Anmelden Einloggen

Vimeo OTT – Datenverarbeitungsvereinbarung

Zuletzt aktualisiert: 8. April 2025

Gemäß der zwischen Vimeo OTT und dem Produzenten abgeschlossenen Vereinbarung über die Nutzungsbedingungen von Vimeo OTT verarbeitet Vimeo OTT bei der Bereitstellung der Vimeo-OTT-Services personenbezogene Daten von Kunden des Produzenten. Diese Vereinbarung über die Datenverarbeitung („DPA“) legt die Rechte und Verpflichtungen der einzelnen Parteien gemäß den Datenschutzgesetzen in Bezug auf diese Daten fest.

Wenn die Standardvertragsklauseln Anwendung finden und es einen Konflikt zwischen den Standardvertragsklauseln und den Bedingungen dieses DPA gibt, haben die Standardvertragsklauseln Vorrang.

1. Definitionen

  • Anwendbare Datenschutz- und Privatsphäre-Gesetze“ bezeichnet alle nationalen, bundesstaatlichen, staatlichen, provinziellen und lokalen Datenschutz- und Privatsphäre-Gesetze und -Vorschriften, die für die Parteien in Bezug auf die Verarbeitung personenbezogener Daten im Zusammenhang mit der Vereinbarung über die Vimeo OTT-Dienste gelten, einschließlich, nur soweit anwendbar und rechtlich wirksam (einschließlich derjenigen, die nach dem obigen Datum „Letzte Aktualisierung“ in Kraft treten): Brasiliens Lei Geral de Proteção de Dados („LGPD“), der California Consumer Privacy Act (einschließlich der Änderungen durch den California Privacy Rights Act von 2020) („CCPA“), der Colorado Privacy Act („CPA“), der Virginia Consumer Data Protection Act („CDPA“), der Utah Consumer Privacy Act („UCPA“) und Connecticuts Act Concerning Personal Data Privacy and Online Monitoring („CTPA“) sowie die im Rahmen der vorgenannten Gesetze erlassenen Vorschriften; Kanadas Personal Information Protection and Electronic Documents Act („PIPEDA“); die Allgemeine Datenschutzverordnung der Europäischen Union („GDPR“); Japans Gesetz über den Schutz personenbezogener Daten („APPI“); das Schweizer Bundesgesetz über den Datenschutz („FADP“); und die Allgemeine Datenschutzverordnung des Vereinigten Königreichs („UK GDPR“).
  • Geschäftszweck“ bezeichnet die aufgezählten Geschäftszwecke, die in Cal. Civ. Code-Abschnitt 1798.140(d)(1)-(7) und am oder nach dem 1. Januar 2023, Cal. Civ. Code-Abschnitt 1798.140(e)(1)-(8) festgelegt und auf die Vimeo OTT-Dienste anwendbar sind.
  • "Verantwortlicher" bezeichnet die Partei, die die Zwecke und Mittel der Verarbeitung kontrolliert, und umfasst "Verantwortlicher", "Unternehmen" und andere ähnliche Begriffe gemäß den geltenden Datenschutzgesetzen.
  • "Datenschutzrahmen" bezeichnet das EU-U.S. Data Privacy Framework, die UK-U.S. Erweiterung des EU-U.S. Data Privacy Framework und das Swiss-U.S. Datenschutzrahmen, wie er vom US-Handelsministerium festgelegt wurde.
  • "Betroffene Person" bedeutet "betroffene Person", "Verbraucher" oder ähnliche Begriffe gemäß den geltenden Datenschutzgesetzen.
  • Personenbezogene Daten“ bezeichnet alle Daten, die gemäß den anwendbaren Datenschutzgesetzen als „personenbezogene Daten“, „persönliche Informationen“ oder ähnliche Begriffe definiert sind.
  • Produzent“ bezeichnet einen Vimeo OTT-Kunden, der die Vimeo OTT-Dienste nutzt, um die Videoinhalte des Produzenten an die Kunden des Produzenten zu liefern.
  • Verarbeiter“ bezeichnet eine Partei, die personenbezogene Daten im Auftrag einer anderen Partei verarbeitet und schließt „Verarbeiter“, „Dienstleister“ und andere ähnliche Begriffe gemäß den geltenden Datenschutzgesetzen ein.
  • Produzentenkunde“ bezeichnet eine betroffene Person, die den Videodienst des Produzenten über die Vimeo OTT-Dienste abonniert oder anderweitig erworben hat.
