HinSchG Vorgaben einfach und effizient umsetzen mit dem Parlabox Hinweisgebersystem
cookiebox logo
Demo vereinbaren
Kostenlos starten
cookiebox logo
Audio & Video

Vimeo

Videos DSGVO-konform einbinden
data processing services
Vimeo
Die Alternative zu YouTube?
  • Sitz: New York, Vereinigte Staaten
  • Kategorie: Audio & Video
  • Rechtsgrundlage: Consent Management Platform (CMP)
Inhalt des Beitrags

Worum handelt es sich bei Vimeo?

Videos sind eine beliebte Abwechslung in der Darstellung von Inhalten auf Websites. Hierfür können Websitebetreibende auf den Video-Bestand von Vimeo zugreifen und die Plattform dazu nutzen, eigene Videos hochzuladen und das Hosting durch Vimeo in Anspruch zu nehmen.

Vimeo bietet einfache Möglichkeiten, die gewünschten Videos zu verbreiten und auf Websites einzubetten. Doch muss hier aus Sicht des Datenschutzes einiges beachtet werden:
Vimeo LLC ist ein Dienstleister aus den USA und unterliegt damit laut DSGVO dem Einwilligungserfordernis. Zudem ist hierbei zu beachten, dass Vimeo nicht Teil des 2023 in Kraft getretenen Data Privacy Frameworks (DPF) ist, welches US-Unternehmen bei Teilnahme dazu verpflichtet, Datenschutzvorschriften der DSGVO im Umgang mit EU-Bürgern einzuhalten.

Bei der Einbettung von sozialen Medien wie Vimeo auf der eigenen Website ist es üblich, dass diese auf den Endgeräten der Websitebesuchenden Cookies setzen, die teilweise über einen sehr langen Zeitraum das digitale Nutzerverhalten analysieren, und sich Dinge über den Nutzer merken, die nicht essenziell notwendig sind.

Folge: Bereits beim Aufrufen der Website werden zahlreiche Cookies auf dem Endgerät der Besucher gesetzt, ohne dass diese auf das Video geklickt haben.

Hast du Vimeo richtig eingebunden?

Mach den Test in unserem kostenlosen Quickscanner!

Rechtliche Grundlage für die Verarbeitung

Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TDDDG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TDDDG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

Wann besteht eine Einwilligungspflicht?

Personenbezogene Daten

Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der Rechtsgrundlagen (a, b, c, d, e, oder f) des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

  • Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
  • Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)
Cookies

Gem. Art. 25 Abs. 1 TDDDG ist dann eine Einwilligung erforderlich, sobald Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

Dabei sollte man wissen, dass damit nicht nur die bekannten, auf dem Endgerät der Nutzer platzierten Cookies gemeint sind, sondern auch sogenannte Zählpixel, die es unter anderem ermöglichen, den Useragent oder das Gerät der Nutzer zu verknüpfen oder herzuleiten.

Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

Die Anforderungen an die Einwilligungsfreiheit

Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:

  1. Sofern eine Datenweitergabe an Dritte stattfindet:
    • Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Auftragsverarbeiter (AV), sollten Daten von diesem an Dritte weitergegeben werden.
    • Der Auftragsverarbeiter nutzt die gewonnen Daten nicht für eigene Zwecke.
    • er Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an.
  2. Kein Einsatz von Cookies oder ähnlichen Techniken, die nicht unbedingt erforderlich sind.
  3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa oder in Ländern, für die ein Angemessenheitsbeschluss gemäß Artikel 45 DSGVO gilt.
  4. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung.
  5. IP-Anonymisierung („Privacy by Default)
  6. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser.
  7. Durchführung einer Interessensabwägung: Das berechtigte Interesse des Websitebetreibers muss die schützenswerten Interessen des Nutzers überwiegen.
  8. Nachweis der erfolgten Punkte 1-7 durch den Website-Betreiber
desktop icon
IP-Adresse

Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt. Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

legal icon
Server-Standort

Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

desktop icon
Firmensitz

Bei amerikanischen Unternehmen und deren Töchter ist es zusätzlich wichtig den Fakt zu berücksichtigen, dass Daten die von Töchtern erhoben werden, auch in die USA weitergeleitet und dort verarbeitet werden. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig. Sollten die Unternehmen dem derzeitigen Data Privacy Framework (DPF) zugehörig sein, heißt auch das nicht, dass jeder der vom Unternehmen zugehöriger Service unbedenklich zu nutzen ist. Erst recht nicht ohne die Zustimmung der Nutzer.

Vimeo muss Teil deiner Datenschutzerklärung sein

Jetzt eine Datenschutzerklärung kostenlos über die Testversion unseres Privacy Hubs erstellen!

Cookiebox-Empfehlung: Datenschutzkonforme Nutzung von auf Vimeo gehosteten Videos

  • Es gibt die Möglichkeit der Verlinkung. Diese ist am sichersten und am einfachsten, allerdings ist der Inhalt des Videos dann nicht auf der eigenen Seite abrufbar und die WebsitebesucherInnen werden beim Klick auf den Link zu Vimeo weitergeleitet, statt auf der Website zu bleiben.
  • Zwei-Klick-Lösungen (Platzhalter) sind auch eine beliebte Variante, Videos datenschutzfreundlich einzubinden. Hierbei wird das Video und der dahinterliegende Code so lange blockiert, bis der Nutzer eine klare Einwilligung zu Verarbeitung erteilt. Bei einigen Consent Management Plattformen (CMP) wie z.B. Borlabs, sind solche von Haus aus schon im Tool integriert. Solange das Video nicht angezeigt wird, erscheint am selben Ort eine Platzhalternachricht.
  • Eine weitere Möglichkeit ist die der lokalen Einbindung eines Videos. Dazu muss dieses zunächst heruntergeladen werden und dann ins Backend hochgeladen. Allerdings muss hier unbedingt das Urheberrecht beachtet werden. Achtung: Nicht alle Videos können einfach so lokal eingebunden werden. Ein weiterer Nachteil dieser Methode ist, dass sich durch interne Videos die Ladezeit der Seite verschlechtert, was nicht nur weniger nutzerfreundlich ist, sondern auch negative Auswirkungen auf das Google-Ranking haben kann.

Apropos Ladezeiten: Das gleiche gilt für Plugins: Je mehr Plugins, desto länger die Ladezeiten von Websites. Daher ist es schlicht und ergreifend am besten, keine Videos zu verwenden.

Fazit

Eine komplett datenschutzsichere Einbettung von durch Vimeo gehosteten Videos ist leider nicht möglich.

Das liegt daran, dass Vimeo Daten in die USA weiterleitet, und nicht Teil des Data Privacy Frameworks ist.

Die Zwei-Klick-Lösung (mithilfe von Plugins oder eigenem Platzhalter Code) sowie die Einwilligung über ein Cookie Banner kommt einer datenschutzkonformen Einbindung am nächsten und ist auf jeden Fall die empfehlenswerteste Variante von allen.
Nur hierbei wird der Transfer personenbezogener Daten in die USA und das setzen von Cookies so lange blockiert, bis der Nutzer eine Einwilligung gegeben hat.

Eine Einbindung ohne jegliche Form von Zwei-Klick-Lösungen ist nicht empfohlen.

Du wünschst weitere Infos zum Privacy Hub oder unseren Beratungsleistungen?

Erich Panihin

Erich Panihin

CEO & Head of Product

sales@cookiebox.pro
Telefon:
Kostenlos testen
Preise & Pakete
Pakete & Preise
Kostenlos testen
cookiebox logo