Wie Therapy withVR sich zu Gesetzen, Normen und Rahmenwerken verhält

Auf einen Blick

Hinweis zur Struktur. Die folgenden Abschnitte spiegeln die neun Kategorien unserer öffentlichen Technology Checklist for SLPs wider - dasselbe Rahmenwerk, das wir Klinikern zur Beurteilung jeder Technologie empfehlen, einschließlich dieser. Diese Seite ist das ausgearbeitete Beispiel für unser eigenes Produkt.

1. Datenschutz und Compliance

GDPR und UK GDPR

withVR BV ist Verantwortlicher im Sinne des GDPR für die über Therapy withVR verarbeiteten personenbezogenen Daten. Sämtliche Plattformdaten werden bei Google Cloud / Firebase in Frankfurt, Deutschland (europe-west1) - innerhalb des EWR - gehostet. Personenbezogene Daten werden rechtmäßig auf Grundlage von GDPR Article 6 verarbeitet, gestützt auf Vertragserfüllung, berechtigte Interessen, rechtliche Verpflichtung und Einwilligung (für Marketingkommunikation). Personenbezogene Daten aus dem Vereinigten Königreich werden auf Grundlage des UK GDPR mit gleichwertigen Rechtsgrundlagen verarbeitet. UK-Datenübermittlungen in Drittländer erfolgen nach UK IDTA oder dem UK Addendum to EU SCCs, je nach Anwendbarkeit. Betroffene Personen verfügen über alle Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und Widerruf der Einwilligung gemäß GDPR Articles 15-22.

Quelle: Privacy Policy §3, §7, §9 · Terms of Service §11

HIPAA - konstruktionsbedingt außerhalb des Geltungsbereichs

Therapy withVR ist keine HIPAA covered entity und fungiert nicht als Business Associate im Sinne von HIPAA. Die Plattform ist so konzipiert, dass Protected Health Information (PHI) nicht in das System gelangen - es werden keine klinischen Akten, Diagnosen, Patientenkennungen oder Gesundheitsakten gespeichert. Im US-Gesundheitskontext fällt die Plattform konstruktionsbedingt außerhalb des Geltungsbereichs der Anforderungen an Business Associate Agreements. Dass ein Anbieter kein BAA führt, bedeutet nicht zwangsläufig Non-Compliance; in unserem Fall bedeutet es, dass die Architektur PHI von vornherein vermeidet. Nutzer im US-Gesundheitswesen sind dafür verantwortlich sicherzustellen, dass keine PHI in die Plattform eingegeben werden.

Quelle: Privacy Policy §12 · ToS §11.1

FERPA - konstruktionsbedingt außerhalb des Geltungsbereichs

FERPA-Pflichten obliegen Bildungseinrichtungen, nicht Anbietern. Therapy withVR unterliegt FERPA nicht unmittelbar. Die Plattform ist so konzipiert, dass Schüler-Bildungsakten nicht in das System gelangen müssen - Sitzungsdaten bestehen ausschließlich aus Konfigurationseinstellungen und Textbeschriftungen, die keine educational records im Sinne von FERPA darstellen. Das betreuende Fachpersonal ist dafür verantwortlich, dass keine FERPA-geschützten Daten eingegeben werden. Für US-Schulbezirke prüft withVR BV die Standard-FERPA-Vereinbarung Ihrer Einrichtung oder die SDPC National DPA und arbeitet mit Ihnen einen geeigneten Weg aus - Unterzeichnung wie vorgelegt, sofern die Bedingungen tragfähig sind, Vorschlag von Änderungen, sofern erforderlich, oder Bereitstellung einer withVR-Vorlage als Alternative. Wenden Sie sich an legal@withvr.app, um den Austausch zu beginnen.

Quelle: Educational Use Policy §3.1, §7 · Privacy Policy §13

COPPA

COPPA gilt für Online-Dienste, die personenbezogene Daten von Kindern unter 13 Jahren erheben. Therapy withVR richtet sich nicht an Kinder und erhebt keine personenbezogenen Daten direkt von einem Nutzer, einschließlich Kindern. Wird die Plattform mit Kindern unter 13 Jahren in einem Schulkontext eingesetzt, agiert die Schule als Kontoinhaber unter der school official exception von COPPA - Schüler interagieren nicht direkt mit der Plattform als Nutzer. Bildungseinrichtungen sind verantwortlich für die in ihrer Rechtsordnung erforderlichen Verfahren zur elterlichen Einwilligung.