  • Produzentenkundendaten“ bezeichnet die personenbezogenen Daten von Produzentenkunden, die im Zusammenhang mit den OTT-Diensten an Vimeo OTT übermittelt werden. Produzentenkundendaten schließen keine personenbezogenen Daten ein, die von Vimeo OTT außerhalb der Vimeo OTT-Dienste gesammelt werden.
  • Einschränkung unterliegende Übermittlung“ bedeutet: (i) wenn die DSGVO oder das DSG Anwendung finden, eine Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum oder der Schweiz (je nach Anwendbarkeit) in ein Land außerhalb des Europäischen Wirtschaftsraums oder der Schweiz (je nach Anwendbarkeit), die nicht Gegenstand einer Angemessenheitsbestimmung der Europäischen Kommission oder des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (je nach Anwendbarkeit) ist; und (ii) wenn die DSGVO des Vereinigten Königreichs Anwendung findet, eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, die nicht auf Angemessenheitsbestimmungen gemäß Abschnitt 17A des United Kingdom Data Protection Act 2018 beruht. Eine Übermittlung personenbezogener Daten in die Vereinigten Staaten gemäß dem Data Privacy Framework stellt keine eingeschränkte Übermittlung dar.
  • Sicherheitsvorfall“ bezeichnet jede Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf die Kundendaten des Produzenten führt.
  • Sensible Daten“ bedeutet ‚sensible personenbezogene Informationen‘, ‚sensible Daten‘, ‚besondere Kategorien personenbezogener Daten‘ oder personenbezogene Daten, die nach den geltenden Datenschutzgesetzen ähnlich eingestuft sind.
  • Standardvertragsklauseln“ bezeichnet die gemäß der Entscheidung (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigten Standardvertragsklauseln, die gemäß Abschnitt 8 dieser DPA ausgefüllt werden. Für die Verarbeitung personenbezogener Daten, die der britischen DSGVO unterliegen, umfassen die Standardvertragsklauseln auch den Nachtrag zum internationalen Datentransfer zu den Standardvertragsklauseln der EU-Kommission (der „UK-Nachtrag“), der gemäß Abschnitt 8 dieser DPA ausgefüllt wird.
  • "Vimeo OTT-Kontodaten\" bezeichnet Informationen, die sich auf den Betrieb und die Sicherheit der Vimeo OTT-Dienste beziehen, einschließlich: (a) interne Konto-IDs für Produzenten-Kunden; (b) Rechnungs- und Kontaktinformationen von Personen, die mit dem Vimeo OTT-Dienste-Konto des Produzenten verbunden sind (z. B. Rechnungsadresse, E-Mail-Adresse, Name); (c) Geräte- und Verbindungsinformationen (z. B. IP-Adresse; und (d) Inhalt von Anfragen nach technischem Support und Produktfeedback.
  • Vimeo OTT“ bezeichnet für die Zwecke dieser DPA Vimeo.com, Inc.
  • Vimeo OTT-Dienste“ bezeichnet die Video-Hosting- und Streaming-Plattformdienste, die von Vimeo OTT gemäß der Vereinbarung über Vimeo OTT-Dienste und jedem zugehörigen Bestellformular bzw. Leistungsbeschreibung bereitgestellt werden.
  • Vereinbarung über Vimeo OTT-Dienste“ bezeichnet den Verkäuferzusatz zu den Vimeo-Nutzungsbedingungen, der unter https://vimeo.com/selleraddendum verfügbar ist, sowie die Vimeo-Nutzungsbedingungen, die unter https://vimeo.com/terms verfügbar sind, es sei denn, es gibt eine separat ausgehandelte Vereinbarung für Vimeo OTT-Dienste zwischen Ihnen und Vimeo OTT, dann bezeichnet „Vereinbarung über Vimeo OTT-Dienste“ diese Vereinbarung.
  • Vimeo OTT-Richtlinien“ bezeichnen interne Informationssicherheitsrichtlinien, einschließlich der geltenden Aufbewahrungsrichtlinien.
  • Die Begriffe „kommerzieller Zweck“, „verarbeiten“, „verkaufen“, „teilen“ und ihre verwandten Begriffe haben dieselbe Bedeutung wie in den anwendbaren Datenschutzgesetzen.

