhoben werden. Die Einwilligung muss:

• Freiwillig erfolgen (keine Vorbedingung für Website-Zugang)
• Informiert sein (der Besucher muss verstehen, dass Daten in die USA übertragen werden)
• Spezifisch sein (konkrete Zustimmung zu Vimeo, nicht allgemein zu „externen Inhalten")
• Aktiv erfolgen (nicht durch Voreinstellung oder Stillschweigen)

Nach § 25 TDDDG ist für die Einwilligung bei Cookies und Tracker typischerweise ein Consent-Banner oder ähnliches Mechanismus erforderlich.

Alternative: Privacy Mode mit dnt=1

Wenn der Vimeo-iFrame mit dem Parameter dnt=1 ausgestattet wird (z.B. <iframe src="https://player.vimeo.com/video/[ID]?dnt=1"></iframe>), deaktiviert Vimeo die Setzung von Tracking-Cookies und reduziert die Datenerfassung erheblich. In diesem Fall wird argumentiert, dass eine Einwilligung möglicherweise nicht erforderlich ist, da keine Cookies gesetzt werden. Allerdings werden auch im Privacy-Mode weiterhin technische Protokolldaten (IP-Adresse, Browser-Info) erfasst; eine vollständige Rechtsgrundlage-Entlastung ist damit üblicherweise nicht gegeben.

Berechtigtes Interesse (diskutierbar)

Eine Argumentation über berechtigtes Interesse wird von der Datenschutzpraxis überwiegend skeptisch gesehen, besonders wenn Drittlandtransfer (USA) involviert ist. Eine Einzelfall-Bewertung ist erforderlich.

H. Besonderheiten und Hinweise

Privacy Mode und dnt=1-Parameter

Der dnt=1-Parameter im Vimeo-iFrame-Code verhindert die Setzung neuer Tracking-Cookies während der Videowiedergabe. Allerdings gilt:

• Bereits vorhandene Vimeo-Cookies vom Browser bleiben aktiv
• Technische Protokolldaten (IP-Adresse, Referrer) werden weiterhin erhoben
• Einige Player-Funktionen (z.B. Speicherung von Qualitätseinstellungen, Zwischenstand) sind eingeschränkt

Der Privacy-Mode ist empfehlenswert, wenn Datenschutzfreundlichkeit prioritär ist. Ein DPA mit dem Webseitenbetreiber ist dafür nicht nötig.

Vimeo-Cookies beim Standard-Einbetten

Ohne dnt=1 setzt Vimeo standardmäßig Cookies, insbesondere:

• vuid: Vimeo User ID – eine eindeutige Kennung für den Browser oder das Gerät
• Weitere Session- und Analytics-Cookies

Diese Cookies haben typischerweise eine Geltungsdauer von bis zu 13 Monaten.

Drittlandtransfer und Datenschutzrahmen

Die USA werden nicht als Land mit angemessenem Datenschutzniveau eingestuft. Der Transfer personenbezogener Daten ist jedoch durch zwei Mechanismen gedeckt:

1. Data Privacy Framework (DPF): Vimeo ist zertifiziert; dies ist der primäre Schutzmechanismus
2. Standardvertragsklauseln (SCC): Können als Fallback dienen

Es ist gute Praxis, beide Schutzmechanismen in der Datenschutzerklärung zu erwähnen.

Data Processing Agreement (DPA)

Vimeo bietet ein DPA nur für Enterprise- und Vimeo OTT-Kunden an. Für Self-Service-Nutzer (typische Webseitenbetreiber) existiert kein formales DPA. Das bedeutet, dass der Webseitenbetreiber nicht als Auftragsverarbeiter des Vimeo-Kunden fungiert, sondern Vimeo und der Webseitenbetreiber sind Verantwortliche desselben Datensatzes (Joint Controller nach Art. 26 DSGVO).

Für solche Konstellationen empfiehlt sich, mit Vimeo eine informelle Vereinbarung oder zumindest eine Dokumentation der gegenseitigen Verpflichtungen zu schaffen.

Einwilligung und Consent-Management

Praktische Umsetzung:

• Consent-Banner mit expliziter Zustimmung zu Vimeo (z.B. "Ich akzeptiere die Einbettung von Vimeo-Videos")
• Lazy-Loading: Das Video wird erst nach Bestätigung der Einwilligung in die Seite geladen
• Zwei-Klick-Lösung: Der Besucher sieht ein Vorschaubild und muss zustimmen, bevor das iFrame geladen wird
• Dokumentation der Einwilligung (Logging, Zeitstempel)

Wenn der Besucher bei Vimeo angemeldet ist

Falls ein Besucher gleichzeitig in seinem Vimeo-Konto angemeldet ist, kann Vimeo die Videowiedergabe mit diesem Konto verknüpfen. Dies ermöglicht eine Cross-Site-Verfolgung über mehrere Webseiten hinweg. Dies sollte in der Datenschutzerklärung erwähnt werden.

I. Häufige Fragen zu Vimeo und Datenschutz

J. Fazit

Die Einbettung von Vimeo-Videos erfordert datenschutzrechtliche Sorgfalt. Ein Webseitenbetreiber muss die Besucher transparent informieren, dass personenbezogene Daten an Vimeo, Inc. in den USA übertragen werden. Die Datenschutzerklärung ist nicht nur formale Pflicht, sondern auch substantieller Bestandteil einer DSGVO-konformen Verarbeitung.

Empfehlungen:

1. Privacy Mode nutzen: Der dnt=1-Parameter ist eine datenschutzfreundliche Option, die die Einwilligungshürde senken kann
2. Explizite Einwilligung: Ein Consent-Banner oder Lazy-Loading-Lösung ist praktisch notwendig
3. Individuelle Prüfung: Vorgefertigte Textbausteine sind Orientierungshilfe, ersetzen aber keine rechtliche Beratung für die konkrete Konstellation
4. Dokumentation: Einwilligungen sollten geloggt und nachweisbar sein (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO)
5. Regelmäßige Überprüfung: Vimeos Datenschutzrichtlinie und die DPF-Zertifizierung sollten regelmäßig kontrolliert werden

Die Datenschutzkonformität von Vimeo-Einbettungen hängt von vielen Einzelfaktoren ab. Eine themenorientierte, individuelle Bewertung ist empfehlenswert.