Anmelden Einloggen

Vimeo OTT – Datenverarbeitungsvereinbarung

Letzte Aktualisierung: 25. Februar 2024

Gemäß der zwischen Vimeo OTT und dem Produzenten abgeschlossenen Vereinbarung über die OTT-Services von Vimeo verarbeitet Vimeo OTT bei der Bereitstellung der Vimeo-OTT-Services personenbezogene Daten von Kunden des Produzenten. Diese Vereinbarung über die Datenverarbeitung („DPA“) legt die Rechte und Verpflichtungen der Parteien gemäß den Datenschutzgesetzen in Bezug auf diese Daten fest.

Im Falle eines Widerspruchs zwischen den Bestimmungen dieses Zusatzes zur Datenverarbeitung und einer anderen Vereinbarung zwischen den Parteien sind die Bestimmungen dieses Zusatzes maßgeblich. Im Falle eines Widerspruchs zwischen den Standardvertragsklauseln und den Bestimmungen dieses Zusatzes zur Datenverarbeitung sind die Standardvertragsklauseln maßgeblich.

1. Definitionen

  • „Anwendbare Datenschutzgesetze“ bezeichnet zusammenfassend alle nationalen, bundesstaatlichen, staatlichen, provinziellen und lokalen Datenschutzgesetze und -vorschriften, die für die Parteien in Bezug auf die Verarbeitung personenbezogener Daten in Verbindung mit der Vimeo OTT-Dienstvereinbarung gelten, einschließlich, aber nur in dem Umfang und bei rechtlicher Wirksamkeit (einschließlich derjenigen, die nach dem oben genannten Datum der „letzten Aktualisierung“ in Kraft treten): Brasiliens Lei Geral de Proteção de Dados („LGPD“), der California Consumer Privacy Act (einschließlich der durch den California Privacy Rights Act von 2020 geänderten Fassung) („CCPA“),der Colorado Privacy Act („CPA"), der Virginia Consumer Data Protection Act („CDPA“),der Utah Consumer Privacy Act („UCPA“)und das Connecticut Act Concerning Personal Data Privacy and Online Monitoring („CTPA“)und die im Rahmen des Vorstehenden erlassenen Verordnungen; Kanadas Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente („PIPEDA"); die Datenschutz-Grundverordnung der Europäischen Union („DSGVO“); Japans Gesetz zum Schutz der personenbezogenen Daten („APPI“); Bundesgesetz über den Datenschutz („DSG“)der Schweiz; und die Datenschutz-Grundverordnung des Vereinigten Königreichs („UK GDPR“).
  • „Geschäftszwecke“ bezeichnet die aufgezählten Geschäftszwecke, die in Cal. Civ. Code Abschnitt 1798,140(d)(1)–(7) und am oder nach dem 1. Januar 2023 Cal. Civ. Code Abschnitt 1798,140(e)(1)–(8) dargelegt sind und die auf die Vimeo-OTT-Services anwendbar sind.
  • „Verantwortlicher“ bezeichnet die Partei, die die Zwecke und Mittel der Verarbeitung kontrolliert, und schließt „Verantwortlicher“, „Unternehmen“ und andere ähnliche Begriffe gemäß den geltenden Gesetzen zum Schutz der Privatsphäre und Privatsphäre ein.
  • Datenschutzrahmen“ bezeichnet den EU-US-Datenschutzrahmen, die britische Erweiterung des EU-US-Datenschutzrahmens und den Schweiz-US-Datenschutzrahmen, wie vom US-Handelsministerium festgelegt.
  • „Datensubjekt“ bedeutet „Datensubjekt“, „Verbraucher“ und ähnliche Begriffe gemäß den geltenden Gesetzen zum Schutz der Privatsphäre und personenbezogenen Daten.
  • „Personenbezogene Daten“ bezeichnet alle Daten, die gemäß den geltenden Datenschutzgesetzen als „personenbezogene Daten“, „personenbezogene Informationen“ oder ähnliche Begriffe definiert sind.
  • „Produzent“ bezeichnet einen Kunden von Vimeo OTT, der die Vimeo OTT-Services nutzt, um die Videoinhalte der Produzenten an die Kunden des Produzenten zu liefern.
  • „Auftragsverarbeiter“ bezeichnet eine Partei, die personenbezogene Daten im Auftrag einer anderen Partei verarbeitet, und schließt „Auftragsverarbeiter“, „Dienstanbieter“ und andere ähnliche Begriffe nach den geltenden Gesetzen zum Schutz der Privatsphäre und personenbezogenen Daten ein.
  •  „Kunden von Produzenten“ bezeichnet ein Datensubjekt, das den Videodienst des Produzenten über die Vimeo OTT-Services abonniert oder anderweitig erworben hat.