2. Rollen

2.1. Die Parteien stimmen zu, dass in Bezug auf die Verarbeitung von Produzentenkundendaten bei der Bereitstellung der Vimeo OTT-Dienste der Produzent als Verantwortlicher und Vimeo OTT als Auftragsverarbeiter fungiert.

2.2. Der Produzent erkennt an und erklärt sich damit einverstanden, dass ungeachtet von Abschnitt 2.1 Vimeo OTT und seine verbundenen Unternehmen personenbezogene Daten direkt von betroffenen Personen in ihrer Eigenschaft als Nutzer anderer Vimeo OTT-Dienste erheben und verarbeiten dürfen. Obwohl diese betroffenen Personen auch Produzentenkunden sein können, agiert Vimeo OTT als Verantwortlicher für personenbezogene Daten, die außerhalb der Vimeo OTT-Dienste erfasst oder übermittelt werden und nicht als Produzentenkundendaten gelten.

2.3. Die Parteien stimmen zu und bestätigen, dass der Gegenstand und die Einzelheiten der Verarbeitung in Anhang I festgelegt sind.

2.4. Vimeo wird Vimeo OTT-Kontodaten als Verantwortlicher für die folgenden Zwecke verarbeiten: (a) zur Verwaltung der Beziehung mit dem Produzenten (Kommunikation mit dem Produzenten gemäß seinen Kontopräferenzen, Bereitstellung von technischem Support usw.); (b) zur Gewährleistung von Sicherheit, Betrugsprävention, Leistungsüberwachung, Geschäftskontinuität und Katastrophenwiederherstellung; (c) zur Unterstützung der Geschäftsstrategie von Vimeo; und (d) zur Durchführung von Kerngeschäftsfunktionen wie Buchhaltung, Rechnungsstellung und Steuererklärung.

3. Bedingungen für die Verarbeitung durch Vimeo OTT

3.1. Vimeo OTT wird Folgendes tun:

3.1.1. Kundendaten des Produzenten gemäß den dokumentierten rechtmäßigen Anweisungen des Produzenten, die in der Vereinbarung (einschließlich dieser DPA) und den jeweiligen Bestellformularen festgelegt sind, verarbeiten, soweit dies erforderlich ist, um (a) die Vimeo OTT-Dienste für den Produzenten bereitzustellen und dem Produzenten die Nutzung verschiedener Funktionen und Funktionalitäten zu ermöglichen; (b) Sicherheitsvorfälle zu untersuchen und die Nutzungsbedingungen durchzusetzen; und (c) seinen gesetzlichen Verpflichtungen nachzukommen.

3.1.2. „Personenbezogene Daten“ gemäß CCPA nur für einen Geschäftszweck verarbeiten oder wie anderweitig nach den geltenden Datenschutzgesetzen zulässig;

3.1.3. Sicherstellen, dass jede Person, die im Namen des Unternehmens handelt, die Daten des Produzenten-Kunden gemäß den Bestimmungen dieser DPA und den geltenden Datenschutzgesetzen verarbeitet und an eine angemessene Geheimhaltungspflicht gebunden ist;

3.1.4. Den Produzenten benachrichtigen, wenn Vimeo OTT von Umständen erfährt, die es daran hindern würden, die Anweisungen des Produzenten oder die Verpflichtungen dieses DPA, einschließlich etwaiger Zeitpläne, zu erfüllen;

3.1.5. Den Produzenten benachrichtigen, wenn Vimeo OTT Kenntnis davon erlangt, dass ein auf es anwendbares Gesetz oder eine Vorschrift es daran hindert, die vom Produzenten erhaltenen Anweisungen und seine Verpflichtungen gemäß dieser DPA, einschließlich aller Anhänge, zu erfüllen;

3.1.6. Den Produzenten innerhalb der von den anwendbaren Datenschutz- und Datensicherheitsgesetzen geforderten Frist benachrichtigen, wenn festgestellt wird, dass die Verpflichtungen gemäß diesen Gesetzen nicht mehr erfüllt werden können, und dem Produzenten ermöglichen, angemessene und geeignete Maßnahmen zu ergreifen, um die unbefugte Verarbeitung von Kundendaten des Produzenten zu stoppen und zu beheben;

3.1.7. Auf Anfrage des Produzenten Informationen bereitstellen, die es dem Produzenten in angemessener Weise ermöglichen, Datenschutzbewertungen durchzuführen und zu dokumentieren; und

3.1.8. Gestatten und kooperieren, soweit dies nach den geltenden Datenschutz- und Privatsphäregesetzen erforderlich ist und nicht mehr als einmal jährlich, anhand von angemessenen Bewertungen durch den Produzenten oder dessen benannten Prüfer (oder, wenn einvernehmlich vereinbart und auf Kosten von Vimeo OTT, einem qualifizierten Prüfer von Vimeo), um eine Bewertung der Richtlinien sowie der technischen und organisatorischen Maßnahmen von Vimeo zur Unterstützung der Verpflichtungen gemäß den geltenden Datenschutzgesetzen durchzuführen, unter Verwendung eines geeigneten und anerkannten Kontrollstandards oder -rahmens und Bewertungsverfahrens für solche Bewertungen, und vorbehaltlich angemessener Zugangs- und Vertraulichkeitsbeschränkungen. Sollte Vimeo OTT einen eigenen Prüfer beauftragen, wird es dem Produzenten auf Anfrage einen zusammenfassenden Bericht zur Verfügung stellen, der die Verpflichtungen von Vimeo OTT gemäß Abschnitt 3.1.8 erfüllt.

