Datenschutzerklärung

Version 1.1 – Mai 2026

Wir als NOVA STEEL GmbH (im Folgenden „wir“, „uns“) und Betreiber der Website www.nova-steel.at nehmen den Schutz Ihrer Daten ernst.

Mit der nachfolgenden Datenschutzerklärung informieren wir Sie über Art, Umfang, Zweck, Dauer und Rechtsgrundlage der Verarbeitung Ihrer personenbezogenen Daten auf unserer Website www.nova-steel.at (im Folgenden die „Website“). Bitte beachten Sie, dass wir diese Datenschutzerklärung bei Bedarf aktualisieren können.

Unsere Datenschutzerklärung ist wie folgt gegliedert:

  1. Informationen über uns als Verantwortliche
  2. Information über unseren Datenschutzbeauftragten
  3. Ihre Rechte (Betroffenenrechte)
  4. Verarbeitung personenbezogener Daten bei Nutzung unserer Website
  5. Social Media
  6. Mögliche Empfänger

1. Verantwortliche

Im Folgenden informieren wir über die Erhebung personenbezogener Daten bei Nutzung unserer Website. Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten.

Verantwortlicher für die Verarbeitung von personenbezogenen Daten im Sinne der Datenschutzgrundverordnung (DSGVO) ist die:

NOVA STEEL GmbH
Florianerstraße 53b
8522 Groß St. Florian
E-Mail: datenschutz@nova-steel.at

2. Datenschutzbeauftragter

Die NOVA STEEL GmbH hat einen zertifizierten Datenschutzbeauftragten bestellt.

Name: Andreas Nagler-Ruhry
E-Mail: datenschutz@nova-steel.at

3. Ihre Rechte (Betroffenenrechte)

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Recht auf Auskunft: Sie können jederzeit eine Bestätigung, ob Sie betreffende Daten verarbeitet werden, eine Auskunft über den Umfang, die Herkunft, die Empfänger der gespeicherten Daten und den Zweck der Speicherung sowie Kopien der Daten verlangen. (Art 15 DSGVO) Auskunftsersuchen welche datenschutzfremde Zwecke verfolgen oder exzessiv betrieben werden, können abgelehnt oder mit einer Gebühr belegt werden. (Art 12 DSGVO)

Zusatzinformation: Die Informationspflicht entfällt, wenn für Betroffene aufgrund der Umstände klar ist, welche Daten verarbeitet werden.

Recht auf Berichtigung: Sie können verlangen, dass Sie betreffende unrichtige oder unvollständige personenbezogene Daten berichtigt bzw. vervollständigt werden. (Art 16 DSGVO)

Recht auf Löschung: Sie können jederzeit eine unverzügliche Löschung Ihrer personenbezogenen Daten verlangen. Bitte beachten Sie, dass gesetzliche Aufbewahrungsfristen einer Löschung entgegenstehen können. (Art 17 DSGVO)

Recht auf Einschränkung der Verarbeitung: Sie können die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen, wenn eine der folgenden Voraussetzungen gegeben ist (Art 18 DSGVO):

  • Die Richtigkeit der personenbezogenen Daten wird von Ihnen bestritten (die Einschränkung erfolgt für eine Dauer, die es uns ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen).
  • Die Verarbeitung ist unrechtmäßig und eine Löschung Ihrer personenbezogenen Daten wird von Ihnen abgelehnt.
  • Die Daten werden für die Zwecke der Verarbeitung nicht mehr benötigt, jedoch werden diese von Ihnen für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.
  • Sie haben Widerspruch gegen die Verarbeitung eingelegt (siehe Widerspruchsrecht) und die Interessenabwägung im Rahmen des Widerspruchverfahrens ist noch nicht abgeschlossen.

Recht auf Datenübertragbarkeit: Sie können die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format erhalten, sofern die Verarbeitung mithilfe automatisierter Verfahren erfolgt und auf einer Einwilligung oder auf einem Vertrag beruht. (Art 20 DSGVO)

Recht auf Widerruf der Einwilligung: Sie können ihre Einwilligung zur Verarbeitung personenbezogener Daten jederzeit widerrufen. Bitte beachten Sie, dass mit dem Widerruf auch die Nutzung der davon betroffenen Dienste nicht mehr möglich ist. Die Rechtmäßigkeit der Verarbeitung Ihrer personenbezogenen Daten bis zum Zeitpunkt des Eingangs des Widerrufs wird davon nicht berührt. (Art 7 DSGVO)

Recht auf Widerspruch: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe f DSGVO (Datenverarbeitung auf der Grundlage eines berechtigten Interesses) erfolgt, Widerspruch einzulegen. (Art 21 DSGVO)

Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Verarbeiten wir personenbezogene Daten, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch dagegen einzulegen.