  • „Kundendaten des Produzenten“ bezeichnet die personenbezogenen Daten von Kunden des Produzenten, die in Verbindung mit OTT-Services an Vimeo OTT übermittelt werden. Kundendaten des Produzenten enthalten keine personenbezogenen Daten, die von Vimeo OTT außerhalb der Vimeo-OTT-Services erfasst wurden.
  • Eingeschränkte Übermittlung“ bezeichnet: (i) wenn die DSGVO oder das FADP Anwendung finden, eine Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum oder der Schweiz (je nach Anwendbarkeit) in ein Land außerhalb des Europäischen Wirtschaftsraums oder der Schweiz (je nach Anwendbarkeit), die nicht einer Angemessenheitsbestimmung durch die Europäische Kommission oder den Schweizer Federal Data Protection and Information Commissioner (je nach Anwendbarkeit) unterliegt; und (ii) wenn die DSGVO des Vereinigten Königreichs Anwendung findet, eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, die nicht auf Angemessenheitsbestimmungen gemäß Abschnitt 17A des United Kingdom Data Protection Act 2018 beruht. Eine Übermittlung personenbezogener Daten in die Vereinigten Staaten gemäß dem Data Privacy Framework stellt keine eingeschränkte Übermittlung dar.
  • „Sensible Daten“ bedeutet „sensible personenbezogene Daten", „sensible Daten", „spezielle Kategorien personenbezogener Daten“ oder personenbezogene Daten, die nach den geltenden Gesetzen zum Schutz der Privatsphäre und personenbezogenen Daten ähnlich klassifiziert sind.
  • „Standardvertragsklauseln“ bezeichnet die Standardvertragsklauseln, die gemäß der Entscheidung (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigt wurden und die gemäß Abschnitt 8 dieses Zusatzes zur Verarbeitung personenbezogener Daten ausgefüllt sind. Für die Verarbeitung personenbezogener Daten, die der UK GDPR unterliegen, enthalten die Standardvertragsklauseln auch den Zusatz zur internationalen Datenübermittlung zu den Standardvertragsklauseln der EU-Kommission (das „UK Addendum“), der gemäß Abschnitt 8 dieses Zusatzes zur Datenübermittlung ausgefüllt ist.
  • „Vimeo OTT“ bezeichnet für die Zwecke dieser Vereinbarung Vimeo.com, Inc.
  • „Vimeo OTT-Services“ bezeichnet die Video-Hosting- und Streaming-Plattform, die von Vimeo OTT gemäß der Vereinbarung über die OTT-Services von Vimeo und den damit verbundenen Bestellformularen oder Leistungsbeschreibungen erbracht wird.
  • „Vimeo OTT-Services-Vereinbarung“ bezeichnet den Verkäuferzusatz zu den Vimeo-Nutzungsbedingungen, verfügbar unter https://vimeo.com/selleraddendum, sowie die Vimeo-Nutzungsbedingungen, verfügbar unter https://vimeo.com/terms, es sei denn, zwischen Ihnen und Vimeo OTT besteht eine separat ausgehandelte Vereinbarung für Vimeo OTT-Services, dann bezeichnet „Vereinbarung über Vimeo OTT-Services“ diese Vereinbarung.
  • „Vimeo OTT-Richtlinien“ bezeichnet interne Richtlinien zur Informationssicherheit, einschließlich der geltenden Aufbewahrungszeitpläne. 
  • Die Begriffe „kommerzielle Zwecke“, „Verletzung personenbezogener Daten“, „verarbeiten“, „verkaufen“, „freigeben“ und ihre Anerkennung haben die gleiche Bedeutung wie in den geltenden Gesetzen zum Datenschutz.

2. Rollen

2.1. Die Parteien erklären sich damit einverstanden, dass in Bezug auf die Verarbeitung von Kundendaten des Produzenten bei der Bereitstellung der Vimeo-TT Services der Produzent als Verantwortlicher und Vimeo OTT als Auftragsverarbeiter gilt.

2.2. Der Produzent bestätigt und stimmt zu, dass Vimeo OTT und seine Partner ungeachtet des Abschnitts 2,1 personenbezogene Daten von Datensubjekten in ihrer Funktion als Nutzer anderer Vimeo-OTT-Services direkt erfassen und verarbeiten können. Auch wenn es sich bei diesen Datensubjekten auch um Kunden von Produzenten handeln kann, handelt Vimeo OTT als Verantwortlicher für personenbezogene Daten, die außerhalb der Vimeo-OTT-Services gesammelt oder übermittelt wurden und bei denen es sich nicht um Kundendaten des Produzenten handelt.