3.2. Vorbehaltlich Abschnitt 3.1.1, Vimeo OTT wird nicht:

3.2.1. Die Kundendaten des Produzenten verkaufen oder teilen;

3.2.2. Die Kundendaten des Produzenten für andere Zwecke als die Bereitstellung der Vimeo OTT-Dienste, der Geschäftszwecke oder eines anderen nach den geltenden Datenschutzgesetzen zulässigen Zwecks aufbewahren, verwenden oder offenlegen;

3.2.3. Die Kundendaten des Produzenten außerhalb der direkten Geschäftsbeziehung zwischen dem Produzenten und Vimeo OTT speichern, nutzen oder offenlegen, ohne zuvor die schriftliche Zustimmung des Produzenten einzuholen; oder

3.2.4. Die Kundendaten des Produzenten mit den personenbezogenen Daten, die Vimeo OTT von anderen Kunden erhält, kombinieren.

4. Bedingungen für die Verarbeitung durch den Produzenten

Der Produzent wird:

4.1. Produzentenkundendaten in Übereinstimmung mit allen anwendbaren Datenschutzgesetzen sammeln, nutzen und verarbeiten;

4.2. Die Hauptverantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der Kundendaten des Produzenten und der Mittel, mit denen sie erlangt wurden, tragen, einschließlich, wo zutreffend, aller Mitteilungspflichten oder erforderlichen Zustimmungen zur rechtmäßigen Verarbeitung personenbezogener Daten, einschließlich sensibler Daten, gemäß den geltenden Datenschutzgesetzen; und

4.3 Die Kundendaten des Produzenten gemäß den veröffentlichten Datenschutzrichtlinien verarbeiten, unabhängig davon, ob diese von Vimeo OTT oder dem Produzenten bereitgestellt werden. Falls die Verarbeitung des Produzenten nicht mit der von Vimeo OTT bereitgestellten Datenschutzrichtlinie übereinstimmt, muss der Produzent eine eigene Datenschutzrichtlinie bereitstellen, die ausreichend über alle Verarbeitungsaktivitäten des Produzenten und von Vimeo OTT informiert.

5. Sicherheit und Einhaltung von Bestimmungen

5.1. Vimeo OTT wird angemessene technische, organisatorische und sicherheitstechnische Maßnahmen ergreifen, um die Privatsphäre und Sicherheit der Daten der Produzentenkunden zu schützen.

5.2. Vimeo OTT wird den Produzenten innerhalb angemessener Fristen durch geeignete Maßnahmen und soweit dies vernünftigerweise möglich ist (unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen), bei der Erfüllung seiner Verpflichtungen gemäß den Artikeln 32 bis 36 der DSGVO unterstützen.

5.3. Jegliche Speicherung und/oder Übertragung von Kundendaten des Produzenten durch den Produzenten an Dritte oder andere Plattformen als Vimeo OTT erfolgt auf alleiniges Risiko und Verantwortung des Produzenten.

5.4. Sollte Vimeo OTT von einem Sicherheitsvorfall Kenntnis erlangen, wird Vimeo OTT unverzüglich und, soweit möglich, spätestens 72 Stunden nach Kenntniserlangung den Produzenten gemäß den geltenden Vorschriften benachrichtigen. Die Benachrichtigung von Vimeo OTT über einen Sicherheitsvorfall wird nicht als Anerkennung eines Fehlers oder einer Haftung von Vimeo OTT in Bezug auf diesen Vorfall angesehen. Im Falle eines Sicherheitsvorfalls ist der Produzent verpflichtet, die nach geltendem Recht erforderlichen Maßnahmen in Bezug auf die Kundendaten des Produzenten zu ergreifen. Auf Anfrage wird Vimeo OTT den Produzenten bei der Kommunikation mit den Regulierungsbehörden im Hinblick auf den Sicherheitsvorfall unterstützen.

5.5. Auf schriftliche Anfrage wird Vimeo OTT dem Produzenten die notwendigen Informationen zur Verfügung stellen, um die Einhaltung seiner Verpflichtungen gemäß diesem DPA und den geltenden Datenschutzgesetzen nachzuweisen.

6. Unterauftragsverarbeiter

6.1. Der Produzent stimmt der fortgesetzten Nutzung der in Anhang III aufgeführten Subprozessoren durch Vimeo OTT zu.

6.2. Der Produzent erteilt Vimeo OTT hiermit die allgemeine Genehmigung, Subprozessoren zu ändern oder neue zu beauftragen, ohne eine weitere schriftliche, spezifische Genehmigung des Produzenten einzuholen. Vimeo OTT wird den Produzenten über jede Änderung oder Hinzufügung von Unterauftragsverarbeitern informieren, indem Anhang III aktualisiert wird und/oder eine Benachrichtigung per E-Mail gesendet wird. Falls der Produzent einer Unterverarbeitung durch Vimeo OTT widerspricht, sollte er die Nutzung der Vimeo OTT-Dienste unverzüglich einstellen.

