Datenschutzerklärung – Skillyan

1. Einleitung und Geltungsbereich

Wir freuen uns über Ihr Interesse an unserer Plattform Skillyan (erreichbar unter skillyan.ai, nachfolgend „Plattform" oder „Skillyan"). Der Schutz Ihrer personenbezogenen Daten ist uns ein besonderes Anliegen.

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und Art. 14 der Datenschutz-Grundverordnung (DSGVO) sowie nach dem österreichischen Datenschutzgesetz (DSG) darüber, welche personenbezogenen Daten wir im Rahmen der Nutzung von Skillyan verarbeiten, zu welchen Zwecken dies geschieht und welche Rechte Sie als betroffene Person haben.

Diese Datenschutzerklärung gilt für die Nutzung der Plattform Skillyan unter der Domain skillyan.ai sowie aller zugehörigen Subdomains.

2. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

BIFO – Berufs- und Bildungsinformation Vorarlberg gemeinnützige GmbH
Bahnhofstraße 24
6850 Dornbirn, Österreich

Telefon: +43 (0)5572 31717
E-Mail: info@bifo.at

Firmenbuchnummer: FN 71119 m
Firmenbuchgericht: Landesgericht Feldkirch

3. Technischer Dienstleister (Auftragsverarbeiter)

Die technische Entwicklung, der Betrieb und die Wartung der Plattform Skillyan erfolgt im Auftrag des Verantwortlichen durch:

Zewas GmbH
Gerbe 525
6863 Egg, Österreich

Telefon: +43 720 272019
E-Mail: office@zewas.at

Firmenbuchnummer: FN 581379 w
Firmenbuchgericht: Landesgericht Feldkirch

Mit der Zewas GmbH besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

4. Begriffsbestimmungen

Diese Datenschutzerklärung verwendet die Begriffe der DSGVO. Die wichtigsten Begriffe in Kürze:

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).

Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten (Art. 4 Nr. 2 DSGVO).

Profiling ist jede automatisierte Verarbeitung personenbezogener Daten zur Bewertung bestimmter persönlicher Aspekte (Art. 4 Nr. 4 DSGVO).

Auftragsverarbeiter ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO).

5. Zweck und Funktionsweise der Plattform

Skillyan ist ein digitales Berufs- und Studienorientierungs-Tool. Auf Basis von Antworten zu Fragebögen wird mit Hilfe von Künstlicher Intelligenz (KI) ein persönliches Stärken- und Interessenprofil erstellt sowie passende Vorschläge für Berufe und Studiengänge ermittelt.

Die Plattform unterstützt:

die strukturierte Selbsteinschätzung von Interessen, Eigenschaften und Stärken,
die Zuordnung zu passenden Berufen und Studienoptionen,
die schrittweise Verbesserung der Ergebnisse durch Nutzerfeedback und zusätzliche Fragen,
die optionale Übergabe der Ergebnisse an eine persönliche BIFO-Beratung.

Die Ergebnisse stellen eine unverbindliche, KI-gestützte Orientierungshilfe dar. Sie ersetzen keine professionelle Beratung und entfalten keine rechtliche Wirkung.

6. Verarbeitete Datenkategorien

Im Rahmen Ihrer Nutzung der Plattform verarbeiten wir folgende Kategorien personenbezogener Daten:

6.1 Bei anonymer Nutzung

Selbst gewählter Name (kann auch ein Spitzname oder Fantasiename sein)
Antworten auf die Fragebögen
KI-generiertes Profil (Stärken, Eigenschaften, Interessen)
Match-Ergebnisse zu Berufen und Studiengängen
Like-/Dislike-Feedback zu Vorschlägen
Eingaben im KI-Buddy (Chatbot)
Technische Daten (siehe Abschnitt 13)

6.2 Bei registrierten Konten zusätzlich

E-Mail-Adresse
Verschlüsseltes Passwort (bei E-Mail/Passwort-Login)
Bei Social Login (Google, Facebook, Apple): die vom jeweiligen Anbieter übermittelten Daten (in der Regel Name und E-Mail-Adresse)
Account-Metadaten (Erstellungsdatum, letzter Login)

6.3 Bei Profilfreigabe an BIFO-Beratung

Vollständiges Profil und abgegebene Antworten werden für die berechtigte Beratungsperson via 6-stelligem Code zugänglich gemacht.

7. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten stützt sich auf folgende Rechtsgrundlagen:

Verarbeitung	Rechtsgrundlage
Bereitstellung der Plattform, Profilerstellung, Matching, KI-Buddy, Profil teilen	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Nutzungsbedingungen)
Registrierte Konten und Login-Verwaltung	Art. 6 Abs. 1 lit. b DSGVO
Service-E-Mails an registrierte Nutzer (z. B. Hinweise zu neuen Ergebnissen)	Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Nutzerbindung und Information)
Technische Cookies, JWT-Token, Logfiles, Fehler-Monitoring	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionierenden, sicheren Dienst)
Erfüllung gesetzlicher Pflichten	Art. 6 Abs. 1 lit. c DSGVO

Vor der Eingabe Ihres Namens bzw. vor Registrierung müssen Sie die Nutzungsbedingungen akzeptieren und die Kenntnisnahme dieser Datenschutzerklärung bestätigen.

8. Nutzerkonten und Authentifizierung

8.1 Anonymer Zugang

Beim Einstieg wird standardmäßig ein anonymer Account angelegt, damit Ergebnisse gespeichert und später verbessert werden können. Die Identifikation erfolgt ausschließlich über ein JWT-Cookie mit einer Gültigkeitsdauer von 90 Tagen.

8.2 Registrierter Account

Optional können Sie ein registriertes Konto erstellen über:

E-Mail/Passwort
Social Login (Google, Facebook, Apple)

Bei der Nutzung von Social Logins werden Sie zur Authentifizierung an den jeweiligen Anbieter weitergeleitet. Wir erhalten dabei nur die Daten, die Sie ausdrücklich freigeben (in der Regel Name und E-Mail-Adresse). Wir empfehlen, sich vorab über die Datenschutzpraktiken der jeweiligen Anbieter zu informieren:

Die Authentifizierung wird technisch durch SuperTokens abgewickelt, welches als Auftragsverarbeiter auf unseren Servern in Deutschland selbst gehostet wird (siehe Abschnitt 11).

8.3 Service-E-Mails an registrierte Nutzer

Sofern Sie ein registriertes Konto erstellen, behalten wir uns vor, Sie per E-Mail über Ereignisse zu informieren, die im direkten Zusammenhang mit Ihrer Nutzung stehen (z. B. neue Ergebnisse, verfügbares Feedback, sicherheitsrelevante Hinweise). Es handelt sich dabei nicht um Werbung oder einen Newsletter. Eine Newsletter-Funktion bietet Skillyan nicht an.

9. Einsatz Künstlicher Intelligenz (KI)

9.1 Eingesetzte KI-Systeme

Skillyan setzt zur Profilerstellung, zum Matching und für den KI-Buddy ein generatives Sprachmodell ein:

Modell: GPT-5 mini
Anbieter: Microsoft Azure OpenAI Service (Microsoft Ireland Operations Limited)
Hosting: Rechenzentren in der Europäischen Union

Microsoft verarbeitet die übermittelten Inhalte ausschließlich zur Erbringung der KI-Dienstleistung und verwendet die Daten nicht zum Training eigener Modelle.

9.2 Datenfluss zur KI

An das KI-Modell werden insbesondere übermittelt:

Ihre Antworten aus den Fragebögen,
bereits erstellte Profilinformationen (zur Verfeinerung),
Eingaben im KI-Buddy (Chatbot),
vorausgewählte Berufs- und Studieninformationen (zur Match-Bewertung).

9.3 Transparenzhinweis nach KI-Verordnung (Art. 50 KI-VO)

Wir weisen Sie ausdrücklich darauf hin:

Sie interagieren mit einer Künstlichen Intelligenz.
Die Erstellung Ihres Profils erfolgt KI-gestützt.
Der KI-Buddy ist ein KI-Chatbot, kein menschlicher Berater.
Die berechneten Match-Scores (0–100 %) sind KI-generierte Vorschläge und stellen keine validierte psychologische Eignungsdiagnostik dar.

