Datenschutzerklärung — Petrochemical Holding GmbH

Metadaten

Verantwortlicher: Petrochemical Holding GmbH
Adresse: Johannesgasse 22, A-1010 Wien, Österreich
Kontakt Datenschutz: privacy@petrochemical.at
Gültig ab: 12. September 2025
Zuletzt aktualisiert: 12. September 2025

1. Geltungsbereich und Zweck

Wir respektieren Ihre Privatsphäre und verarbeiten personenbezogene Daten gemäß der Datenschutz-Grundverordnung (DSGVO) und dem anwendbaren österreichischen Recht. Diese Erklärung erläutert, welche Daten wir erheben, zu welchen Zwecken und auf welcher Rechtsgrundlage wir sie verarbeiten, wie lange wir sie speichern, mit wem wir sie teilen und wie Sie Ihre Rechte ausüben können.

Dieses Dokument enthält außerdem einen kurzen Überblick über unsere interne Datenschutz-Governance (Verzeichnis von Verarbeitungstätigkeiten, Lieferantenmanagement, Incident-Handling).

2. Welche Daten wir verarbeiten

2.1 Von Ihnen bereitgestellte Daten

Kontaktformular / E-Mail: Name, E-Mail-Adresse, Telefonnummer, Nachricht sowie weitere freiwillige Angaben.
Geschäftskorrespondenz: Schreiben Sie uns als Lieferant, Kunde oder Bewerber, verarbeiten wir die in Ihrer Nachricht und Anlagen enthaltenen Daten.

2.2 Automatisch erhobene Daten

Technische Protokolle: IP-Adresse, Datum/Uhrzeit, angeforderte URL, HTTP-Status, User-Agent, Referrer. Unser Hosting-Provider protokolliert diese Daten zum Betrieb und zur Absicherung der Website.

2.3 Analysedaten (nur mit Einwilligung)

Google Analytics (GA4): Kennungen und aggregierte Interaktionsdaten (Seitenaufrufe, Events). Analytics wird erst nach Ihrer Einwilligung über unser Cookie-Banner/Präferenzen geladen.

2.4 Besondere Kategorien

Wir erheben über diese Website keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) und führen keine automatisierten Entscheidungen mit Rechtswirkung durch (Art. 22 DSGVO).

2.5 Kinder

Unsere Website richtet sich nicht an Kinder. Ist Einwilligung Rechtsgrundlage für einen Dienst der Informationsgesellschaft, kann in Österreich ein Kind ab 14 Jahren selbst einwilligen; darunter benötigen wir die Einwilligung/Autorisierung des Obsorgeberechtigten.

3. Cookies und Analyse

3.1 Unbedingt erforderliche Cookies

Wir verwenden unbedingt erforderliche Cookies, die für den Betrieb der Website nötig sind (z. B. Session/Authentifizierung, falls zutreffend). Diese erfordern nach österreichischem Recht keine Einwilligung.

3.2 Einwilligung für Analyse/Marketing

Es werden keine nicht essenziellen Cookies (Analyse/Marketing) gesetzt, bevor Sie einwilligen.
Google Analytics (GA4): dient zur Auswertung aggregierter Nutzung und zur Verbesserung der Website nur mit Ihrer Einwilligung. Die Aufbewahrung der Analysedaten ist auf 14 Monate konfiguriert. GA-Client-Cookies (z. B. _ga, _ga_<container-id>) bleiben in der Regel bis zu 2 Jahren auf Ihrem Gerät, sofern Sie sie nicht löschen bzw. die Einwilligung widerrufen.

3.3 Verwaltung/Widerruf

Sie können Ihre Auswahl jederzeit über den Link Cookie-Einstellungen im Footer oder über die Einstellungen Ihres Browsers ändern. Ein Widerruf berührt die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht.