6.3. Vimeo OTT wird mit jedem Unterauftragsverarbeiter eine Vereinbarung abschließen, die sicherstellt, dass die Bedingungen mindestens das gleiche Maß an Schutz und Sicherheit bieten, wie in dieser DPA festgelegt. Vorbehaltlich der in der Vimeo OTT-Dienstleistungsvereinbarung festgelegten Haftungsbeschränkung ist Vimeo OTT für alle Handlungen und Unterlassungen von Unterauftragsverarbeitern verantwortlich, die Produzentenkundendaten verarbeiten.

7. Anfragen für individuelle Rechte

7.1. Der Produzent beauftragt und bevollmächtigt hiermit Vimeo OTT, direkt auf nachprüfbare Anfragen zu individuellen Rechten gemäß den geltenden Datenschutzgesetzen zu antworten, die sich auf die Kundendaten des Produzenten beziehen, die sich im Besitz, in der Obhut oder unter der Kontrolle von Vimeo OTT befinden.

7.2. Vimeo OTT wird den Produzenten benachrichtigen, wenn es eine Anfrage auf Löschung oder Zugriff auf Informationen in Bezug auf die Kundendaten des Produzenten erhält. Es obliegt dem Produzenten, eine solche Anfrage mit allen Daten oder Informationen zu ergänzen, die Vimeo OTT nicht zur Verfügung stehen, soweit die Bereitstellung dieser zusätzlichen Informationen gesetzlich erforderlich ist.

8. Internationale Übertragungen

8.1Eingeschränkte Übertragungen.Der Produzent versteht und stimmt zu, dass Vimeo OTT den Vimeo OTT-Dienst hauptsächlich von den Vereinigten Staaten aus betreibt und dass daher die Kundendaten des Produzenten vom Standort des Produzenten und/oder vom Standort der betroffenen Person an Vimeo OTT in den Vereinigten Staaten übertragen werden. Wenn die Kundendaten des Produzenten Gegenstand einer eingeschränkten Übermittlung sind, stellt Vimeo OTT sicher, dass diese Übertragungen in Übereinstimmung mit den geltenden Datenschutzgesetzen erfolgen, indem es sich auf die Standardvertragsklauseln stützt, die hiermit in dieses DPA aufgenommen werden und als ausgefüllt, ergänzt und eingefügt gelten, wie in diesem Abschnitt 8.1 beschrieben.

8.1.1. Für eingeschränkte Übermittlungen, die durch die Datenschutz-Grundverordnung (DSGVO) oder die britische Datenschutz-Grundverordnung (UK DSGVO) geschützt sind, gelten die Standardvertragsklauseln, die wie folgt ausgefüllt werden:

  • Wenn der Produzent ein Verantwortlicher ist, gilt Modul Zwei. Wenn der Produzent ein Verarbeiter ist, wird Modul Drei angewendet. Wenn Vimeo und der Produzent jeweils als Verantwortliche agieren (d. h. für Vimeo-Kontodaten), gilt Modul Eins;
  • Klausel 7: Die fakultative Klausel wird aufgenommen;
  • Klausel 11(a): Die fakultative Klausel wird nicht berücksichtigt;
  • Klausel 13(a): Die zuständige Aufsichtsbehörde wird gemäß Abschnitt C von Anhang I ausgewählt;
  • Klausel 17: Die Parteien wählen das Recht Irlands aus, um Streitigkeiten zu regeln, die sich aus diesen Standardvertragsklauseln ergeben;
  • Klausel 18: Alle Streitigkeiten, die sich aus den Standardvertragsklauseln ergeben, werden von den Gerichten Irlands beigelegt; und
  • jeder Konflikt zwischen den Bedingungen der Standardvertragsklauseln und dem britischen Nachtrag wird gemäß Abschnitt 10 und Abschnitt 11 des britischen Nachtrags gelöst.

8.1.2. Für eingeschränkte Übermittlungen, die durch das FADP geschützt sind, sollen die Standardvertragsklauseln, die gemäß den oben in Abschnitt 8.1.2 festgelegten Bedingungen vervollständigt wurden, gelten, außer dass:

  • die zuständige Aufsichtsbehörde der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte ist;
  • Klausel 17: Es gilt das Recht der Schweiz;
  • Verweise auf „Mitgliedstaat(en)“ sind so auszulegen, dass sie sich auf die Schweiz beziehen, und in der Schweiz ansässige Datensubjekte sind berechtigt, ihre Rechte gemäß den Standardvertragsklauseln in der Schweiz auszuüben und durchzusetzen; und
  • Verweise auf die „Allgemeine Datenschutzverordnung“ in den Standardvertragsklauseln sind als Verweise auf das Schweizer DSG zu verstehen.

8.1.3. Der Produzent und Vimeo OTT stimmen zu, dass die Unterzeichnung eines Bestellformulars als Unterzeichnung von Anhang IA und Anhang II der Standardvertragsklauseln in Bezug auf alle erforderlichen eingeschränkten Übertragungen gilt, die sich auf die Vimeo OTT-Dienste beziehen, auf die sich das Bestellformular bezieht, und die in einer relevanten, vollständig und angemessen ausgefüllten Version von Anhang I, Anhang II und Anhang III (unten) der Standardvertragsklauseln aufgeführt sind, zusammen (falls zutreffend) mit dem UK-Zusatz.