9.4 KI-Halluzinationen und Aktualität externer Daten

Trotz sorgfältiger technischer Maßnahmen kann nicht ausgeschlossen werden, dass KI-Systeme inhaltlich falsche oder ungenaue Antworten erzeugen („KI-Halluzinationen"). Auch können externe Datenquellen (siehe Abschnitt 14) im Einzelfall veraltet sein. Bitte verstehen Sie alle KI-generierten Inhalte als unverbindliche Orientierungshilfe und keinesfalls als rechtsverbindliche oder fachlich validierte Auskunft.

9.5 Einstufung nach der KI-Verordnung

Nach unserer Einschätzung handelt es sich bei Skillyan nicht um ein Hochrisiko-KI-System im Sinne des Art. 6 i.V.m. Anhang III KI-VO, da das Tool ausschließlich der individuellen Selbstorientierung dient, keine bindenden Entscheidungen über den Zugang zu Beschäftigung, Bildung oder Leistungen trifft und keine Daten an Dritte (z. B. Arbeitgeber, Behörden, Bildungseinrichtungen) weitergegeben werden.

10. Profiling und automatisierte Entscheidungsfindung

10.1 Profiling gemäß Art. 4 Nr. 4 DSGVO

Die KI-gestützte Auswertung Ihrer Antworten zur Erstellung des Stärken- und Interessenprofils sowie die Berechnung der Match-Scores stellen ein Profiling im Sinne der DSGVO dar.

Funktionsweise:

Ihre Antworten werden an das KI-Modell übermittelt.
Die KI extrahiert daraus persönliche Aspekte (Stärken, Eigenschaften, Interessen).
Aus einer vorausgewählten Datenbasis an Berufen und Studien berechnet die KI einen Match-Wert von 0 bis 100 Prozent.
Like-/Dislike-Feedback fließt in nachfolgende Empfehlungen ein.

10.2 Keine automatisierte Entscheidungsfindung mit Rechtsfolgen

Die Verarbeitung erfüllt nicht die Voraussetzungen einer automatisierten Entscheidung im Sinne des Art. 22 DSGVO, da:

die Ergebnisse keine rechtlichen Wirkungen entfalten,
die Ergebnisse Sie nicht in ähnlicher Weise erheblich beeinträchtigen,
die Ergebnisse ausschließlich als unverbindliche Orientierungshilfe dienen und
keine Weitergabe an Arbeitgeber, Bildungseinrichtungen oder Behörden erfolgt.

Sie können den Profiling-Vorgang jederzeit beenden, indem Sie die Nutzung der Plattform einstellen und ggf. die Löschung Ihres Kontos verlangen (siehe Abschnitt 18).

11. Auftragsverarbeiter und Empfänger

Zur Erbringung des Dienstes setzen wir folgende Auftragsverarbeiter ein, mit denen jeweils Auftragsverarbeitungsverträge nach Art. 28 DSGVO abgeschlossen wurden:

Auftragsverarbeiter	Zweck	Sitz / Hosting
Zewas GmbH	Entwicklung, technischer Betrieb, Wartung	Egg, Österreich
Hetzner Online GmbH	Server-Hosting (Frontend, Backend, Datenbank, Auth, Monitoring)	Deutschland
Microsoft Ireland Operations Ltd. (Azure OpenAI)	KI-Sprachmodell (GPT-5 mini)	EU-Rechenzentren
SuperTokens (self-hosted)	Authentifizierungsdienst (gehostet auf Hetzner)	Deutschland

Profilfreigabe an BIFO-Beratung

Beraterinnen und Berater des BIFO sind direkt bei BIFO angestellt und damit Teil der verantwortlichen Stelle. Eine Übermittlung an externe Empfänger findet hierbei nicht statt.

Sonstige Empfänger

Eine Weitergabe Ihrer Daten an Dritte (insbesondere Arbeitgeber, Bildungseinrichtungen oder Behörden) erfolgt nicht, außer wir sind dazu gesetzlich verpflichtet oder Sie haben ausdrücklich eingewilligt.

