Vereinbarung gemäß Art. 26 Abs. 1 S. 2Datenschutz-Grundverordnung (DS-GVO)
zwischen
assetbird GmbH, Rosenthaler Straße 36G, 10178 Berlin, Deutschland (nachfolgend „Partei 1”)
und
dem angemeldeten Unternehmen mit seinen angemeldeten Nutzern. (nachfolgend „Partei 2”)
§ 1
(1) Diese Vereinbarung regelt die Rechte und Pflichten der Verantwortlichen (in Folge auch „Parteien“ genannt) bei der gemeinsamen Verarbeitung personenbezogener Daten. Diese Vereinbarung findet auf alle Tätigkeiten Anwendung, bei denen Beschäftigte der Parteien oder durch sie beauftragte Auftragsverarbeiter personenbezogene Daten für die Verantwortlichen verarbeiten. Die Parteien haben die Mittel und Zwecke der nachfolgend näherbeschriebenen Verarbeitungstätigkeiten gemeinsam festgelegt.
(2) Personenbezogene Daten werden im Rahmen der Plattform „assetbird Profiles“ verarbeitet. Die Parteien legen hiermit fest, dass für die personenbezogenen Daten, die in den folgenden Systembereichen und Verfahren verarbeitet werden, eine gemeinsame Verantwortlichkeit gemäß Art. 26DSGVO besteht:
- Profilerstellung und -verwaltung: Die Eingabe und Verwaltung von Geschäftsprofildaten durch den Nutzer und die anschließende Speicherung und technische Verwaltung dieser Datendurch assetbird innerhalb der Infrastruktur der Plattform.
- Gegenseitige Sichtbarkeit der Daten: Der technische Vorgang durch assetbird, bei dem die Profildaten eines Nutzers für andere registrierte Nutzer sichtbar gemacht werden, wie vertraglich vereinbart. Nicht alle Nutzer haben zwangsläufig Zugriff auf die Kontaktinformationen aller anderen Nutzer. Kontaktinformationen, die auf der Plattform öffentlich gemacht werden, können sowohl von anderen Nutzern der Plattform „assetbird Profiles“ als auch von jeder anderen Person, die auf die mit der Plattformverbundene Webseite zugreift, eingesehen werden.
- Datenzugriff zur Geschäftsanbahnung: Der Zugriff des Nutzers auf die Profildaten anderer Nutzer und deren Einsehen sowie die anschließende, unabhängige Verarbeitung dieser Daten zum Zweck der Kontaktaufnahme und der Prüfung potenzieller Geschäftsmöglichkeiten. Die Parteien legen dabei die Prozessabschnitte fest, in denen personenbezogene Daten in gemeinsamer Verantwortlichkeit verarbeitet werden (Art. 26 DS-GVO). Für die übrigen Prozessabschnitte, bei denen keine gemeinsame Festlegung der Zwecke und Mittel einzelner Phasen der Datenverarbeitung besteht, ist jede Vertragspartei eigenständiger Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO. Soweit die Vertragsparteiendatenschutzrechtliche gemeinsam Verantwortliche im Sinne von Art. 26 DS-GVO sind, gelten die folgenden Vereinbarungen:
§ 2
(1) Im Rahmen der gemeinsamen Verantwortlichkeit für die Plattform „assetbird Profiles“ ist Partei 1 (assetbird) für Folgendesverantwortlich (Anwendungsbereich A):
- Die sichere technische Bereitstellung, der Betrieb und die Wartung der Plattform „assetbird Profiles“ und ihrer zugrunde liegenden Infrastruktur.
- Die Implementierung der Funktionalitäten, die es den Nutzern ermöglichen, Profile zu erstellen, zu verwalten und einzusehen.
- Die Umsetzung und die Verwaltung von technischen und organisatorischen Maßnahmen (TOM), um die Vertraulichkeit, Integrität und Verfügbarkeit der in den Systemen der Plattformgespeicherten personenbezogenen Daten sicherzustellen.
- Die Erfüllung der Pflichten als zentrale Anlaufstelle für Betroffene, einschließlich der Verwaltung von Anträgen auf Wahrnehmung von Betroffenenrechten auf Plattformebene.
Die folgenden personenbezogenen Daten werden in der Plattform „assetbird Profiles“ verarbeitet:
- Foto (optional)
- Vor- und Nachname
- Telefonnummer
- E-Mail-Adresse
- Berufsbezeichnung
Die Daten werden von dem als Partei 2 auftretenden Unternehmen in die Plattform eingegeben. Die betroffenen Personen sind deren gesetzliche Vertreter und/oder Mitarbeiter.