2.3. Die Parteien sind sich einig und stimmen zu, dass die Inhalte und Details der Verarbeitung aus Anhang I ersichtlich sind.

3. Bedingungen für die Verarbeitung durch Vimeo OTT

3.1. Vimeo OTT wird:​

3.1.1. Kundendaten des Produzenten für die Bereitstellung der Vimeo-OTT-Services für den Produzenten gemäß den in der Vereinbarung über die OTT-Services von Vimeo festgelegten Anweisungen oder gemäß den Anweisungen des Produzenten verarbeiten;

3.1.2. personenbezogene Daten gemäß CCPA nur für einen Geschäftszweck verarbeiten oder wie anderweitig nach den geltenden Datenschutzgesetzen zulässig verarbeiten;

3.1.3. sicherstellen, dass jeder, der in seinem Namen handelt, die Daten des Produzenten-Kunden gemäß den Bestimmungen dieser DPA und der geltenden Datenschutzgesetze verarbeitet und einer angemessenen Geheimhaltungspflicht unterliegt;

3.1.4. den Produzenten benachrichtigen, wenn Vimeo OTT von Umständen Kenntnis erlangt, die es daran hindern würden, die Anweisungen des Produzenten oder die Verpflichtungen aus dieser DPA, einschließlich aller Anhänge, zu erfüllen;

3.1.5. den Produzenten benachrichtigen, wenn Vimeo OTT feststellt, dass ein Gesetz oder eine Vorschrift, die für Vimeo OTT gilt, es daran hindert, die vom Produzenten erhaltenen Anweisungen und seine Verpflichtungen gemäß dieser DPA, einschließlich aller Anhänge, zu erfüllen;

3.1.6. den Produzenten innerhalb der von den geltenden Datenschutzgesetzen vorgeschriebenen Frist benachrichtigen, wenn es feststellt, dass es seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen nicht mehr nachkommen kann, und es dem Produzenten ermöglichen, angemessene und geeignete Schritte zu unternehmen, um die unbefugte Verarbeitung von Kundendaten des Produzenten zu stoppen und zu beheben;

3.1.7.auf Anfrage des Produzenten Informationen zur Verfügung stellen, die es dem Produzenten ermöglichen, Datenschutzbewertungen durchzuführen und zu dokumentieren; und

3.1.8. in dem Maße, wie es die geltenden Datenschutzgesetze vorschreiben, und nicht mehr als einmal jährlich, angemessene Bewertungen durch den Produzenten oder einen von ihm benannten Prüfer (oder, falls vereinbart und auf Kosten von Vimeo OTT, durch einen qualifizierten Prüfer von Vimeo) zulassen und mit ihm zusammenarbeiten, um eine Bewertung der Richtlinien sowie der technischen und organisatorischen Maßnahmen von Vimeo zur Unterstützung der Verpflichtungen gemäß den geltenden Datenschutzgesetzen unter Verwendung eines angemessenen und anerkannten Kontrollstandards oder Rahmens und Bewertungsverfahrens für solche Bewertungen und vorbehaltlich angemessener Zugangs- und Vertraulichkeitseinschränkungen durchzuführen. Wenn Vimeo OTT einen eigenen Prüfer beauftragt, stellt dieser dem Produzenten auf Anfrage einen zusammenfassenden Bericht zur Verfügung, der die Verpflichtungen von Vimeo OTT gemäß diesem Abschnitt 3.1.8 erfüllt.

3.2. Vorbehaltlich des Abschnitts 3.1.1 wird Vimeo Folgendes nicht tun:​

3.2.1. die Kundendaten des Produzenten verkaufen oder weitergeben;

3.2.2. die Kundendaten des Produzenten für einen anderen Zweck als die Bereitstellung der Vimeo-OTT-Services, die Geschäftszwecke oder für einen anderen Zweck aufbewahren, der gemäß den geltenden Datenschutzgesetzen zulässig ist, aufbewahren, verwenden oder offenlegen.

