Vimeo DSGVO-konform einbinden: Der umfassende Leitfaden inkl. Checkliste
Die Nutzung von Vimeo als Video-Hosting-Plattform ist weit verbreitet – ob für Marketingzwecke, Tutorials oder Imagefilme. Vimeo hat sich nicht umsonst als professionelles Video-Tool etabliert.
Doch für Webseitenbetreiber*innen in Deutschland und Europa stellt Vimeo als US-Anbieter eine Herausforderung dar. In diesem Leitfaden erfährst du, warum Vimeo problematisch für die DSGVO ist, welche rechtlichen Anforderungen bestehen und welche praktischen Lösungen dir helfen, Videos datenschutzkonform einzubinden.
Warum Vimeo eine Herausforderung für die DSGVO ist
Vimeo ist für viele eine praktische Lösung, um Videos unkompliziert auf der eigenen Webseite einzubinden. Theoretisch muss man nur das Video hochladen, den Code kopieren, auf der Webseite einfügen und fertig. Theoretisch.
Die DSGVO macht das für Webseitenbetreiber*innen leider etwas komplizierter. Das liegt unter anderem an:
- Tracking personenbezogener Daten: Vimeo erhebt Daten über das Nutzerverhalten, sobald ein Video auf einer Webseite eingebettet wird – selbst dann, wenn das Video nicht abgespielt wird.
- Datenübertragung in die USA: Vimeo speichert und verarbeitet Daten auf Servern in den USA. Trotz Zertifizierung nach dem EU-U.S. Data Privacy Framework bleiben rechtliche Risiken bestehen. Es gibt bei Vimeo keine Garantie für Hosting in der EU, und auch keine Option, dafür zu bezahlen.
- Cookie-Einsatz ohne Einwilligung: Standardmäßig setzt Vimeo Cookies, die ohne die Zustimmung der Nutzer*innen gegen die DSGVO verstoßen.
- Es ist kein „essenzieller Dienst“ und zustimmungspflichtig: Vimeo gilt laut Datenschutz-Expert*innen nicht als essenzieller Dienst, da seine Nutzung in den meisten Fällen rein optional ist und keine grundlegende Funktion einer Webseite darstellt. Dr. Sebastian Kraska betont: „Aufgrund der Tatsache, dass die Einbindung von Vimeo nicht für den Betrieb der Website nötig ist, erfordert die Einbindung eine Einwilligung." (Quelle: Legalweb.io)
Die gleichen Probleme, die du auch mit YouTube hast – nur dass bei Vimeo kein großes Werbebusiness im Hintergrund steht, das nebenbei Profile deiner Webseitenbesucher erstellt. Immerhin.
Kurzer Disclaimer: Ob und welches Risiko du durch die Integration von Vimeo hast, muss immer dein Datenschutzbeauftragter beurteilen. Wir können hier nur eine unverbindliche Empfehlung aussprechen.
Rechtliche Anforderungen bei der Nutzung von Vimeo
Die DSGVO verpflichtet dich als Webseitenbetreiberin, personenbezogene Daten deiner Besucherinnen zu schützen. Sonst riskierst du eine Abmahnung. Bei der Nutzung von Vimeo musst du die üblichen Punkte beachten:
- Einwilligung einholen: Vimeo setzt Tracking-Technologien ein, die nur mit vorheriger Zustimmung der Nutzer*innen erlaubt sind. Ein Cookie-Banner, das die Einwilligung klar abfragt, ist hier unverzichtbar.
- Datenschutzerklärung anpassen: Besucher*innen müssen darüber informiert werden, welche Daten Vimeo erhebt, warum diese übertragen werden und wie sie verarbeitet werden. Diese Informationen gehören in deine Datenschutzerklärung.
- Technische Schutzmaßnahmen: Zusätzlich kannst du die Datenmenge, die an Vimeo übertragen wird, durch Parameter wie dnt=1 minimieren (siehe unten). Dies reicht jedoch nicht aus, um die DSGVO komplett zu erfüllen.
Heißt aber auch:
Wenn deine Besucher*innen im Cookie-Banner nicht zustimmen, darfst du das Vimeo-Video nicht laden, auch keine Vorschau. Du musst einen Cookie-Overlay nutzen und darfst es dann erst nachladen, wenn die Zustimmung erteilt wurde.
