Vimeo ist datenschutzrechtlich kein rein lokales Website-Element. Sobald du ein Vimeo-Video einbettest oder laden lässt, verbindet sich der Browser deiner Besucher mit Vimeo. Besonders wichtig sind dabei der einbettbare Player, mögliche Tracking- und Analysefunktionen, die Speicherung in den USA und die Frage, ob du Vimeo nur als Videodienst oder im Enterprise-Umfeld nutzt.
Überblick
Was ist Vimeo?
Vimeo ist ein Videodienst, über den Unternehmen, Kreative und Websitebetreiber Videos hochladen, verwalten und auf Websites einbetten können. Auf WordPress-Websites nutzt du Vimeo meist, indem du einen Videolink einfügst oder den Vimeo-Player einbettest. Der Player lädt das Video dann nicht von deinem eigenen Server, sondern direkt über Vimeo.
Vimeo und Datenschutz im Überblick
| Cookie-Banner | Kann erforderlich sein, wenn der Vimeo-Player ohne datenschutzfreundliche Einstellung geladen wird oder du Funktionen wie Registrierungsformulare oder Webinare nutzt. |
| Datenverarbeitung | Vimeo verarbeitet beim Laden des Players personenbezogene Besucherdaten wie IP-Adresse, Browser- und Gerätedaten sowie Nutzungsaktivitäten. |
| Datenschutzerklärung | Vimeo muss in die Datenschutzerklärung, sobald du Vimeo-Videos auf deiner Website einbindest. |
| Drittlandtransfer | Ein Drittlandtransfer liegt vor, weil Vimeo Daten in den Vereinigten Staaten speichert. Drittland bedeutet: ein Land außerhalb der Europäischen Union. |
| Auftragsverarbeitung | Ein Auftragsverarbeitungsvertrag ist mit Vimeo nur bei Vimeo Enterprise oder Vimeo OTT vorgesehen. Für normale Self-Service-Nutzung und den eingebetteten Player bietet Vimeo keinen klassischen Auftragsverarbeitungsvertrag an. |
Datenverarbeitung
Welche Besucherdaten verarbeitet Vimeo?
Vimeo verarbeitet personenbezogene Daten deiner Website-Besucher, sobald der Vimeo-Player geladen wird. Das passiert auch dann, wenn das Video nur eingebettet ist und nicht direkt auf vimeo.com angesehen wird. Zu den relevanten Daten gehören:
- IP-Adresse
- ungefähre Standortdaten aus der IP-Adresse
- Browser- und Gerätedaten
- Nutzungsaktivitäten im Zusammenhang mit dem Player
Für dich heißt das: Ein eingebettetes Vimeo-Video ist nicht nur ein neutrales Gestaltungselement. Der Player stellt eine externe Verbindung her, und Vimeo verarbeitet dabei selbst Daten der Besucher.
Drittlandtransfer
Überträgt Vimeo Daten in ein Drittland?
Vimeo speichert Daten in Google-Cloud-Standorten in den Vereinigten Staaten. Damit hat Vimeo einen Drittlandbezug, weil die USA außerhalb der Europäischen Union liegen. Vimeo nimmt am EU-U.S. Data Privacy Framework teil, also an einem Datenschutzrahmen für bestimmte Datentransfers zwischen der EU und den USA. Für deine praktische Einordnung bleibt aber wichtig: Bei Vimeo musst du einen Drittlandtransfer berücksichtigen.
Vimeo bietet für Enterprise-Kunden eine optionale EU-Datenresidenz an. Diese Funktion speichert bestimmte Videoinhalte in Deutschland und Belgien. Sie löst das Thema aber nicht vollständig, weil Analysen, Protokolle, Nutzerprofile, Kontoinformationen, Kommentare und Interaktionen außerhalb dieser Region verarbeitet werden können.
Cookie-Banner
Braucht Vimeo einen Cookie-Banner?
Vimeo kann einen Cookie-Banner erforderlich machen, wenn der Player ohne die datenschutzfreundliche Einstellung geladen wird oder wenn du zusätzliche Vimeo-Funktionen nutzt. Ohne diese Einstellung kann Vimeo unter anderem ein Analyse-Cookie setzen, mit dem Videobesitzer Auswertungen zur Nutzung ihrer Videos erhalten.
Vimeo bietet eine Einstellung an, die nicht notwendige Player-Cookies und die Erfassung von Sitzungsdaten für Analysen unterbindet. Mit dieser Einstellung setzt Vimeo nach eigenen Angaben nur essenzielle Sicherheits- und Bot-Schutz-Cookies. Trotzdem verarbeitet Vimeo beim Laden des Players weiterhin technische Besucherdaten wie die IP-Adresse.