12. Datenübermittlung in Drittländer

Die Datenverarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EWR).

Microsoft ist als Konzern in den USA ansässig. Auch wenn die Azure-OpenAI-Verarbeitung ausschließlich in EU-Rechenzentren erfolgt, kann in Ausnahmefällen ein Zugriff aus den USA technisch nicht vollständig ausgeschlossen werden. Für diesen Fall stützen wir die Übermittlung auf:

den EU-US Data Privacy Framework (Microsoft Corporation ist zertifiziert), sowie
Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO als zusätzliche Absicherung.

Bei Nutzung der Social Logins (Google, Facebook, Apple) kann ebenfalls eine Datenübermittlung in die USA erfolgen; auch hier kommen das EU-US Data Privacy Framework bzw. Standardvertragsklauseln zur Anwendung.

13. Cookies, lokale Speicher und Logfiles

13.1 Technisch erforderliche Cookies / JWT-Token

Bezeichnung	Zweck	Speicherdauer
JWT-Cookie (anonyme Session)	Zuordnung des anonymen Profils	90 Tage
Session-Cookie (registrierte Nutzer)	Aufrechterhaltung der Anmeldung	bis zum Logout / Ablauf

13.2 Lokale Speicher (LocalStorage)

Bezeichnung	Zweck
`resultMode`	Speichert, ob Ihnen Ausbildungen oder Jobs zuerst angezeigt werden
`feedbackCheckSeenAt`	Speichert, wann ein Feedback-Hinweis zuletzt angezeigt wurde
`registrationReminderSeenAt`	Speichert, wann ein Registrierungs-Hinweis zuletzt angezeigt wurde

Diese Einträge sind technisch erforderlich für die einwandfreie Funktion der Plattform und enthalten keine personenbezogenen Daten im engeren Sinn. Sie können diese Einträge jederzeit über Ihre Browsereinstellungen löschen.

13.3 Server-Logfiles

Beim Aufruf der Plattform werden technische Daten in Server-Logdateien gespeichert:

IP-Adresse (gekürzt, soweit für die jeweilige Funktion technisch möglich)
Datum und Uhrzeit der Anfrage
Aufgerufene URL / Endpoint
HTTP-Statuscode
User-Agent (Browser, Betriebssystem)
Referrer-URL (sofern verfügbar)

Zweck: Sicherstellung des Betriebs, Fehleranalyse, Abwehr von Angriffen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Dienst). Speicherdauer: 1 Jahr, danach automatische Löschung.

13.4 Fehler-Monitoring (Sentry)

Zur Fehlererfassung setzen wir ein selbst gehostetes Sentry auf unseren Servern in Deutschland ein. Es findet keine Übermittlung an externe Dienste statt. Es werden ausschließlich technische Fehlerinformationen erfasst.

13.5 Keine Tracking- oder Marketing-Tools

Wir setzen keine Tracking- oder Analyse-Tools wie Google Analytics, Facebook Pixel oder ähnliches ein.

14. Externe Datenquellen

Die innerhalb der Plattform angezeigten Informationen zu Berufen und Studiengängen basieren auf folgenden externen Quellen:

Jobs/Berufe: bic.at (Berufsinformationscomputer der Wirtschaftskammer Österreich)
Studiengänge: studienwahl.at
Fragebögen: vom BIFO bereitgestellt

Diese Inhalte werden teilweise durch das KI-Sprachmodell aufbereitet und im Chatbot wiedergegeben. Wir übernehmen keine Gewähr für die Aktualität, Vollständigkeit und Richtigkeit dieser von Dritten stammenden Informationen. Bitte verstehen Sie diese Inhalte als unverbindliche Orientierungshilfe.

15. Funktion „Profil teilen"

Sie haben die Möglichkeit, Ihr Profil auf zwei Wegen zu teilen:

15.1 Öffentliches Teilen via Link

Sie können über einen Link ein reduziertes Profil öffentlich teilen. Sichtbar sind dabei:

Ihr Stärkenprofil
Die Top-3 Berufs- bzw. Studienvorschläge

Nicht sichtbar sind Ihre Detailantworten oder sonstige tiefergehende personenbezogene Inhalte.