3.2.3. die Kundendaten des Produzenten außerhalb der direkten Geschäftsbeziehung zwischen dem Produzenten und Vimeo OTT aufbewahren, verwenden oder offenlegen, ohne vorher die schriftliche Zustimmung des Produzenten einzuholen; oder

3.2.4. Kundendaten des Produzenten mit personenbezogenen Daten kombinieren, die Vimeo OTT von anderen Kunden erhält.

4. Bedingungen für die Verarbeitung durch den Produzenten

Der Produzent wird:

4.1. die Kundendaten des Produzenten gemäß den geltenden Gesetzen zum Schutz personenbezogener Daten erfassen, nutzen und verarbeiten;

4.2. die Hauptverantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der Produzentenkundendaten und der Mittel, mit denen sie erlangt wurden, übernehmen, einschließlich, falls zutreffend, jeglicher Mitteilungspflichten oder notwendiger Zustimmungen zur rechtmäßigen Verarbeitung personenbezogener Daten, einschließlich sensibler Daten, gemäß den anwendbaren Datenschutzgesetzen; und

4.3 Kundendaten des Produzenten in Übereinstimmung mit den veröffentlichten Datenschutzrichtlinien verarbeiten, unabhängig davon, ob solche Richtlinien von Vimeo OTT oder dem Produzenten bereitgestellt werden. Für den Fall, dass die Verarbeitung durch den Produzenten nicht mit den von Vimeo OTT zur Verfügung gestellten Datenschutzrichtlinien übereinstimmt, muss der Produzent seine eigenen Datenschutzrichtlinien zur Verfügung stellen, die einen ausreichenden Hinweis auf alle von Produzent und Vimeo OTT durchgeführten Verarbeitungsaktivitäten enthalten.

5. Sicherheit und Einhaltung von Bestimmungen

5.1. Vimeo OTT setzt angemessene technische, organisatorische und sicherheitstechnische Maßnahmen ein, um die Privatsphäre und Sicherheit der Kundendaten des Produzenten zu schützen.

5.2. Vimeo OTT unterstützt den Produzenten innerhalb einer angemessenen Zeitspanne, durch geeignete Maßnahmen und so weit wie möglich (unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen), indem es die Verpflichtungen gemäß Artikel 32 bis 36 der DSGVO einhält.

5.3. Alle Speicherung und/oder Übertragung von Kundendaten des Produzenten durch den Produzenten an einen Drittanbieter oder eine andere Plattform als Vimeo OTT erfolgt auf das eigene Risiko und Verantwortung des Produzenten.

5.4. Wenn Vimeo OTT von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, die die Kundendaten des Produzenten betrifft, wird Vimeo OTT den Produzenten unverzüglich und gemäß den geltenden Vorschriften darüber informieren. Die Benachrichtigung von Vimeo OTT über eine Verletzung des Schutzes personenbezogener Daten gilt nicht als Bestätigung durch Vimeo OTT hinsichtlich eines Fehlers oder einer Haftung in Bezug auf diesen Vorfall. Im Falle einer Verletzung des Schutzes personenbezogener Daten ist der Produzent verpflichtet, die nach geltendem Recht erforderlichen Maßnahmen in Verbindung mit den Kundendaten des Produzenten zu ergreifen. Auf Wunsch unterstützt Vimeo OTT den Produzenten bei der Kommunikation mit den Aufsichtsbehörden bezüglich der Verletzung des Schutzes personenbezogener Daten.

5.5. Auf angemessene schriftliche Anfrage wird Vimeo OTT dem Produzenten die Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung seiner Verpflichtungen gemäß diesem DPA und der geltenden Gesetze nachzuweisen.

6. Unterauftragsverarbeiter

6.1. Der Produzent erklärt sich damit einverstanden, dass Vimeo OTT weiterhin die in Anhang III aufgeführten Unterauftragsverarbeiter einsetzen darf.

6.2. Der Produzent erteilt Vimeo OTT hiermit die allgemeine Genehmigung, Unterauftragsverarbeiter zu wechseln oder neue Unterauftragsverarbeiter zu beauftragen, ohne eine weitere schriftliche, spezifische Genehmigung des Produzenten einzuholen. Vimeo OTT unterrichtet den Produzenten über jede Änderung oder Hinzufügung von Unterauftragsverarbeitern durch Aktualisierung von Anhang III und/oder Benachrichtigung per E-Mail. Wenn der Produzent einer Unterverarbeitung von Vimeo OTT nicht zustimmt, sollte er die Nutzung der Vimeo OTT Services unverzüglich einstellen.