Recht auf Beschwerde: Wenn Sie der Ansicht sind, dass eine Verarbeitung der Sie betreffenden personenbezogenen Daten gegen datenschutzrechtliche Vorschriften verstößt, so können Sie sich mit einer Beschwerde, an die für NOVA STEEL GmbH zuständige Aufsichtsbehörde richten. (Art 77 DSGVO)

Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
E-Mail: dsb@dsb.gv.at

4. Verarbeitung personenbezogener Daten bei Nutzung unserer Website

4.1 Server-Log-Dateien

Wir, der Websitebetreiber, erheben und speichern automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

  • Browsertyp und Browserversion
  • verwendetes Betriebssystem
  • Quelle/Verweis, von welchem Sie auf die Seite gelangten (URL)
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Optimierung seiner Website – hierzu müssen die Server-Log-Files erfasst werden. Die Daten werden nach Ablauf von 30 Tagen gelöscht.

4.2 Kontaktaufnahme

Bei Ihrer Kontaktaufnahme mit uns per Kontaktformular (Name, Telefonnummer (optional) E-Mail und ihren Text) werden Ihr Name und Ihre E-Mail-Adresse sowie ggf. weitere von Ihnen freiwillig zur Verfügung gestellte personenbezogene Daten von uns gespeichert. Die Angabe der Daten ist zur Bearbeitung und Beantwortung Ihre Anfrage erforderlich.

Die Rechtsgrundlage für diese Verarbeitung bezieht sich auf unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO sowie, je nach Inhalt, auf vorvertraglichen Maßnahmen nach Art. 6 Abs. 1 lit. b DSGVO. Wir speichern diese Daten, solange es notwendig ist, um auf Ihre Anfrage antworten zu können, längstens aber für sechs Monate nach dem letzten Kontakt.

5. Social Media

5.1 Verlinkung auf der Website

Auf unserer Website verwenden wir Icons für soziale Netzwerke, wie LinkedIn und Meta (Facebook, Instagram), um auf unsere Profile in diesen Netzwerken zu verlinken. Diese Icons sind lediglich Links zu den jeweiligen sozialen Netzwerken und werden nicht dazu verwendet, um automatisch personenbezogene Daten unserer Besucher zu sammeln oder weiterzugeben. Wenn Sie auf diese Icons klicken, verlassen Sie unsere Website und werden zu den entsprechenden sozialen Medien weitergeleitet. Wir weisen darauf hin, dass Sie mit der Anmeldung bei den genannten sozialen Medien deren Allgemeinen Geschäftsbedingungen und Datenschutzrichtlinien unterliegen.

5.2 LinkedIn

Wir betreiben eine Unternehmensseite auf der Plattform LinkedIn des Unternehmens LinkedIn Corporation, 1000 W Maude Ave, Sunnyvale, CA, USA, um Informationen über unser Unternehmen und unsere Produkte und Dienstleistungen zu veröffentlichen und zu verbreiten.

Die Rechtsgrundlage für diese Verarbeitung bezieht sich auf unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO.

5.3 Meta

Wir betreiben auch Unternehmensseiten auf den Social Media Plattformen Facebook und Instagram des Unternehmens Meta Platforms, Inc., Willow Road 1601 94025 Menlo Park, CA, USA, um unsere Zielgruppe über unser Unternehmen und unsere Produkte und Dienstleistungen zu informieren. Nutzer von Facebook und Instagram können unserer Unternehmensseite folgen. Dabei verarbeiten wir die Vor- und Nachnamen der Follower. Bilddaten Dritter werden nicht ohne deren Einwilligung veröffentlicht. Personenbezogene Daten wie Namen werden nicht veröffentlicht. Facebook und Instagram werden von uns nicht zur Datenverarbeitung, sondern zur Informationsbereitstellung genutzt. Wenn Sie bereits bei Facebook oder Instagram registriert sind und unserer Seite folgen, haben Sie der Nutzung der Daten durch den Betreiber Meta zugestimmt.

Die Rechtsgrundlage für diese Verarbeitung bezieht sich auf unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO.

6. Mögliche Empfänger

Zur Bereitstellung der Dienste auf unserer Website werden externe Dienstleister eingesetzt, die personenbezogene Daten erhalten können.

6.1 Website Hosting

Für das Hosting unserer Website nutzen wir den Dienst von Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA (im Folgenden „Vercel“).

Wenn Sie unsere Website aufrufen, werden automatisch technische Daten (IP-Adresse, Browsertyp und -version, Betriebssystem, Referrer-URL, Hostname, Uhrzeit der Anfrage) an die Server von Vercel übermittelt. Dies ist technisch erforderlich, um Ihnen die Website anzeigen zu können.

Die Rechtsgrundlage für diese Verarbeitung ist unser berechtigtes Interesse an der technisch fehlerfreien Bereitstellung und Optimierung unserer Website gemäß Art. 6 Abs. 1 lit. f DSGVO.