Wichtiger Hinweis: Ab dem Zeitpunkt der Erstellung des Links liegt die Verantwortung für die Weitergabe ausschließlich bei Ihnen. Jede Person, die diesen Link erhält, kann das reduzierte Profil einsehen. Geben Sie den Link daher nur an Personen weiter, denen Sie diese Einsicht ausdrücklich gewähren möchten.

15.2 Teilen mit BIFO-Beratung via 6-stelligem Code

Auf Ihren Wunsch hin können Sie über einen 6-stelligen Code Ihr vollständiges Profil inklusive aller Antworten einer BIFO-Beraterin oder einem BIFO-Berater zugänglich machen. Sie müssen dieser Freigabe vorab aktiv (per Checkbox/Button im Pop-Up-Fenster) zustimmen.

16. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es zur Erfüllung der jeweiligen Zwecke erforderlich ist:

Datenkategorie	Speicherdauer
Daten anonymer Konten	Automatische Löschung 90 Tage nach Erstellung
Daten registrierter Konten	Bis zur aktiven Löschung durch Sie
JWT-Cookie (anonyme Session)	90 Tage
Server-Logfiles	1 Jahr
Daten aus Profilfreigaben	Identisch mit der jeweiligen Speicherdauer des Profils

Nach Löschung Ihres registrierten Kontos werden alle damit verknüpften personenbezogenen Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

17. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zum Schutz Ihrer Daten, insbesondere:

Transportverschlüsselung (TLS/HTTPS),
verschlüsselte Speicherung von Passwörtern (Hashing),
restriktive Zugriffsrechte (Rollen- und Berechtigungskonzept),
Hosting in ISO-zertifizierten Rechenzentren innerhalb der EU,
regelmäßige Sicherheitsupdates,
Fehler-Monitoring zur frühzeitigen Erkennung von Störungen.

18. Ihre Rechte als betroffene Person

Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Recht auf Auskunft (Art. 15 DSGVO)
Recht auf Berichtigung (Art. 16 DSGVO)
Recht auf Löschung (Art. 17 DSGVO)
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Recht auf Widerspruch (Art. 21 DSGVO)
Recht, eine erteilte Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO) – der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte formlos an:

BIFO – Berufs- und Bildungsinformation Vorarlberg gemn. GmbH
Bahnhofstraße 24, 6850 Dornbirn
E-Mail: info@bifo.at

Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständige Aufsichtsbehörde ist die:

Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien, Österreich
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Web: www.dsb.gv.at

19. Pflicht zur Bereitstellung der Daten

Die Bereitstellung Ihrer personenbezogenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Sie sind nicht verpflichtet, Daten anzugeben. Ohne diese Daten ist die Nutzung der Plattform jedoch entweder gar nicht oder nur eingeschränkt möglich (z. B. ist eine Profilerstellung ohne Antworten technisch nicht möglich).

20. Hinweise zur Nutzung durch Minderjährige

Skillyan richtet sich primär an Jugendliche und steht grundsätzlich allen Altersgruppen offen.

Personen, die das 14. Lebensjahr noch nicht vollendet haben, dürfen die Plattform nur mit Zustimmung der Erziehungsberechtigten nutzen (§ 4 Abs. 4 DSG). Wir empfehlen Erziehungsberechtigten, die Nutzung durch jüngere Kinder zu begleiten und gemeinsam mit ihnen diese Datenschutzerklärung durchzugehen.

21. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienste anzupassen. Die jeweils aktuelle Fassung finden Sie unter skillyan.ai.

Bei wesentlichen Änderungen werden registrierte Nutzerinnen und Nutzer per E-Mail informiert.

22. Kontakt

Bei Fragen zum Datenschutz oder zur Verarbeitung Ihrer personenbezogenen Daten erreichen Sie uns unter:

BIFO – Berufs- und Bildungsinformation Vorarlberg gemn. GmbH
Bahnhofstraße 24, 6850 Dornbirn, Österreich
Telefon: +43 (0)5572 31717
E-Mail: info@bifo.at