6.3. Vimeo OTT schließt mit jedem Unterauftragsverarbeiter eine Vereinbarung ab, deren Bedingungen mindestens das gleiche Maß an Schutz und Sicherheit gewährleisten wie die Bedingungen in dieser Vereinbarung über die Datenverarbeitung. Vimeo OTT unterliegt der in der Vereinbarung über die Nutzungsbedingungen von Vimeo OTT festgelegten Haftungsbeschränkung und ist für alle Handlungen und Unterlassungen von Unterauftragsverarbeitern verantwortlich, die Kundendaten des Produzenten verarbeiten.

7. Anfragen für individuelle Rechte

7.1. Der Produzent beauftragt und bevollmächtigt Vimeo OTT hiermit, gemäß den geltenden Datenschutzgesetzen direkt auf nachprüfbare Anfragen für individuelle Rechte zu antworten, die sich auf die Kundendaten des Produzenten beziehen, die sich im Besitz, Besitz oder unter der Kontrolle von Vimeo OTT befinden.

7.2. Vimeo OTT wird den Produzenten benachrichtigen, wenn es eine Anfrage für individuelle Rechte in Bezug auf die Löschung oder den Zugriff auf Informationen erhält, die sich auf die Kundendaten des Produzenten beziehen. Es liegt in der Verantwortung des Produzenten, diese Anfrage mit Daten oder Informationen zu ergänzen, die Vimeo OTT nicht zur Verfügung stehen, soweit die Bereitstellung dieser zusätzlichen Informationen gesetzlich vorgeschrieben ist.

8. Internationale Übertragungen

8.1 Eingeschränkte Übermittlung.Der Hersteller erkennt an und erklärt sich damit einverstanden, dass Vimeo OTT den Vimeo OTT-Service in erster Linie von den Vereinigten Staaten aus betreibt und dass daher die Kundendaten des Herstellers vom Standort des Herstellers und/oder vom Standort der betroffenen Person an Vimeo OTT in den Vereinigten Staaten übertragen werden. Wenn die Kundendaten des Herstellers Gegenstand einer eingeschränkten Übermittlung sind, stellt Vimeo OTT sicher, dass solche Übermittlungen in Übereinstimmung mit dem geltenden Datenschutzrecht erfolgen, indem es sich auf die Standardvertragsklauseln stützt, die hiermit in diese DPA aufgenommen werden und die als abgeschlossen, ausgefüllt und aufgenommen gelten, wie in diesem Abschnitt 8,1 beschrieben.

8.1.1. Bei Einschränkungen unterliegenden Übermittlungen, die durch die DSGVO oder UK GDPR geschützt sind, gelten die Standardvertragsklauseln, die wie folgt ergänzt werden:

  • Klausel 7: Die fakultative Klausel wird aufgenommen;
  • Klausel 11(a): Die fakultative Klausel wird nicht berücksichtigt;
  • Klausel 13(a): Als zuständige Aufsichtsbehörde fügen Sie das Bayerische Landesamt für Datenschutzaufsicht ein;
  • Klausel 17: Das geltende Recht ist das der Republik Deutschland;
  • Klausel 18: Alle Streitigkeiten, die sich aus den Standardvertragsklauseln ergeben, werden von den Gerichten in München, Deutschland, beigelegt; und
  • jeder Konflikt zwischen den Bedingungen der Standardvertragsklauseln und dem britischen Nachtrag wird gemäß Abschnitt 10 und Abschnitt 11 des britischen Nachtrags gelöst.

8.1.2. Für eingeschränkte Übermittlungen, die durch das FADP geschützt sind, gelten die Standardvertragsklauseln, die wie oben in Abschnitt 8,1,2 beschrieben vervollständigt werden, mit der Ausnahme, dass:

  • die zuständige Aufsichtsbehörde der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte ist;
  • Klausel 17: Es gilt das Recht der Schweiz;
  • Verweise auf „Mitgliedstaat(en)“ sind so auszulegen, dass sie sich auf die Schweiz beziehen, und in der Schweiz ansässige Datensubjekte sind berechtigt, ihre Rechte gemäß den Standardvertragsklauseln in der Schweiz auszuüben und durchzusetzen; und
  • Verweise auf die „Allgemeine Datenschutzverordnung“ in den Standardvertragsklauseln sind als Verweise auf das Schweizer DSG zu verstehen.

8.1.3. Der Produzent und Vimeo OTT erklären sich damit einverstanden, dass die Unterzeichnung eines Bestellformulars als Unterzeichnung von Anhang IA und Anhang II der Standardvertragsklauseln in Bezug auf alle eingeschränkten Übertragungen gilt, die in Bezug auf die Vimeo-OTT-Services, auf die sich das Bestellformular bezieht, erforderlich sind und die in einer entsprechenden, vollständig und angemessen ausgefüllten Version von Anhang I, Anhang II und Anhang III (unten) der Standardvertragsklauseln zusammen mit (gegebenenfalls) dem UK Addendum aufgeführt sind.