4. Zwecke und Rechtsgrundlagen

Zwecke und Rechtsgrundlagen
Verarbeitung	Zweck	Rechtsgrundlage (Art. 6 DSGVO)
Kontaktformular / E-Mail	Bearbeitung Ihrer Anfrage, Rückmeldung, Follow-up	(b) Vorvertragliche Maßnahmen auf Ihre Anfrage und/oder (f) Berechtigte Interessen an der Beantwortung von Anfragen
Technische Protokolle	Betrieb, Absicherung und Fehlerbehebung der Website; Abwehr von Missbrauch	(f) Berechtigte Interessen am Betrieb und Schutz unserer Dienste (Abwägung auf Anfrage verfügbar)
Analyse (GA4)	Verbesserung von Inhalten und Nutzererlebnis	(a) Einwilligung (im Einklang mit ePrivacy-Vorgaben)

5. Speicherdauer

Kontaktformular/Korrespondenz: bis zu 3 Jahre nach letztem Kontakt oder länger, soweit für Dokumentation/Rechtsansprüche erforderlich.
Server-Logs: bis zu 90 Tage beim Hosting-Provider (gemäß Hosting-Vertrag).
Google Analytics: Analysedaten 14 Monate (Kontoeinstellung); GA-Cookies bis zu 2 Jahre auf dem Gerät, sofern nicht gelöscht.

Backups und Löschung

Wir erstellen keine vom Verantwortlichen verwalteten Backups von Websitedatenbanken oder Kontaktformular-Nachrichten. Formularnachrichten werden an unser Unternehmens-E-Mail-System zugestellt und nicht länger als für die Übermittlung erforderlich im Website-Backend gespeichert. Unser Hosting-Provider kann kurzlebige systemseitige Snapshots zur Resilienz vorhalten; diese werden vom Provider verwaltet und nicht von uns zur Wiederherstellung personenbezogener Daten genutzt.

Personenbezogene Daten werden gelöscht oder irreversibel anonymisiert, wenn (i) die Aufbewahrungsfrist abläuft, (ii) der Zweck erreicht ist und keine Rechtsgrundlage mehr besteht oder (iii) Sie Ihr Recht auf Löschung wirksam ausüben. Soweit Daten in Provider-Snapshots enthalten sind, laufen sie durch Rotation ab; jede wiederhergestellte Kopie wird unverzüglich erneut bereinigt, um frühere Löschungen zu berücksichtigen.

6. Empfänger und Übermittlungen in Drittländer

Wir verkaufen keine personenbezogenen Daten. Eine Weitergabe erfolgt nur soweit erforderlich an:

Auftragsverarbeiter: Hosting, E-Mail, Analytics (Google). Auftragsverarbeitungsverträge (AVV) sind – soweit verfügbar – abgeschlossen.
Behörden/Berater: sofern gesetzlich erforderlich oder zur Geltendmachung/Verteidigung von Ansprüchen.

Werden personenbezogene Daten außerhalb des EWR übermittelt (z. B. an Google LLC in den USA), stützen wir uns auf geeignete Garantien, u. a. Standardvertragsklauseln (SCC) und die Teilnahme von Google am EU-US Data Privacy Framework (DPF), ggf. ergänzt um weitere Maßnahmen. Details stellen wir auf Anfrage bereit.

7. Sicherheitsmaßnahmen

Wir setzen angemessene technische und organisatorische Maßnahmen (TOM) um, u. a. HTTPS/TLS, rollenbasierte Zugriffe, Least-Privilege, Backups, Logging und regelmäßige Patches. Konkrete Maßnahmen richten sich nach Datenart und Risiko.

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by design / by default): Wir setzen Datenminimierung und Zweckbindung um; nicht zwingend erforderliche Tools (z. B. Analytics) werden nur nach Einwilligung geladen; die Website erstellt keine Benutzerkonten; Protokolle sind begrenzt und werden rotiert; administrativer Zugriff ist auf ein kleines Team nach dem Need-to-know-Prinzip beschränkt; Updates und Änderungen erfolgen kontrolliert.

Angesichts des Charakters dieser Website (reine Informationsseite) und des Fehlens vom Verantwortlichen verwalteter Backups bzw. persistenter, vom Verantwortlichen betriebener personenbezogener Datenbanken werden Verschlüsselung im Ruhezustand und Multi-Faktor-Authentisierung für das Website-Backend nicht angewandt. TLS schützt Daten bei der Übertragung.

