gekennzeichnet.
Vimeo Videos sind eine theoretische Alternative für YouTube Videos, an die jeder Betreiber einer Webseite denkt, der ein Video einbetten möchte. Datenschutzrechtlich sind Vimeo Videos keine Alternative, sondern ähnlich datenfeindlich wie YouTube Videos.
Für YouTube Videos wird eine Einwilligung benötigt, bevor das Video Script geladen werden darf. Die Rede ist hier noch nicht vom Abspielen des Videos, sondern bereits vom Laden des Script, welches es später ermöglicht, das Video abzuspielen.
Ein Vimeo Video kann beispielsweise mit folgendem Code eingebettet werden:
<iframe src="https://player.vimeo.com/video/471147124713?dnt=1%20title=0&byline=0&portrait=0" width="760" height="428" frameborder="0" webkitallowfullscreen mozallowfullscreen allowfullscreen>
Der fett gedruckte Text ist die Videonummer, die hier nur beispielhaft genannt ist.
Der Parameter dnt steht für Do not track, also für die datenschutzfreundliche Ausprägung von Vimeo Videos. Was passiert nun nach dem Einbinden des oben genannten Codes? Immerhin werden gemäß meines Tests keine Cookies gesetzt, dafür finden aber Ladevorgänge statt:
- Das Video Script wird von der Domäne player.vimeo.com geladen.
- Dieses Script lädt ein Mini-Vorschaubild von i.vimeocdn.com nach, Thumbnail genannt.
- Weiterhin wird ein (anscheinend lokalisierter, also sprachabhängiger) Abspieler in Form eines Scripts und einer Layout-Datei (CSS) nachgeladen. Die Domäne ist dieselbe wie zuvor.
- Zum Schluss wird ein größeres Vorschaubild von i.vimeocdn.com geladen.
Wird das Video nun abgespielt, werden die Videodaten in Segmenten nachgeladen. Dies geschieht über einen Kontakt zur Domäne akamaized.net bzw. einer Subdomäne davon, die aus Gründen der Lastverteilung unterschiedliche Namen hat.
Gemäß Vimeo Webseite ist der Anbieter die Vimeo Inc. mit Sitz in Amerika. Aufgrund der Ungültigkeit des Privacy Shield und der Tatsache, dass die USA ein unsicheres Drittland sind bzw. bis vor dem TA-DPF waren, ist eine Einwilligungspflicht vor Laden des Vimeo Video Scripts gegeben (sobald das TA-DPF nicht mehr gilt). Vgl. hierzu Cloud Act, EO12333 und FISA.
Abgesehen davon erscheint es fragwürdig, dass für ein Video gleich drei Domänen involviert sind: vimeo.com, vimeocdn.com und akamaized.net.
Eine WHOIS Abfrage von akamaized.net zeigt, dass der Registrant die Firma Akamai Technologies, INC. mit Sitz in den USA ist. Beim Abspielen des Videos werden also zwei Firmen involviert. Wie man nachlesen kann, scheint Vimeo die Firma Akamai zu nutzen, um ein flüssigeres Abspielen von Videos über ein CDN zu ermöglichen.
Es ist auch möglich, Videos direkt auf der Vimeo Videoplattform anzusehen. Hierbei finden nach meiner Untersuchung noch mehr kritische Datenerhebungen statt als beim Einbinden von Vimeo Videos in eigene Webseiten. Auf der Vimeo Videoplattform wird beispielsweise Google Analytics mit Cookies, aber ohne Einwilligung geladen. Dies ist rechtswidrig.
Statt Vimeo Videos einzubinden, sollten Videos lokal eingebunden werden. Wird die Vimeo Videoplattform verwendet, dann höchstens ohne Branding, also ohne, dass die Videoansicht in Ihre Verantwortlichkeit fallen könnte. Alternativ kann ein geeignetes Vorschaubild mit Link auf die Videoplattform statt eines Video eingebettet werden. Wer Videos direkt einbetten möchte, muss sich auf die Suche nach einem datenschutzkonformen Anbieter machen. Statt mit den Daten der Nutzer wird dann wahrscheinlich mit Geld bezahlt werden müssen.
Mittlerweile habe ich eine datenschutzfreundliche Möglichkeit für Video-Plugins untersucht, die praktikabel ist und quasi keine Kosten verursacht (bis auf das Web Hosting, was sowieso vorhanden sein muss):
Kernaussagen dieses Beitrags
Vimeo Videos sind datenschutzrechtlich ähnlich problematisch wie YouTube Videos.
Beim Einbinden von Vimeo Videos werden Daten von mehreren Firmen in den USA verarbeitet.
Es ist besser, Videos lokal einzubinden, anstatt Vimeo Videos zu verwenden.
Nutze Vimeo ohne Branding oder setze auf Vorschaubilder mit Link.
Für eingebettete Videos benötigst du einen datenschutzkonformen Anbieter, der wahrscheinlich Geld kostet.
Es gibt datenschutzfreundliche Video-Plugins, die günstig sind.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die 
Ihren Hinweis am Schluss: “Statt Vimeo Videos einzubinden, sollten Videos lokal eingebunden werden.”
… halte ich für problematisch und in der Praxis nicht durchführbar! Selbst ein Anbieter wie Webflow, der leistungsstarke Server bereithält, würde Videos in guter Qualität nicht schnell genug streamen können (geschweige denn dass ich sie dort überhaupt einbetten könnte), dass man sie wirklich zumutbar und ruckelfrei ansehen könnte. Gerade deswegen ist man auf profesionelle Anbieter wie Vimeo angewiesen.
Ich bin also ratlos!
Hallo Herr Pfeiffer,
ja, kann ich verstehen. Ich habe aufgrund Ihres Kommentars folgendes am Ende ergänzt:
–
Alternativ kann ein geeignetes Vorschaubild mit Link auf die Videoplattform statt eines Video eingebettet werden. Wer Videos direkt einbetten möchte, muss sich auf die Suche nach einem datenschutzkonformen Anbieter machen. Statt mit den Daten der Nutzer wird dann wahrscheinlich mit Geld bezahlt werden müssen.
–
Entweder ist Ihnen also eine Video-Einbettung so viel wert, dass Sie dafür bezahlen wollen, oder es lohnt den Aufwand nicht (und eine Verlinkung auf eine Videoplattform reicht aus).
Übrigens bin ich der Meinung, dass eingebettete Videos zum Abspielen durch Nutzerwunsch (Video Player) meistens wenig bis keinen Nutzen haben.
"Gemäß Vimeo Webseite ist der Anbieter die Vimeo Inc. mit Sitz in Amerika. Aufgrund der Ungültigkeit des Privacy Shield und der Tatsache, dass die USA ein unsicheres Drittland sind, ist eine Einwilligungspflicht vor Laden des Vimeo Video Scripts gegeben. Vgl. hierzu Cloud Act, EO12333 und FISA." (Stand: 05.03.2025)
Ahem … Vimeo hat sich unter dem EU-US-DPF zertifizieren lassen, welcher bereits seit Jahren den Privacy Shield abgelöst hat. Es besteht also ein Angemessenheitsbeschluss der EK, sodass man nur mehr die allgemeinen Rechtsgrundlagen nach Art 6 prüfen muss.
Beitrag ist aktualisiert. Rechtliches Problem kommt spätestens dann wieder, wenn das EU-US-Datenschutzabkommen wieder kippt. Dieses Abkommen ist nur ein Papier, das erstellt wurde, weil man einfach wollte, dass "falsch" zu "richtig" wird.
Technisch können jetzt schon (wie früher auch) US-Geheimdienste alle Daten auswerten.