Die Verantwortlichkeit von Partei 1 ist ausschließlich auf den technischen Betrieb der Plattform beschränkt. Partei 1ist nicht für die anschließende Nutzung personenbezogener Daten durch einen Nutzer gegenüber einem anderen außerhalb der direkten Funktionalitäten der Plattform verantwortlich.
Zudem stimmt Partei 2 hiermit zu, dass die für die Plattform „assetbird Profiles“ bereitgestellten Kontaktdaten an alle potenziellen Kunden von Partei 1 auf der Plattform „assetbird Deals“, die von Kunden aus dem Immobiliensektor genutzt wird, weitergegeben werden. Das gilt auch für Software-Partner wie bspw. CRM-Systeme, die von Unternehmen mit Aktivitäten in der Immobilienbranche genutzt werden. Dazu gehören bspw. PropStack, Flowfact, On Office und Pipedrive, neben anderen. assetbird Kunden und Software-Partner bestätigen, dass die Kontaktdaten nur zum Zwecke der Kontaktaufnahme im geschäftlichen Kontext verwendet werden. assetbird kann aber keine Haftung für die Verwendung der Kontaktdaten durch diese Kunden und Partner übernehmen. Im Falle von Löschungsanfragen kann assetbird sicherstellen, dass die Kontaktdaten von den assetbird-Plattformengelöscht werden, jedoch nicht, dass die Daten auch aus den Systemen der Kunden und Software-Partner von assetbird gelöscht werden, da diese Software-Partner nicht an die Verarbeitungsanweisungen von assetbird gebunden sind
(2) Im Rahmen der gemeinsamen Verantwortlichkeit ist Partei 2 (der Nutzer) für Folgendes verantwortlich (Anwendungsbereich B):
- Die Richtigkeit und Rechtmäßigkeit der Inhalte, einschließlich aller personenbezogenen Daten, die der Nutzer für sein eigenes Profil bereitstellt.- Die Verarbeitung von personenbezogenen Daten, die von der Plattform bezogen wurden, zum Zweck der Anbahnung von Geschäftsmöglichkeiten zwischen den Teilnehmern. Dies schließt ausdrücklich die selbstständigen Aktivitäten des Nutzers zur Kontaktaufnahme mit anderen Nutzern per Telefon, E-Mail oder auf andere Weise ein, die auf der Grundlage der auf der Plattform zur Verfügung gestellten Informationenerfolgen.
- Die Sicherstellung, dass jede Kommunikation oder nachfolgende Verarbeitung der Daten eines anderen Nutzers allen anwendbaren Gesetzen entspricht, einschließlich der Datenschutz-und Wettbewerbsvorschriften.
§ 3
Jede Partei gewährleistet die Einhaltung der gesetzlichen Bestimmungen, insbesondere die Rechtmäßigkeit der durch sie auch im Rahmen der gemeinsamen Verantwortlichkeit durchgeführten Datenverarbeitungen. Die Parteien ergreifen alle erforderlichen technischen und organisatorischen Maßnahmen, damit die Rechte der betroffenen Personen, insbesondere nach den Art. 12 bis 22 DS-GVO, innerhalb der gesetzlichen Fristen jederzeit gewährleistet werden können bzw. sind.
§ 4
(1) Die Parteien speichern die personenbezogenen Daten in einem strukturierten gängigen und maschinenlesbaren Format.
(2) Beide Parteien tragen dafür Sorge, dass nur personenbezogene Daten erhobenwerden, die für die rechtmäßige Prozessabwicklung zwingend erforderlich sind. Im Übrigen beachten beide Vertragsparteien den Grundsatz der Datenminimierung im Sinne von Art. 5 Abs. 1 c DS-GVO.
§ 5
Die Parteien verpflichten sich, der betroffenen Person die gemäß Art. 13 und 14 DS-GVO erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zur Verfügung zu stellen. Die Parteien sind sich einig, dass Partei 1 die Informationen zur Verarbeitung personenbezogener Daten im Wirkbereich A und Partei 2 die Informationen für die Verarbeitung der personenbezogenen Daten im Wirkbereich B bereitstellt.
§ 6
Betroffene Personen können die ihnen aus Art. 15 bis22 DS-GVO zustehenden Rechte gegenüber beiden Vertragsparteien geltend machen.