Vercel nutzt ein globales Content Delivery Network (CDN) mit Serverstandorten weltweit, einschließlich der EU. Es ist nicht auszuschließen, dass Daten auch in den USA verarbeitet werden. Vercel ist unter dem EU-US Data Privacy Framework zertifiziert und bietet damit ein angemessenes Datenschutzniveau für die Datenübermittlung in die USA (siehe Abschnitt 6.4).

Wir haben mit Vercel einen Auftragsverarbeitungsvertrag (Data Processing Addendum, DPA) abgeschlossen, der die Verarbeitung Ihrer Daten im Einklang mit der DSGVO sicherstellt.

Server-Logdaten werden von Vercel automatisch nach kurzer Zeit gelöscht und nicht länger als 30 Tage gespeichert.

6.2 Domain & DNS

Die Domain nova-steel.at wird über die World4You Internet Services GmbH (Wolfgang-Pauli-Straße 2/BT3/2/2.OIG, 4020 Linz, Österreich) verwaltet. World4You stellt die DNS-Infrastruktur bereit, über die Anfragen an unsere Website an den Hosting-Anbieter Vercel weitergeleitet werden. Die Datenverarbeitung durch World4You erfolgt auf Servern in Österreich.

6.3 E-Mail-Kommunikation & Hosting

Für die Bereitstellung unserer E-Mail-Kommunikation nutzen wir die Dienste der World4You Internet Services GmbH, Wolfgang-Pauli-Straße 2/BT3/2/2.OIG, 4020 Linz, Österreich.

Wenn Sie uns eine E-Mail senden, werden die von Ihnen übermittelten Daten (z. B. E-Mail-Adresse, Name, Inhalt der Nachricht) auf den Servern von World4You verarbeitet. Der Standort der Server ist Österreich.

Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an einer schnellen und sicheren Kommunikation mit Ihnen (Art. 6 Abs. 1 lit. f DSGVO). Zielt Ihre E-Mail auf den Abschluss oder die Erfüllung eines Vertrages ab, ist die zusätzliche Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO.

Wir haben mit World4You einen Vertrag zur Auftragsverarbeitung (AVV) abgeschlossen. Damit garantiert der Anbieter, dass die Daten streng nach unseren Weisungen und im Einklang mit der DSGVO verarbeitet werden.

Zum Schutz Ihrer Daten nutzen wir eine SSL/TLS-Verschlüsselung für den E-Mail-Verkehr zwischen unseren Endgeräten und den Servern des Hosters.

Für die Bearbeitung unserer E-Mails nutzen wir die Software Microsoft Outlook. Dabei werden systembedingte Telemetriedaten an den Softwarehersteller übermittelt. Wir haben die Datenschutzeinstellungen der Software so konfiguriert, dass nur für den Betrieb notwendige Daten übertragen werden.

Bei einer Kontaktaufnahme per E-Mail speichern wir diese im E-Mail-Dienst Microsoft 365 Exchange des Anbieters Microsoft (Microsoft Corporation, One Microsoft Way Redmond, WA 98052-6399, USA) mit Speicherort in der EU. Es ist aber nicht auszuschließen, dass Daten auch in die USA übertragen werden.

Wir löschen Ihre Daten, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten mehr bestehen. Gemäß § 212 UGB sowie § 132 BAO sind wir gesetzlich verpflichtet, geschäftliche Korrespondenz (wie Rechnungen, Verträge oder E-Mails mit geschäftlichem Inhalt) für einen Zeitraum von 7 Jahren aufzubewahren. Die Frist beginnt mit dem Ende des Kalenderjahres, in dem die Korrespondenz angefallen ist. Anfragen, die nicht zu einem Vertragsabschluss führen oder keinen geschäftlichen Inhalt haben, werden nach Abschluss der Bearbeitung gelöscht, sofern keine andere Rechtsgrundlage vorliegt.

6.4 E-Mail-Versand über Kontaktformular

Für den Versand von E-Mails, die über das Kontaktformular auf unserer Website ausgelöst werden, nutzen wir den Dienst von Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA (im Folgenden „Resend“).

Wenn Sie unser Kontaktformular absenden, werden die von Ihnen eingegebenen Daten (Name, E-Mail-Adresse, Telefonnummer (optional), gewünschte Leistung und Ihre Nachricht) über die Schnittstelle (API) von Resend als E-Mail an uns übermittelt. Resend fungiert dabei ausschließlich als technischer Übermittler der E-Mail und speichert Ihre Daten nicht dauerhaft.

Die Rechtsgrundlage für diese Verarbeitung ist unser berechtigtes Interesse an einer zuverlässigen Zustellung Ihrer Anfragen gemäß Art. 6 Abs. 1 lit. f DSGVO. Sofern Ihre Anfrage auf den Abschluss eines Vertrages abzielt, ist die zusätzliche Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO.