8. Ihre Rechte

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen. Beruht die Verarbeitung auf Einwilligung, können Sie diese jederzeit widerrufen.

Zur Ausübung Ihrer Rechte: privacy@petrochemical.at. Wir antworten innerhalb eines Monats (Verlängerung um zwei Monate in Ausnahmefällen möglich).

Sie haben zudem das Recht, Beschwerde bei der Österreichischen Datenschutzbehörde einzulegen:
Barichgasse 40–42, 1030 Wien, Österreich • dsb@dsb.gv.at • +43 1 52 152-0.

9. Bereitstellung personenbezogener Daten

Die Bereitstellung personenbezogener Daten ist grundsätzlich freiwillig. Ohne bestimmte Angaben (z. B. Ihre E-Mail im Kontaktformular) können wir ggf. nicht antworten oder die gewünschten Informationen nicht bereitstellen.

10. Interne Datenschutz-Governance (Überblick)

Wir führen ein Verzeichnis von Verarbeitungstätigkeiten (VVT/RoPA), definieren Aufbewahrungsfristen je Kategorie, prüfen Auftragsverarbeiter mit AVV und verfügen über Prozesse für Incident Response und Meldungen von Datenschutzverletzungen (inkl. 72-Stunden-Meldung, soweit erforderlich). Weitere Details (z. B. SCC/DPF-Nachweise) stellen wir Behörden bzw. auf berechtigte Anfrage zur Verfügung.

11. Kontakt und Datenschutzbeauftragter

Für Datenschutzanfragen: privacy@petrochemical.at.
Falls ein Datenschutzbeauftragter (DSB) bestellt wird, veröffentlichen wir die Kontaktdaten hier.

12. Änderungen dieser Erklärung

Wir können diese Erklärung gelegentlich anpassen. Wesentliche Änderungen kennzeichnen wir durch Aktualisierung des Datums „Zuletzt aktualisiert“.

Privacy Policy — Petrochemical Holding GmbH

Policy metadata

Controller: Petrochemical Holding GmbH
Address: Johannesgasse 22, A-1010 Vienna, Austria
Data protection contact: privacy@petrochemical.at
Effective date: 12 September 2025
Last updated: 12 September 2025

1. Scope and purpose

We respect your privacy and process personal data in accordance with the EU General Data Protection Regulation (GDPR) and applicable Austrian law. This Policy explains what data we collect, why and on what legal basis we process it, how long we keep it, with whom we share it, and how you can exercise your rights.

This document also includes a short overview of our internal data protection governance (records of processing, vendor management, incident handling).

2. What we collect

2.1 Data you provide

Contact form / e-mail: name, e-mail address, phone number, message and any information you voluntarily include.
Business correspondence: if you write to us as a supplier, client or candidate, we process the data contained in your message and attachments.

2.2 Data collected automatically

Technical logs: IP address, date/time, requested URL, HTTP status, User-Agent, referrer. Our hosting provider records these to operate and secure the website.

2.3 Analytics data (only with consent)

Google Analytics (GA4): identifiers and aggregated interaction data (page views, events). Analytics only loads after you grant consent via our cookie banner/preferences.

2.4 Special categories

We do not intentionally collect special categories of data (Art. 9 GDPR) through this website and do not conduct automated decision-making producing legal effects (Art. 22 GDPR).

2.5 Children

Our site is not directed at children. Where consent is the legal basis for information society services, in Austria a child can consent on their own from 14 years; below that age we rely on consent/authorisation by the holder of parental responsibility.

3. Cookies and analytics

3.1 Necessary cookies

We use strictly necessary cookies required for site operation (e.g., session/authentication where applicable). These do not require consent under Austrian law.

3.2 Consent for analytics/marketing

No non-essential cookies (analytics/marketing) are set before you consent.
Google Analytics (GA4): used to understand aggregated usage and improve the site only if you consent. We configured analytics data retention to 14 months. GA client cookies (e.g., _ga, _ga_<container-id>) typically persist on the user device for up to 2 years unless cleared.