§ 7
(1) Beide Parteien verpflichten sich, der Auskunftspflicht gemäß Art. 15 DS-GVO nachzukommen.
(2) Die Parteien verpflichten sich, den betroffenen Personen die diesen gemäß Art. 15 DS-GVO zustehenden Auskünfte auf Nachfrage zur Verfügung zu stellen.
§ 8
(1) Soweit sich eine betroffene Person an eine der Parteien in Wahrnehmung ihrer Betroffenenrechte wendet, insbesondere wegen Auskunft oder Berichtigung und Löschung ihrer personenbezogenen Daten, verpflichten sich die Parteien, dieses Ersuchen unverzüglich unabhängig von der Pflicht zur Gewährleistung des Betroffenen rechtes an die andere Partei weiterzuleiten. Diese ist verpflichtet, der anfragenden Vertragspartei die zur Auskunftserteilung notwendigen Informationen aus ihrem Wirkbereich unverzüglich zur Verfügung zu stellen.
(2) Sollen personenbezogene Daten gelöscht werden, informieren sich die Parteienzuvor gegenseitig. Die jeweils andere Partei kann der Löschung aus berechtigtem Grund widersprechen, etwa sofern sie eine gesetzliche Aufbewahrungspflichttrifft.
§ 9
Die Parteien informieren sich gegenseitig unverzüglich und vollständig, wenn sie bei der Prüfung der Verarbeitungstätigkeiten Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellen.
§ 10
Partei1 verpflichtet sich, den wesentlichen Inhalt der Vereinbarung über die gemeinsame datenschutzrechtliche Verantwortlichkeit den betroffenen Personen zur Verfügung zu stellen (Art. 26 Abs. 2 DS-GVO).
§ 11 Beiden Parteien obliegen die aus Art. 33, 34 DS-GVO resultierenden Melde- und Benachrichtigungspflichten gegenüber der Aufsichtsbehörde und den von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen für ihren jeweiligen Wirkbereich. Die Parteien informieren sich unverzüglich gegenseitig über die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und leiten sich die zur Durchführung der Meldung erforderlichen Informationen jeweils unverzüglich zu.
§ 12
Dokumentationen im Sinne von Art. 5 Abs. 2 DS-GVO, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, werden durch jede Partei entsprechend den rechtlichen Befugnissen und Verpflichtungen über das Vertragsende hinaus aufbewahrt.
§ 13
(1) Die Parteien stellen innerhalb ihres Wirkbereiches sicher, dass alle mit der Datenverarbeitung befassten Mitarbeitenden die Vertraulichkeit der Daten gemäß den Artikeln 28 Abs. 3, 29 und32 DS-GVO für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses wahren und dass diese vor Aufnahme ihrer Tätigkeitentsprechend auf das Datengeheimnis verpflichtet sowie in die für sie relevanten Bestimmungen zum Datenschutz eingewiesen werden.
(2) Die Parteien haben eigenständig dafür Sorge zu tragen, dass sie sämtliche in Bezug auf die Daten bestehenden gesetzlichen Aufbewahrungspflichten einhalten. Sie haben hierzu angemessene Datensicherheitsvorkehrungen (Art. 32 ff. DS-GVO)zu treffen. Dies gilt insbesondere im Falle der Beendigung der Zusammenarbeit.
(3) Die Implementierung, Voreinstellung und der Betrieb der Systeme sind unter Beachtung der Vorgaben der DS-GVO und anderer Regelungswerke, insbesondere unter Beachtung der Grundsätze des Datenschutzes durch Design und datenschutzfreundliche Voreinstellungen sowie unter Verwendung von dem Stand der Technik entsprechenden geeigneten technischen und organisatorischen Maßnahmen durchzuführen.
§ 14
Die Parteien nehmen die Verarbeitungstätigkeiten in das Verarbeitungsverzeichnisnach Art. 30 Abs. 1 DS-GVO auf, auch und insbesondere mit einem Vermerk zur Natur des Verarbeitungsverfahrens in gemeinsamer oder alleiniger Verantwortung.