Da Resend seinen Sitz in den USA hat, kann eine Übermittlung personenbezogener Daten in die USA nicht ausgeschlossen werden. Resend ist unter dem EU-US Data Privacy Framework zertifiziert und bietet damit ein angemessenes Datenschutzniveau (siehe Abschnitt 6.5).

Wir haben mit Resend einen Auftragsverarbeitungsvertrag (Data Processing Addendum, DPA) abgeschlossen.

6.5 Datenübermittlung in die USA

Wir möchten ausdrücklich darauf hinweisen, dass mit 10. Juli 2023 die EU Kommission nach Art 45 Abs. 1 DSGVO einen Angemessenheitsbeschluss zum EU-US-Datenschutzrahmen erlassen hat (Data Privacy Framework). Demzufolge bieten Organisationen bzw. Unternehmen (als Datenimporteure) in den USA, die im Rahmen der Selbstzertifizierung des Data Privacy Frameworks in einer öffentlichen Liste registriert sind, ein angemessenes Schutzniveau für die Datenübermittlung.

Das Data Privacy Framework stellt eine gültige Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA dar. Damit werden verbindliche Garantien geschaffen, um allen Vorgaben des EuGH Rechnung zu tragen; so ist z.B. vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist und ein Gericht zur Prüfung des Datenschutzes geschaffen wird, zu dem auch Einzelpersonen in der EU Zugang haben.

Sofern eine Datenübermittlung durch uns in die USA überhaupt stattfindet oder ein Dienstleister mit Sitz in den USA von uns eingesetzt wird, verweisen wir darauf explizit in dieser Datenschutzerklärung (siehe insbesondere die Beschreibung der Technologien auf unserer Website).

Es ist zu beachten, dass abseits erheblicher Verbesserungen, das Data Privacy Framework nur partiell gilt und nur für Datenübermittlung an jene Datenimporteure in den USA gilt, die in der öffentlichen Liste von zertifizierten Organisationen / Unternehmen aufscheinen.

Was kann die Übermittlung von personenbezogenen Daten in die USA für Sie als Nutzer:in bedeuten und welche Risiken bestehen in diesem Zusammenhang?

Risiken für Sie als Nutzer:in, soweit Datenimporteure in den USA betroffen sind, welche nicht unter das Data Privacy Framework fallen, sind jedenfalls die Befugnisse der US-Geheimdienste und die Rechtslage in den USA, die ein angemessenes Datenschutzniveau derzeit, nach Ansicht des EuGH, nicht mehr sicherstellen. U.a. handelt es sich dabei um folgende Punkte:

  • Section 702 des Foreign Intelligence Surveillance Act (FISA) sieht keine Beschränkungen der Überwachungsmaßnahmen der Geheimdienste und keine Garantien für Nicht-US-Bürger:innen vor.
  • Presidential Policy Directive 28 (PPD-28) gibt Betroffenen keine wirksamen Rechtsbehelfe gegen Maßnahmen der US-Behörden und sieht keine Schranken für die Sicherstellung verhältnismäßiger Maßnahmen vor.
  • Die im Privacy Shield vorgesehene Ombudsstelle hat keine genügende Unabhängigkeit von der Exekutive; sie kann keine bindenden Anordnungen gegenüber den Geheimdiensten treffen.

Rechtskonforme Übermittlung von Daten in die USA auf Basis der Standardvertragsklauseln bei Datenimporteure die nicht unter das Data Privacy Framework fallen?

Im Juni 2021 hat die Europäische Kommission mit Beschluss 2021/914/EU neue Standardvertragsklauseln (Standard Contractual Clauses SCC) angenommen. Diese schaffen eine neue Rechtsgrundlage für den Datentransfer bei denen nicht dasselbe Datenschutzniveau herrscht wie in der EU.

Rechtskonforme Übermittlung von Daten in die USA auf Basis einer Einwilligung?

Sofern eine Datenübermittlung an einen Dienstleister mit Sitz in den USA stattfindet, der nicht unter das Data Privacy Framework fällt und diese Datenübermittlung auf eine ausdrückliche Einwilligung gestützt wird, informieren wir darüber explizit in dieser Datenschutzerklärung, insbesondere in der Beschreibung der eingesetzten Technologien auf unserer Website.

Welche Maßnahmen ergreifen wir, um eine Datenübermittlung in die USA rechtskonform zu gestalten?

Soweit US-Anbieter die Möglichkeit anbieten, wählen wir die Verarbeitung von Daten auf EU-Servern. Damit sollte technisch sichergestellt sein, dass die Daten innerhalb der Europäischen Union liegen und ein Zugriff durch US-Behörden nicht möglich ist.

Siehe auch unsere Allgemeinen Geschäftsbedingungen und unser Impressum.