8.2. Datenschutzrahmen. Der Hersteller erkennt an, dass Vimeo OTT den Datenschutzrahmen einhält und dass die Übertragung von Kundendaten des Herstellers an Vimeo OTT, die im Rahmen des Datenschutzrahmens erfolgt, keine eingeschränkte Übertragung darstellt. Wenn die Zertifizierung des Datenschutzrahmens von Vimeo ausläuft oder der Datenschutzrahmen ungültig wird, gilt die Übertragung von Kundendaten des Herstellers sofort als eingeschränkte Übertragung und die Bestimmungen von Abschnitt 8.1 gelten.

8.3. Wenn Vimeo OTT von einem Dritten eine Anordnung zur zwangsweisen Weitergabe von Kundendaten des Produzenten erhält, die mit den Standardvertragsklauseln übermittelt wurden, verpflichtet sich Vimeo OTT:

8.3.1. alle zumutbaren Bemühungen zu unternehmen, um den Dritten zu veranlassen, die Daten direkt beim Produzenten anzufordern;

8.3.2. den Produzenten unverzüglich zu benachrichtigen, sofern dies nicht gesetzlich verboten ist;

8.3.3. den Dritten um eine angemessene Fristverlängerung zu ersuchen, damit der Produzent den Antrag prüfen kann; und

8.3.4. alle rechtmäßigen Anstrengungen zu unternehmen, um die Anordnung zur Offenlegung aufgrund rechtlicher Mängel oder Konflikten mit den Gesetzen der EU, der Schweiz, Großbritanniens oder Großbritanniens oder des geltenden Rechts der EU-Mitgliedstaaten anzufechten.

Wenn Vimeo OTT nach Ausschöpfung dieser Schritte weiterhin gezwungen ist, Kundendaten des Produzenten an Dritte weiterzugeben, gibt Vimeo OTT Daten nur im unbedingt erforderlichen Mindestumfang weiter, um der Anfrage nachzukommen.

9. Laufzeit und Beendigung

9.1. Diese Vereinbarung über die Datenverarbeitung gilt so lange, wie der Produzent die Vimeo-OTT-Services nutzt. Sie bleibt allerdings auch dann in Kraft, wenn Vimeo OTT gemäß den Bedingungen in dieser Vereinbarung über die Datenverarbeitung oder einer anderen Vimeo-OTT-Richtlinie die Kundendaten des Produzenten auch nach Beendigung der Vimeo-OTT-Services speichert, in welchem Fall die Vereinbarung so lange gilt, wie Vimeo OTT die jeweiligen Daten speichert.

9.2. Nach Beendigung oder Ablauf der Vereinbarung über die Vimeo-OTT-Services und sofern Vimeo OTT über keine rechtmäßige Grundlage verfügt, solche Kundendaten des Produzenten gemäß geltendem Recht zu speichern, wird Vimeo OTT die Kundendaten des Produzenten so bald wie möglich gemäß den Vimeo-OTT-Richtlinien und den geltenden Gesetzen löschen.

9.3. Vimeo OTT hat das Recht, die Bedingungen dieser Vereinbarung von Zeit zu Zeit zu ändern und/oder anzupassen, um geltende Gesetze oder Verordnungen zu erfüllen.

9.4. Bei Fragen zu dieser Vereinbarung über die Datenverarbeitung oder bei Anfragen von Produzenten bezüglich der Erfüllung von Anfragen bezüglich individueller Rechte wenden Sie sich bitte an [email protected]. Vimeo OTT wird versuchen, etwaige Beschwerden in Bezug auf die Kundendaten des Produzenten gemäß dieser Datenverarbeitung und den Vimeo-OTT-Richtlinien zu klären.