§ 15
Unbeschadet der Regelungen dieses Vertrages haften die Parteien für den Schaden, der durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wird, im Außenverhältnis gemeinsam gegenüber den betroffenen Personen. Im Innenverhältnis haften die Parteien, unbeschadet der Regelungen dieses Vertrages, nur für Schäden, die innerhalb ihres jeweiligen Wirkbereiches entstanden sind. Das ist in Ordnung, aber damit der Vertrag gültig ist, muss er dem Unternehmen während des Vertragsabschlusses zur Verfügung gestellt werden (ähnlich wie es für die Gültigkeit von AGB erforderlich ist).Das passt, aber: Ihr benötigt noch einen zusätzlichen Schritt, um sicherzustellen, dass diese Informationen für die betroffene Person verständlich sind. Fügt hierfür die folgenden Informationen auf derselben Seite hinzu, auf der die Person ihre Kontaktdaten angibt: "Bitte beachten Sie, dass mit dem Klick auf' Bestätigen' Ihre Kontaktdaten an mehrere Kunden von assetbird und andere Partner als separate Verantwortliche weitergegeben werden. Die Bedingungen hierfür sind in der Datenschutzerklärung zu finden (Link zur Datenschutzerklärung). Diese Einwilligung ist freiwillig und kann jederzeit widerrufen werden."
Stand: Juli 2025
between
assetbird GmbH, Rosenthaler Straße 36G, 10178 Berlin, Germany
(hereinafter referred to as "Party 1")
and
the registered company with its registered users.
(hereinafter referred to as "Party 2")
§ 1
(1) This agreement governs the rights and obligations of the controllers (hereinafter also referred to as "Parties") in the joint processing of personal data. This agreement applies to all activities in which employees of the Parties or processors commissioned by them process personal data on behalf of the controllers. The Parties have jointly determined the means and purposes of the processing activities described in more detail below.
(2) Personal data is processed within the framework of the "assetbird Profiles" platform. The parties hereby stipulate that joint responsibility in accordance with Art. 26 GDPR applies to the personal data processed in the following system areas and procedures:
- Profile creation and management: The entry and management of business profile data by the user and the subsequent storage and technical management of this data by assetbird within the platform's infrastructure.
- Mutual visibility of data: The technical process by assetbird whereby a user's profile data is made visible to other registered users as contractually agreed. Not all users necessarily have access to the contact information of all other users. Contact information made public on the platform can be viewed by other users of the "assetbird Profiles" platform as well as by any other person accessing the website associated with the platform.
- Data access for business development: The user's access to and viewing of other users' profile data and the subsequent independent processing of this data for the purpose of establishing contact and examining potential business opportunities.
The parties shall determine the stages of the processing in which personal data is processed under joint responsibility (Art. 26 GDPR).
For the remaining process stages, where there is no joint determination of the purposes and means of individual phases of data processing, each contracting party is an independent controller within the meaning of Art. 4 No. 7 GDPR. Insofar as the contracting parties are joint controllers within the meaning of Art. 26 GDPR, the following agreements apply:
§ 2
(1) Within the scope of joint responsibility for the "assetbird Profiles" platform, Party 1 (assetbird) is responsible for the following (scope of application A):
- The secure technical provision, operation and maintenance of the "assetbird Profiles" platform and its underlying infrastructure.
- The implementation of functionalities that enable users to create, manage and view profiles.
- The implementation and management of technical and organisational measures (TOM) to ensure the confidentiality, integrity and availability of personal data stored in the platform's systems.
- Fulfilling obligations as a central point of contact for data subjects, including managing requests for the exercise of data subject rights at the platform level.
The following personal data is processed on the "AssetbirdProfiles" platform:
- Photo (optional)
- First and last name
- Telephone
- Email
- Job title
The data will be entered into the platform by the company acting as Party 2. The data subjects are their legal representatives and/or employees.
The responsibility of Party 1 is limited exclusively to the technical operation of the platform. Party 1 is not responsible for the subsequent use of personal data by a user vis-à-vis another user outside the direct functionalities of the platform.
In addition, Party 2 hereby agrees that the contact details provided for the "assetbird Profiles" platform may be passed on to all potential customers of Party 1 on the "assetbird Deals" platform, which is used by customers from the real estate sector. This also applies to software partners such as CRM systems used by companies with activities in the real estate industry. These include, for example, PropStack, Flowfact, On Office and Pipedrive, among others. assetbird customers and software partners confirm that the contact details will only be used for the purpose of establishing contact in a business context. However, assetbird cannot accept any liability for the use of the contact details by these customers and partners. In the event of deletion requests, assetbird can ensure that the contact details are deleted from the assetbird platforms, but not that the data is also deleted from the systems of assetbird's customers and software partners, as these software partners are not bound by assetbird's processing instructions.