Auf vielen Webseiten sehen wir leider die falsche Annahme, dass man das über den „DoNotTrack“-Modus verhindern kann. Da müssen wir dich aber leider enttäuschen:
Der Do-Not-Track-Modus von Vimeo und die Probleme damit
Wie gesagt, gehen leider viele davon aus, dass der Vimeo Do-Not-Track-Modus eine datenschutzkonforme Einbindung von Vimeo-Videos ermöglicht.
Was ist der Do-Not-Track-Modus (abgekürzt DNT) überhaupt? Vimeo bietet diese Funktion explizit an, um das Tracking von Nutzerinnen auf Webseiten zu reduzieren. Wenn der DNT-Modus aktiviert wird, soll der Dienst keine Informationen über das Verhalten der Nutzerinnen sammeln, die das eingebettete Video ansehen. Das Ziel dieser Funktion ist es, die Privatsphäre zu schützen.
Tatsächlich reduziert dieser Modus die Menge der übertragenen Daten, schließt jedoch nicht aus, dass Cookies gesetzt werden. Duuuudüüümm.
Laut der eigenen Dokumentation sind dies folgende Cookies:
"If you apply a DNT parameter to the player, the only cookies that will be set are player_clearance, cf_clearance, _cf_bm, and _cfuvid, ... "
Diese werden nicht immer gesetzt. Ob und wann diese gespeichert werden, ist allerdings auch nicht genau ersichtlich.
Für dich bedeutet das, dass der Do-Not-Track-Modus zwar eine sinnvolle Ergänzung ist, aber niemals ein vollwertiger Ersatz für eine klare und DSGVO-konforme Einwilligungslösung sein kann. Heißt, du solltest weiterhin die Einwilligung einholen, um DSGVO-konform zu sein.
So nutzt du den Do-Not-Track-Modus
Hier eine Schritt-für-Schritt-Anleitung:
- Einbettungscode anpassen
Öffne den HTML-Einbettungscode des Videos und füge den Parameter dnt=1 hinzu. Im Code siehst du eine Vimeo-URL, die in der Regel so aussieht:
https://player.vimeo.com/video/12345678?xxxxxxxxxx
Dahinter musst du nun ein „&dnt=1“ setzen. Das sieht dann so aus:
https://player.vimeo.com/video/12345678?xxxxxxxxxx&dnt=1
- Wichtig: nichts anderes entfernen
Entferne bitte keine anderen Parameter bei dieser URL, da diese wichtige Informationen zu den Einstellungen beinhalten. Also wirklich nur ein &dnt=1 einfügen. Das „&“ darfst du auch nicht vergessen. - Prüfen, ob der Parameter aktiv ist
Teste die Integration, indem du sicherstellst, dass beim Laden des Videos keine unnötigen Cookies aktiviert werden. Tools wie die Entwicklerkonsole deines Browsers oder Privacy-Checker-Plugins können helfen.
Wie gesagt, reicht der Do-Not-Track-Modus vermutlich allein nicht. Du musst natürlich die oben genannten Punkte beachten und unter anderem die Datenschutzerklärung anpassen.
Für alle, die im Cookie-Banner deiner Webseite nicht zugestimmt haben, solltest du zur Sicherheit die Videos ausblenden. Schwierig ist dies vor allem bei „dekorativen“ Videos, die du in Bühnen hast und automatisch abspielst. Das kannst du mit Vimeo nicht gut realisieren (mit YouTube auch nicht).
Überblick: Möglichkeiten zur datenschutzfreundlichen Einbindung von Vimeo-Videos
Es gibt mehrere Strategien, um Vimeo-Videos DSGVO-konform einzubinden. Hier sind die wichtigsten Optionen, die dir helfen, rechtliche Risiken zu minimieren:
- Parameter „dnt=1“ verwenden
Siehe oben 😊 - Zwei-Klick-Lösung implementieren
Mit der Zwei-Klick-Lösung werden Vimeo-Videos erst nach ausdrücklicher Zustimmung der Nutzerinnen geladen. Nutzerinnen sehen zunächst ein Vorschaubild und müssen aktiv auf „Video anzeigen“ klicken, bevor Inhalte geladen werden.