8.2. Datenschutzrahmenwerk. Der Produzent erkennt an, dass Vimeo OTT den Datenschutzrahmen einhält und dass Übertragungen von Kundendaten des Produzenten an Vimeo OTT, die im Rahmen des Datenschutzrahmens erfolgen, keine eingeschränkte Übertragung darstellen. Sollte die Zertifizierung des Datenschutzrahmens von Vimeo OTT erlöschen oder der Datenschutzrahmen für ungültig erklärt werden, gelten Übertragungen von Produzentenkundendaten sofort als eingeschränkte Übertragungen, und die Bestimmungen von Abschnitt 8.1 treten in Kraft.

8.3. Falls Vimeo OTT von einer Drittpartei einen Auftrag zur erzwungenen Offenlegung von Produzenten-Kundendaten erhält, die unter Verwendung der Standardvertragsklauseln übertragen wurden, wird Vimeo OTT:

8.3.1. Alle zumutbaren Anstrengungen einsetzen, um die Drittpartei dazu zu bewegen, die Daten direkt vom Hersteller anzufordern;

8.3.2. Den Produzenten unverzüglich benachrichtigen, es sei denn, dies ist gesetzlich verboten;

8.3.3. Eine angemessene Fristverlängerung von der Drittpartei anfordern, damit der Produzent den Antrag bewerten kann; und

8.3.4. Alle rechtmäßigen Mittel einsetzen, um die Anordnung zur Offenlegung aufgrund von Rechtsmängeln oder Konflikten mit den Gesetzen der EU, der Schweiz, des Vereinigten Königreichs oder des geltenden Rechts der EU-Mitgliedstaaten anzufechten.

Wenn Vimeo OTT nach Ausschöpfung dieser Schritte weiterhin gezwungen ist, Kundendaten des Produzenten an Dritte weiterzugeben, gibt Vimeo OTT Daten nur im unbedingt erforderlichen Mindestumfang weiter, um der Anfrage nachzukommen.

9. Laufzeit und Beendigung

9.1. Diese DPA bleibt in Kraft, solange der Produzent einen der Vimeo OTT-Dienste nutzt. Sollte Vimeo OTT jedoch gemäß den Bedingungen dieser DPA oder den Vimeo OTT-Richtlinien verpflichtet sein, die Kundendaten des Produzenten nach Beendigung der Vimeo OTT-Dienste aufzubewahren, bleibt diese DPA in Kraft, solange Vimeo OTT diese Daten speichert.

9.2. Nach Beendigung oder Ablauf der OTT-Dienstleistungsvereinbarung und sofern Vimeo OTT keine rechtmäßige Grundlage hat, um solche Produzentenkundendaten gemäß geltendem Recht zu speichern, wird Vimeo OTT die Produzentenkundendaten so bald wie möglich gemäß den Vimeo OTT-Richtlinien und geltenden Gesetzen löschen.

9.3. Vimeo OTT hat das Recht, die Bedingungen dieser DPA bei Bedarf von Zeit zu Zeit zu ändern und/oder anzupassen, um alle geltenden Gesetze oder Vorschriften einzuhalten.

9.4. Alle Fragen zu dieser DPA oder Anfragen von Produzenten zur Erfüllung individueller Rechteanfragen sollten an [email protected] gerichtet werden. Vimeo OTT wird versuchen, alle Beschwerden bezüglich der Verwendung von Produzentenkundendaten gemäß dieser DPA und den Vimeo OTT-Richtlinien zu lösen.

ANHANG I

Einzelheiten der Verarbeitung

A. LISTE DER PARTEIEN

Datenexporteur(e):

  • Der Datenexporteur ist das Unternehmen, das in der Vereinbarung über die Nutzungsbedingungen von Vimeo OTT angegeben ist.
  • Rolle (Verantwortlicher/Auftragsverarbeiter): Verantwortlicher

Datenimporteur(e):

  • Name: Vimeo.com, Inc. („Vimeo“ oder „Vimeo OTT“)
  • Adresse: 330 West 34th Street, 5th Floor, New York, New York 10001, USA
  • Name, Position und Kontaktdaten der Kontaktperson: [email protected]
  • Aktivitäten, die für die im Rahmen dieser Klauseln übertragenen Daten relevant sind: In Übereinstimmung mit der Vereinbarung über Vimeo OTT-Dienste und dem damit verbundenen Bestellformular, das zwischen dem Datenexporteur und dem Datenimporteur vereinbart wurde.
  • Unterschrift und Datum: Gemäß der Vereinbarung über Vimeo OTT-Dienste.
  • Rolle (Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter

B. BESCHREIBUNG DER ÜBERTRAGUNG

  • Gegenstand. Gegenstand der Datenverarbeitung im Rahmen dieser Vereinbarung über die Datenverarbeitung sind die Kundendaten des Produzenten.
  • Art der Verarbeitung.Vimeo OTT verarbeitet die Kundendaten des Produzenten, um die Vimeo OTT-Dienste bereitzustellen, einschließlich der vom Produzenten initiierten Funktionen und Merkmale. Dies umfasst:
    • Hochladen, Hosting, Verwaltung und Streaming von Videoinhalten durch den Produzenten und für Kunden des Produzenten;
    • Bearbeitung der Transaktionen von Kunden des Produzenten und Ausführung der Aufträge von Kunden des Produzenten;
    • Bereitstellung von Kundensupport für die Kunden des Produzenten; und
    • Bereitstellung aller weiteren Funktionen und Funktionalitäten, die durch die Vimeo-OTT-Services angeboten werden und die der Produzent in Anspruch nehmen möchte.
  • Dauer. Die Verarbeitungsdauer entspricht der Nutzungsdauer der Vimeo-OTT-Services durch den Produzenten.
  • Zweck. Der Zweck der Verarbeitung ist die Bereitstellung der Vimeo-OTT-Services, die durch den Produzenten initiiert wurden.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Wenn der Produzent in einem EU-Mitgliedstaat niedergelassen ist, ist die zuständige Aufsichtsbehörde die Aufsichtsbehörde des EU-Mitgliedstaats, in dem der Produzent niedergelassen ist.

Falls der Hersteller nicht in einem EU-Mitgliedstaat niedergelassen ist, findet Artikel 3(2) der DSGVO Anwendung und der Hersteller hat gemäß Artikel 27 der DSGVO einen EU-Vertreter benannt: Die zuständige Aufsichtsbehörde ist die des EU-Mitgliedstaats, in dem der EU-Vertreter des Herstellers seinen Sitz hat.

Wenn der Produzent nicht in einem EU-Mitgliedstaat ansässig ist, gilt Artikel 3 Absatz 2 der DSGVO, das Unternehmen hat jedoch keinen EU-Vertreter gemäß Artikel 27 der DSGVO benannt: Die zuständige Aufsichtsbehörde ist die Aufsichtsbehörde des EU-Mitgliedstaats, in dem sich die Mehrheit der betroffenen Personen befindet, deren personenbezogene Daten gemäß diesen Klauseln übermittelt werden.

ANHANG II

Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Daten

Vimeo unterhält interne Richtlinien für Informationssicherheit und Datenschutz, die jährlich genehmigt werden und von allen Vimeo-Mitarbeitern überprüft und akzeptiert werden müssen. Diese Richtlinien umfassen Standards für das Informationssicherheitsmanagement, wie sie in der Datenschutz-Grundverordnung der EU (DSGVO) sowie von dem Sarbanes-Oxley Act (SOX), den Payment Card Industry Data Security Standards (PCI DSS), den Security Trust Principles of SOC 2 Type 2 und anderen Gesetzen, Vorschriften oder Standards zum Schutz der Privatsphäre oder personenbezogener Daten gefordert werden. Die folgenden Spotlight-Kontrollen veranschaulichen den Informationssicherheitsrahmen von Vimeo:

Governance

Das Sicherheitsprogramm von Vimeo basiert auf dem Konzept der tiefgehenden Sicherheit: Schutz unserer Organisation und der Benutzerdaten in jeder Phase. Unser Sicherheitsprogramm orientiert sich an den Normen ISO (International Standards Organization) 27001 und NIST (National Institute of Standards and Technology) und wird ständig mit aktualisierten Richtlinien und neuen Best Practices der Branche weiterentwickelt. Vimeo unterhält ein engagiertes Sicherheitsteam, das von Vimeos Chief Information Security Officer geleitet wird, der für die Implementierung und Verwaltung unseres Sicherheitsprogramms verantwortlich ist.

Vimeo unterhält und implementiert ein schriftliches Informationssicherheitsprogramm, das geeignete Richtlinien, Verfahren und Risikobewertungen umfasst, die mindestens einmal jährlich überprüft werden. Das Programm gilt für die Mitarbeiter, Auftragnehmer und Lieferanten von Vimeo. Vimeo hat einen Prozess zur Überwachung und Durchsetzung der Programmkonformität sowie zur Protokollierung von Programmverstößen implementiert.

Schulung zum Sicherheitsbewusstsein

Vimeo bietet seinen Mitarbeitern jährliche Sicherheitsschulungen zu relevanten Bedrohungen und Geschäftsanforderungen wie Social-Engineering-Angriffen, Umgang mit sensiblen Daten, Ursachen unbeabsichtigter Datenexposition sowie Identifizierung und Meldung von Sicherheitsvorfällen an.