Für WordPress bedeutet das praktisch: Lade Vimeo-Videos nicht ungefragt direkt beim Seitenaufruf, wenn du die datenschutzfreundliche Einbindung nicht sauber umgesetzt hast. Nutze entweder eine Zwei-Klick-Lösung oder stelle sicher, dass dein Einwilligungstool (Cookie-Banner) den Vimeo-Player blockiert, bis der Besucher zugestimmt hat.
Datenschutzerklärung
Muss Vimeo in die Datenschutzerklärung?
Vimeo muss in deine Datenschutzerklärung, wenn du Vimeo-Videos auf deiner Website einbindest. Deine Besucher müssen verstehen, dass beim Laden des Players eine Verbindung zu Vimeo entsteht und Vimeo dabei personenbezogene Daten verarbeitet.
Die Datenschutzerklärung sollte einfach erklären, dass du Vimeo zur Darstellung von Videos nutzt. Außerdem solltest du nennen, welche Daten betroffen sind, warum der Dienst eingesetzt wird und dass Vimeo Daten in den USA speichert. Wichtig sind:
- Name des Dienstes: Vimeo
- Zweck: Einbindung und Wiedergabe von Videos
- Datenarten: IP-Adresse, Browser- und Gerätedaten, ungefährer Standort und Nutzungsaktivitäten
- Hinweis auf die Speicherung oder Verarbeitung in den USA
- Hinweis auf Cookies oder vergleichbare Player-Funktionen, wenn du Vimeo nicht vollständig blockierst oder zusätzliche Vimeo-Funktionen nutzt
Auftragsverarbeitung
Brauchst du mit Vimeo einen Auftragsverarbeitungsvertrag?
Bei Vimeo hängt der Auftragsverarbeitungsvertrag von deiner Nutzung ab. Für Vimeo Enterprise und Vimeo OTT ist ein Data Processing Agreement, also ein Auftragsverarbeitungsvertrag, in den Standardbedingungen enthalten. Wenn du eines dieser Produkte nutzt, musst du diesen Vertrag in deiner Datenschutz-Dokumentation berücksichtigen.
Für normale Self-Service-Nutzer und den eingebetteten Vimeo-Player bietet Vimeo keinen Auftragsverarbeitungsvertrag an. Vimeo ordnet diese Nutzung nicht als klassische Auftragsverarbeitung ein, sondern verweist beim Player auf eine eigene Verantwortlichkeit. Für eine normale WordPress-Website mit eingebettetem Vimeo-Video bedeutet das: Du dokumentierst Vimeo als externen Dienst, aber du findest dort keinen üblichen Auftragsverarbeitungsvertrag wie bei vielen anderen Dienstleistern.
Stolperfallen
Typische Fehler bei Vimeo auf WordPress-Websites
Bei Vimeo entstehen die meisten Datenschutzfehler nicht durch das Video selbst, sondern durch den Zeitpunkt, zu dem der Player geladen wird. Wenn dein WordPress das Vimeo-Video sofort beim Seitenaufruf einbindet, fließen bereits Daten an Vimeo, bevor der Besucher bewusst zugestimmt hat oder bevor eine Zwei-Klick-Lösung greift.
Ein weiterer Stolperpunkt ist die datenschutzfreundliche Player-Einstellung. Sie reduziert nicht notwendige Player-Cookies und Analysen, ersetzt aber keine saubere Einbindung, wenn der Player trotzdem sofort externe Verbindungen herstellt. Achte außerdem auf Vimeo-Funktionen wie Registrierungsformulare, Webinare, Vimeo OTT oder Enterprise-Funktionen. Diese Funktionen können zusätzliche Datenverarbeitungen und Cookies auslösen und gehören dann einzeln in deine Datenschutz-Dokumentation.
Cloudflare-Cookies wie Bot-Schutz- oder Sicherheits-Cookies können im Zusammenhang mit dem Vimeo-Player erscheinen. Diese Cookies stammen aus der technischen Absicherung des Players und sind nicht dasselbe wie klassische Marketing- oder Analyse-Cookies. Trotzdem solltest du sie bei einem Cookie-Scan nicht vorschnell ignorieren, sondern dem Vimeo-Player zuordnen.
Kostenloser Website-Scan
Prüfe deine eigene Website
Du möchtest wissen, welche Cookies, Tools und externen Verbindungen auf deiner Website auffallen? Datenrein scannt deine Website kostenlos und zeigt dir, welche Punkte du prüfen solltest.