Es gibt zahlreiche Plugins für WordPress und andere CMS, die dir bei der Umsetzung helfen. Diese blockieren Videos standardmäßig und holen erst nach der
Zustimmung der Nutzer*innen die Inhalte von Vimeo. Beispiele sind „Complianz“ oder „Borlabs Cookie“.
Wichtig ist, dass die Videos wirklich erst nach der Zustimmung geladen werden. Bei der normalen Integration werden schon Daten übertragen, bevor ein Video abgespielt wird.
Nicht so richtig cool, kostet auf jeden Fall einiges an Views.
- Verlinkung statt Einbettung
Anstatt Vimeo-Videos direkt einzubetten, kannst du auf externe Links setzen. Diese Methode vermeidet jegliche Datenübertragung an Vimeo, solange Nutzer*innen nicht aktiv auf den Link klicken. Geil ist aber anders.
Checkliste:
Vimeo DSGVO-konform integrieren
Damit wir hier klar sind: Natürlich ist Vimeo DSGVO-konform.
Ihr müsst eben nur diese Punkte beachten:
- Setze auf eine Zwei-Klick-Lösung oder Plugins, die Vimeo-Videos erst nach Zustimmung laden.
- Stelle sicher, dass deine Datenschutzerklärung alle relevanten Informationen zu Vimeo enthält.
- Prüfe dein Cookie-Banner darauf, ob es die Zustimmung für Vimeo korrekt abfragt. (Reminder: Vimeo ist nicht „essenziell“ und darf nicht automatisch angekreuzt sein.)
- Zeig keine Videos ohne explizite Zustimmung – entweder im ersten Cookie-Banner oder in der Zwei-Klick-Lösung.
- Optional, aber gut: Integriere den Parameter dnt=1 in den Einbettungscode.
So richtig geil ist das alles nicht:
Gibt es Alternativen?
Videos, die nur einem Teil der Nutzer*innen angezeigt werden oder erst nach ein paar Klicks starten, kosten euch viele Views. Schade, weil die Videos in der Regel aufwendig und teuer produziert wurden.
Um ehrlich zu sein: Du wirst bei allen großen Anbietern – vor allem aus den USA – auf die gleichen Probleme stoßen. Bei YouTube sieht es genauso aus. Bei Wistia auch. Überall musst du die Videos hinter Consent-Bannern verstecken. Das ist alles kein Selbstläufer, wenn es um Datenschutz hier in Deutschland und der EU geht.
Drei Alternativen:
Selbst-Hosting
Diese Lösung bietet maximale Kontrolle über deine Daten. Wir haben hier die besten Video-Formate fürs Web aufgelistet. Performant und skalierend ist diese Lösung allerdings nicht. Gerade das adaptive Streaming, welches bei zunehmender mobiler Nutzung von Webseiten immer wichtiger wird, fehlt hier in der Regel.
Eigenes Video-CDN
Du kannst deine eigenen speziellen Video-Server aufsetzen. Das ist dann die Premium-Lösung für große Webseiten. Kostet aber einiges im Setup und im Betrieb.
Ignite Video
Wir sind ehrlich, wir hatten früher auch Dienste wie Vimeo auf unseren Websites. Uns haben diese ganzen Probleme immer genervt.
30-60% der Besucher*innen keine Videos ausspielen? No way.
Deshalb haben wir Ignite Video entwickelt:
- Privacy First.
- Alles wird in Deutschland gehostet.
- Kein Nutzertracking.
- Keine Cookies.
- Keine Consent-Pflicht.
- Keine Overlays.
- Autoplay ist kein Problem.
- Barrierefreier Player.
Ihr könnt bei uns einfach eure Videos hochladen und wie gewohnt auf eurer Webseite einbauen. Wie du Lust hast. Du musst uns nur in den Datenschutzbedingungen ergänzen. That’s it. Teste es doch selbst.
Beispiel: Best Of Content Marketing hat Vimeo mit Ignite ersetzt.
In diesem Vorher- und Nachher-Beispiel könnt ihr den direkten Unterschied zwischen den beiden Integrationen sehr gut sehen.