(2) Within the scope of joint responsibility, Party 2 (the user) is responsible for the following (scope of application B):
- The accuracy and lawfulness of the content, including all personal data provided by the user for their own profile.
- The processing of personal data obtained from the platform for the purpose of initiating business opportunities between participants. This expressly includes the user's independent activities to contact other users by telephone, email or other means based on the information provided on the platform.
- Ensuring that any communication or subsequent processing of another user's data complies with all applicable laws, including data protection and competition regulations.
§ 3
Each party shall ensure compliance with the statutory provisions, in particular the lawfulness of the data processing carried out by it, including within the scope of joint responsibility. The parties shall take all necessary technical and organisational measures to ensure that the rights of data subjects, in particular under Articles 12 to 22 of the GDPR, can be guaranteed at all times within the statutory time limits.
§ 4
(1) The parties shall store personal data in a structured, commonly used and machine-readable format.
(2) Both parties shall ensure that only personal data that is absolutely necessary for the lawful processing of the transaction is collected. In all other respects, both contracting parties shall observe the principle of data minimisation within the meaning of Article 5(1)(c) of the GDPR.
§ The parties undertake to provide the data subject with the information required under Articles 13 and 14 of the GDPR in a precise, transparent, understandable and easily accessible form in clear and simple language free of charge. The parties agree that Party 1 shall provide the information on the processing of personal data in scope A and Party 2 shall provide the information on the processing of personal data in scope B.
§ 6
Data subjects may assert their rights under Articles 15 to 22 of the GDPR against both contracting parties.
§ 7
(1) Both parties undertake to comply with the obligation to provide information in accordance with Art. 15 of the GDPR.
(2) The parties undertake to provide the data subjects with the information to which they are entitled under Article 15 of the GDPR upon request.
§ 8
(1) If a data subject contacts one of the parties in the exercise of their rights as a data subject, in particular for information or correction and deletion of their personal data, the parties undertake to forward this request to the other party without delay, irrespective of the obligation to guarantee the rights of the data subject. The latter is obliged to provide the requesting contracting party with the information necessary to provide the information from its sphere of influence without delay.
(2) If personal data is to be deleted, the parties shall inform each other in advance. The other party may object to the deletion for legitimate reasons, for example if it is subject to a statutory retention obligation.
§ 9
The parties shall inform each other immediately and completely if they discover errors or irregularities with regard to data protection provisions during the review of processing activities.
§ 10
Party 1 undertakes to make the essential content of the agreement on joint responsibility for data protection available to the persons concerned (Art. 26 (2) GDPR).
§ 11
Both parties shall be responsible for the notification and information obligations towards the supervisory authority and the data subjects affected by a breach of personal data protection for their respective areas of activity, as set out in Articles 33 and 34 of the GDPR. The parties shall immediately inform each other of any notification of personal data breaches to the supervisory authority and shall immediately provide each other with the information necessary to make the notification.
§ 12
Documentation within the meaning of Art. 5 (2) GDPR, which serves to prove that data has been processed properly, shall be retained by each party beyond the end of the contract in accordance with its legal powers and obligations.
§ 13
(1) The parties shall ensure within their sphere of influence that all employees involved in data processing maintain the confidentiality of the data in accordance with Articles 28(3), 29 and 32 of the GDPR for the duration of their employment and after termination of their employment, and that they are subject to data secrecy obligations and instructed on the relevant data protection provisions before commencing their work.
(2) The parties shall independently ensure that they comply with all statutory data retention obligations. To this end, they shall take appropriate data security measures (Art. 32 et seq. GDPR). This applies in particular in the event of termination of the cooperation. (3) The implementation, default settings and operation of the systems shall be carried out in compliance with the provisions of the GDPR and other regulations, in particular in compliance with the principles of data protection by design and data protection-friendly default settings, and using appropriate technical and organisational measures in line with the state of the art.
§ 14
The parties shall include the processing activities in the processing register in accordance with Art. 30 (1) GDPR, including and in particular with a note on the nature of the processing operation under joint or sole responsibility.
§ 15
Notwithstanding the provisions of this contract, the parties shall be jointly liable to the data subjects for any damage caused by processing that does not comply with the GDPR. In their internal relations, the parties shall, without prejudice to the provisions of this contract, only be liable for damage incurred within their respective spheres of activity.