Reaktion auf Zwischenfälle und Disaster Recovery

Vimeo hat Pläne und Verfahren für die Reaktion auf Sicherheitsvorfälle erstellt, die Richtlinien für die effektive Erkennung, Reaktion, Abschwächung und Wiederherstellung von Sicherheitsvorfällen innerhalb des Unternehmens festlegen, um minimale Auswirkungen auf den Betrieb und den Schutz sensibler Daten zu gewährleisten. Sie umfassen Prozesse für die Vorbereitung von Vorfällen, die Erkennung/Analyse, die Eindämmung, die Ausrottung, die Wiederherstellung, die Sanierung und die Kommunikation mit Kunden, falls erforderlich.

Verwaltung von Schwachstellen

Vimeo unterhält einen Prozess zur rechtzeitigen Identifizierung und Behebung von System-, Geräte- und Anwendungsschwachstellen durch Patches, Updates, Fehlerbehebungen oder andere Änderungen, um die Sicherheit der Kundendaten zu gewährleisten. Vimeo zielt darauf ab, kritische Schwachstellen innerhalb von 7 Tagen nach Entdeckung zu beheben. Schwachstellen mit hohem Risiko werden innerhalb von 30 Tagen nach Entdeckung behoben.

Malware-Abwehr

Vimeo implementiert Endgeräteerkennung und -reaktion sowie Anti-Malware-Software auf Arbeitsstationen und Servern, um die Installation, Verbreitung und Ausführung von bösartigem Code zu steuern, zu erkennen und zu beheben.

Vorratsdatenspeicherung

Vimeo-Nutzer haben in ihren Kontoeinstellungen die Möglichkeit, von Nutzern übermittelte Kontodaten (einschließlich Videos, Kommentare, Gruppenbeteiligung und Kanalbeteiligung) zu löschen. Vimeo löscht die von den Nutzern übermittelten Kontodaten innerhalb einer angemessenen Frist nach einem Löschungsantrag oder einer Kontoschließung endgültig.

Verschlüsselung

Vimeo verschlüsselt Kundendaten im Ruhezustand und bei der Übertragung über offene Netzwerke in Übereinstimmung mit den bewährten Verfahren der Branche. Für die Verschlüsselung im Ruhezustand wird AES128 oder höher verwendet. Für die Verschlüsselung bei der Übermittlung wird TLS 1.2 oder höher verwendet.

Firewalls

Vimeo verwaltet und konfiguriert Firewalls, um Systeme mit Kundendaten vor unbefugtem Zugriff zu schützen.  Vimeo prüft Firewall-Regeln mindestens jährlich, um sicherzustellen, dass gültige, dokumentierte Business Cases für alle Regeln vorhanden sind.

Zugriffskontrolle

Vimeo befolgt bei der Bereitstellung des Zugriffs auf das Vimeo-System das Prinzip der minimalen Rechte und der rollenbasierten Berechtigungen. Mitarbeiter dürfen nur auf die Daten zugreifen, die sie zur Erfüllung ihrer Aufgaben und Verantwortlichkeiten bearbeiten müssen. Die Zertifizierung des Benutzerzugangs wird vierteljährlich durchgeführt.

Sicherheitstests

Vimeo führt interne und externe Penetrationstests von Systemen durch, um Schwachstellen und Angriffsvektoren zu identifizieren, die zur Nutzung dieser Systeme verwendet werden können.  Identifizierte Schwachstellen werden im Rahmen des Schwachstellenmanagementprogramms von Vimeo behoben. Vimeo nutzt auch die Unterstützung der Sicherheits-Community durch das HackerOne-Bug-Bounty-Programm.

Lieferantenmanagement

Vimeo führt eine Informationssicherheitsprüfung aller Lieferanten durch, die auf personenbezogene Daten zugreifen werden, und stellt erhöhte Anforderungen an die Datensicherheit für Lieferanten, die Zugang zu den kritischen Systemen von Vimeo haben. Diese Überprüfung umfasst sowohl das anfängliche Onboarding als auch die jährliche Rezertifizierung.

Anhang III

Unterauftragsverarbeiter von Vimeo OTT

Zuletzt aktualisiert: 8. April 2025

  • Akamai Technologies, Inc.
  • Avalara, Inc.
  • Amazon Web Services, Inc.
  • Cloudflare, Inc.
  • Datadog, Inc.
  • Fastly, Inc.
  • Functional Software, Inc.(Sentry)
  • Google LLC (Google Analytics + Google Cloud + Google Ad Manager)
  • Honeybadger Industries GmbH
  • Salesforce.com, inc. (Heroku)
  • Intertrust Cloud Services Corporation
  • Mailgun, Inc.
  • Mux, Inc.
  • NicePeopleAtWork S.L.
  • Redis Ltd.
  • Stripe Inc.
  • Tipalti Solutions GmbH
  • Zendesk, Inc.