3.3 Managing cookies / withdrawing consent

You can change your preferences at any time via Cookie Settings (link in the footer) or your browser settings. Withdrawal does not affect the lawfulness of processing before withdrawal.

4. Purposes and legal bases

Purposes and legal bases
Processing	Purpose	Legal basis (Art. 6 GDPR)
Contact form / e-mail	Handle your enquiry, reply, follow-up	(b) Pre-contractual steps at your request and/or (f) Legitimate interests in responding to enquiries
Technical logs	Operate, secure and troubleshoot the site; defend against abuse	(f) Legitimate interests in running and protecting our services (balancing test available on request)
Analytics (GA4)	Improve site content and user experience	(a) Consent (in line with ePrivacy rules)

5. Data retention

Contact form / correspondence: up to 3 years after the last contact, or longer where needed for record-keeping or legal claims.
Server logs: up to 90 days with our hosting provider (per hosting agreement).
Google Analytics: analytics data retained 14 months in our GA settings; GA cookies may persist on your device for up to 2 years unless cleared.

Backups and deletion

We do not create controller-managed backups of website databases or contact-form submissions. Form messages are delivered to our corporate e-mail system and are not stored on the website backend beyond the time necessary for transmission. Our hosting provider may maintain short-lived system-level snapshots for resilience; these are controlled by the provider and are not used by us to restore personal data.

Personal data are deleted or irreversibly anonymised when (i) the retention period expires, (ii) the purpose is fulfilled and no legal basis remains, or (iii) you successfully exercise your right to erasure. Where data appear in provider-level snapshots, they expire by rotation; any restored snapshot will be promptly re-purged to honour prior deletions.

6. Recipients and international transfers

We do not sell personal data. We share data only as necessary with:

Service providers (processors): hosting, e-mail, analytics (Google). We have data processing agreements (DPAs) in place where available.
Authorities/advisers: if legally required or to establish/exercise/defend legal claims.

Where personal data are transferred outside the EU/EEA (e.g., to Google LLC in the United States), we rely on appropriate safeguards, including Standard Contractual Clauses (SCCs) and participation of Google in the EU-US Data Privacy Framework (DPF), together with complementary measures where required. Details are available upon request.

7. Security measures

We implement appropriate technical and organisational measures (TOMs), including HTTPS/TLS, role-based access, least-privilege, Backups, logging and regular patching. Concrete measures depend on the data and risk.

Privacy by design and by default: We apply data minimisation and purpose limitation; non-essential tools (e.g., analytics) load only after consent; the website does not create user accounts; logs are limited and rotated; and administrative access is restricted to a small team on a need-to-know basis with regular patching and change control.

Given the brochure-style nature of this website and the absence of controller-managed backups or persistent controller-side databases containing personal data, encryption at rest and multi-factor authentication are not applied to the website backend. TLS protects data in transit.

8. Your rights

You have the right to request access, rectification, erasure, restriction, portability, and to object to processing based on legitimate interests. Where processing is based on consent, you may withdraw it at any time.

To exercise your rights, contact privacy@petrochemical.at. We will respond within one month (extendable by two months where necessary).

You also have the right to lodge a complaint with the Austrian Data Protection Authority (Österreichische Datenschutzbehörde):
Barichgasse 40–42, 1030 Vienna, Austria • dsb@dsb.gv.at • +43 1 52 152-0.

9. Provision of personal data

Providing personal data is generally voluntary. However, if you do not provide certain information (e.g., your e-mail address in the contact form), we may be unable to respond to your enquiry or provide the requested information.

10. Internal data protection governance (overview)

We maintain an internal Record of Processing Activities (RoPA), define data retention per category, run vendor/processor due diligence with DPAs, and have procedures for incident response and breach notification (including 72-hour authority notification where required). High-level information is provided here; more details (e.g., SCCs/DPF records) can be shared with competent authorities or upon justified request.

11. Contact and DPO

For any privacy question or request: privacy@petrochemical.at.
If a Data Protection Officer (DPO) is appointed, their contact details will be published here.

12. Changes to this Policy

We may update this Policy from time to time. Material changes will be indicated by updating the “Last updated” date above.