ANHANG I

Einzelheiten der Verarbeitung

A. LISTE DER PARTEIEN

Datenexporteur(e):

  1. Der Datenexporteur ist das Unternehmen, das in der Vereinbarung über die Nutzungsbedingungen von Vimeo OTT angegeben ist.
  2. Rolle (Verantwortlicher/Auftragsverarbeiter): Verantwortlicher

Datenimporteur(e):

  1. Name: Vimeo.com, Inc. („Vimeo” oder „Vimeo OTT”)
    Adresse: 330 West 34th Street, 5th Floor, New York, New York 10001
    Name, Position und Kontaktdaten der Kontaktperson: Aleah Vickers, Datenschutzbeauftragter.      [email protected] 
    Aktivitäten, die für die im Rahmen dieser Klausel übertragenen Daten relevant sind: gemäß der Vereinbarung über die OTT-Services von Vimeo OTT und dem zwischen Datenexporteur und Datenimporteur vereinbartem Bestellformular.
    Unterschrift und Datum: gemäß Vereinbarung über die OTT-Services von Vimeo.
  2. Rolle (Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter

B. BESCHREIBUNG DER ÜBERTRAGUNG

  1. Betreff. Der Gegenstand der Datenverarbeitung im Rahmen dieser Datenverarbeitung sind die Kundendaten des Produzenten.
  2. Art der Verarbeitung. Vimeo OTT verarbeitet die Kundendaten des Produzenten, um die Vimeo-OTT-Services, einschließlich der Funktionen und Funktionalitäten, die vom Produzenten initiiert wurden, bereitzustellen. Dazu gehört auch:
  1. Hochladen, Hosting, Verwaltung und Streaming von Videoinhalten durch den Produzenten und für Kunden des Produzenten;
  2. Bearbeitung der Transaktionen von Kunden des Produzenten und Ausführung der Aufträge von Kunden des Produzenten;
  3. Bereitstellung von Kundensupport für die Kunden des Produzenten; und
  4. Bereitstellung aller weiteren Funktionen und Funktionalitäten, die durch die Vimeo-OTT-Services angeboten werden und die der Produzent in Anspruch nehmen möchte.
  1. Dauer. Die Verarbeitungsdauer entspricht der Nutzungsdauer der Vimeo-OTT-Services durch den Produzenten.
  2. Zweck. Der Zweck der Verarbeitung ist die Bereitstellung der Vimeo-TT Services, die durch den Produzenten initiiert wurden.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Bayrische Datenschutzbehörde

ANHANG II

Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Daten

Vimeo unterhält interne Richtlinien für Informationssicherheit und Datenschutz, die jährlich genehmigt werden und von allen Vimeo-Mitarbeitern überprüft und akzeptiert werden müssen. Diese Richtlinien umfassen Standards für das Informationssicherheitsmanagement, wie sie in der Datenschutz-Grundverordnung der EU (DSGVO) sowie von dem Sarbanes-Oxley Act (SOX), den Payment Card Industry Data Security Standards (PCI DSS), den Security Trust Principles of SOC 2 Type 2 und anderen Gesetzen, Vorschriften oder Standards zum Schutz der Privatsphäre oder personenbezogener Daten gefordert werden. Die folgenden Spotlight-Kontrollen veranschaulichen den Informationssicherheitsrahmen von Vimeo:

Governance

Das Sicherheitsprogramm von Vimeo basiert auf dem Konzept der tiefgehenden Sicherheit: Schutz unserer Organisation und der Benutzerdaten in jeder Phase. Unser Sicherheitsprogramm orientiert sich an den Normen ISO (International Standards Organization) 27001 und NIST (National Institute of Standards and Technology) und wird ständig mit aktualisierten Richtlinien und neuen Best Practices der Branche weiterentwickelt. Vimeo unterhält ein engagiertes Sicherheitsteam, das von Vimeos Chief Information Security Officer geleitet wird, der für die Implementierung und Verwaltung unseres Sicherheitsprogramms verantwortlich ist.

Vimeo unterhält und implementiert ein schriftliches Informationssicherheitsprogramm, einschließlich angemessener Richtlinien, Verfahren und Risikobewertungen, die mindestens jährlich überprüft werden. Das Programm gilt für die Mitarbeiter, Auftragnehmer und Lieferanten von Vimeo. Vimeo unterhält einen Prozess zur Überwachung und Durchsetzung der Programmkonformität und zur Protokollierung von Programmverstößen.

Schulung zum Sicherheitsbewusstsein

Vimeo bietet seinen Mitarbeitern jährliche Sicherheitsschulungen zu relevanten Bedrohungen und Geschäftsanforderungen wie Social-Engineering-Angriffen, Umgang mit sensiblen Daten, Ursachen unbeabsichtigter Datenexposition sowie Identifizierung und Meldung von Sicherheitsvorfällen an.

Reaktion auf Zwischenfälle und Disaster Recovery

Vimeo hat Pläne und Verfahren für die Reaktion auf Sicherheitsvorfälle erstellt, die Richtlinien für die effektive Erkennung, Reaktion, Abschwächung und Wiederherstellung von Sicherheitsvorfällen innerhalb des Unternehmens festlegen, um minimale Auswirkungen auf den Betrieb und den Schutz sensibler Daten zu gewährleisten. Sie umfassen Prozesse für die Vorbereitung von Vorfällen, die Erkennung/Analyse, die Eindämmung, die Ausrottung, die Wiederherstellung, die Sanierung und die Kommunikation mit Kunden, falls erforderlich.

Verwaltung von Schwachstellen

Vimeo unterhält einen Prozess zur rechtzeitigen Identifizierung und Behebung von System-, Geräte- und Anwendungsschwachstellen durch Patches, Updates, Fehlerbehebungen oder andere Änderungen, um die Sicherheit der Kundendaten zu gewährleisten. Vimeo zielt darauf ab, kritische Schwachstellen innerhalb von 7 Tagen nach Entdeckung zu beheben. Schwachstellen mit hohem Risiko werden innerhalb von 30 Tagen nach Entdeckung behoben.

Malware-Abwehr

Vimeo implementiert Endgeräteerkennung und -reaktion sowie Anti-Malware-Software auf Arbeitsstationen und Servern, um die Installation, Verbreitung und Ausführung von bösartigem Code zu steuern, zu erkennen und zu beheben.

Vorratsdatenspeicherung

Vimeo-Nutzer haben in ihren Kontoeinstellungen die Möglichkeit, von Nutzern übermittelte Kontodaten (einschließlich Videos, Kommentare, Gruppenbeteiligung und Kanalbeteiligung) zu löschen. Vimeo löscht die von den Nutzern übermittelten Kontodaten innerhalb einer angemessenen Frist nach einem Löschungsantrag oder einer Kontoschließung endgültig.

Verschlüsselung

Vimeo verschlüsselt Kundendaten im Ruhezustand und bei der Übertragung über offene Netzwerke in Übereinstimmung mit den bewährten Verfahren der Branche. Für die Verschlüsselung im Ruhezustand wird AES128 oder höher verwendet. Für die Verschlüsselung bei der Übermittlung wird TLS 1.2 oder höher verwendet.

Firewalls

Vimeo verwaltet und konfiguriert Firewalls, um Systeme mit Kundendaten vor unbefugtem Zugriff zu schützen.  Vimeo prüft Firewall-Regeln mindestens jährlich, um sicherzustellen, dass gültige, dokumentierte Business Cases für alle Regeln vorhanden sind.

Zugriffskontrolle

Vimeo befolgt bei der Bereitstellung des Zugriffs auf das Vimeo-System das Prinzip der minimalen Rechte und der rollenbasierten Berechtigungen. Mitarbeiter dürfen nur auf die Daten zugreifen, die sie zur Erfüllung ihrer Aufgaben und Verantwortlichkeiten bearbeiten müssen. Die Zertifizierung des Benutzerzugangs wird vierteljährlich durchgeführt.

Sicherheitstests

Vimeo führt interne und externe Penetrationstests von Systemen durch, um Schwachstellen und Angriffsvektoren zu identifizieren, die zur Nutzung dieser Systeme verwendet werden können.  Identifizierte Schwachstellen werden im Rahmen des Schwachstellenmanagementprogramms von Vimeo behoben. Vimeo nutzt auch die Unterstützung der Sicherheits-Community durch das HackerOne-Bug-Bounty-Programm.

Lieferantenmanagement

Vimeo führt eine Informationssicherheitsprüfung aller Lieferanten durch, die auf personenbezogene Daten zugreifen werden, und stellt erhöhte Anforderungen an die Datensicherheit für Lieferanten, die Zugang zu den kritischen Systemen von Vimeo haben. Diese Überprüfung umfasst sowohl das anfängliche Onboarding als auch die jährliche Rezertifizierung.

Anhang III

Unterauftragsverarbeiter von Vimeo OTT

Letzte Aktualisierung: 25. Februar 2024

  • Akamai Technologies, Inc.
  • Avalara, Inc.
  • Amazon Web Services, Inc.
  • Cloudflare, Inc.
  • Datadog, Inc.
  • Fastly, Inc.
  • Functional Software, Inc.(Sentry)
  • Google LLC (Google Analytics + Google Cloud)
  • Intuition Machines, Inc. (hCaptcha)
  • Salesforce.com, inc. (Heroku)
  • Intertrust Cloud Services Corporation
  • Mailgun, Inc.
  • Mux, Inc.
  • Redis Ltd.
  • Stripe Inc.
  • Tipalti Solutions GmbH
  • Zendesk, Inc.