Quelle: Educational Use Policy §3.2

Bundesstaatliche und regionale Schülerdatenschutzgesetze

Verschiedene US-Bundesstaaten haben Schülerdatenschutzgesetze über FERPA hinaus erlassen - darunter Kalifornien (SOPIPA), New York (Education Law 2-d), Colorado, Texas und weitere. Die oben genannten architektonischen Festlegungen (keine Erhebung von PII, keine Werbung an Schüler, kein Datenverkauf, kein Verhaltenstracking, kein Profiling) sind darauf ausgelegt, die Konformität mit diesen Rahmenwerken zu unterstützen. Einrichtungen in Rechtsordnungen mit über das hier Beschriebene hinausgehenden Anforderungen können ergänzende Vereinbarungen unter legal@withvr.app anfordern.

Quelle: Educational Use Policy §3.4

Datenhosting, Übermittlungen und Unterauftragsverarbeiter

Sämtliche Plattformdaten werden auf Google Cloud / Firebase in Frankfurt, Deutschland gehostet. Übermittlungen an OpenAI (Vereinigte Staaten, ausschließlich optionale KI-Funktionen) erfolgen auf Grundlage der EU Standard Contractual Clauses 2021 gemäß GDPR Article 46(2)(c). Stripe-Übermittlungen erfolgen nach SCCs und, soweit anwendbar, im Rahmen des EU-US Data Privacy Framework. Die vollständige Liste der Unterauftragsverarbeiter mit Rolle, Standort und Übermittlungsmechanismus ist unter withvr.app/sub-processor-list veröffentlicht; vor der Aufnahme eines neuen Unterauftragsverarbeiters wird mindestens 30 Tage im Voraus informiert.

Quelle: Privacy Policy §5, §7 · Sub-Processor List

Daten, die wir nicht erheben

Keine Audio- oder Videoaufzeichnungen von Sitzungen. Keine Sprachproben der Person in der VR. Keine biometrischen Daten aus VR-Headset-Sensoren. Keine PHI. Keine Schülerakten. Keine präzisen Standortdaten. Keine Zahlungsdaten (Stripe verarbeitet Karten). Keine besonderen Kategorien personenbezogener Daten gemäß GDPR Article 9. Profilnamen werden auf Anwendungsebene mit AES-256 und eindeutigen Initialisierungsvektoren je Datensatz verschlüsselt.

Quelle: Privacy Policy §2.6, §8

Aufbewahrung

Konto- und Abonnementdaten: 5 Jahre nach Ende des Abonnements (belgische handelsrechtliche Verjährungsfrist). Sitzungs- und Profildaten: 3 Jahre nach Ende des Abonnements. Forschungsdaten unter einem Research Agreement: 24 Monate nach Projektende. Buchungsbelege: 7 Jahre (belgisches Buchhaltungsrecht). Eine vorzeitige Löschung kann jederzeit unter legal@withvr.app beantragt werden und wird innerhalb von 30 Tagen umgesetzt, außer dort, wo das Gesetz eine längere Aufbewahrung vorschreibt.

Quelle: Privacy Policy §6

2. KI und Transparenz

Einstufung nach dem EU AI Act

Therapy withVR wurde formell nach dem EU AI Act bewertet und ist nicht als Hochrisiko-KI-System nach Article 6 oder Annex III eingestuft. Die Plattform bewertet keine Lernergebnisse, überwacht kein Schülerverhalten, vergibt keine Prüfungsnoten, trifft keine klinischen Entscheidungen und unterstützt keine Funktionen von Medizinprodukten. Selbst wenn eine Funktion als einer Annex III-Kategorie zugehörig betrachtet würde, kämen die Ausnahmen nach Article 6(3) zur Anwendung (eng abgegrenzte verfahrensmäßige Aufgaben, Verbesserung des Ergebnisses einer zuvor durchgeführten menschlichen Tätigkeit, kein Ersatz menschlicher Beurteilung). Eine Konformitätsbewertung, die Eintragung in die EU-Datenbank oder eine CE-Kennzeichnung sind nicht erforderlich.

Quelle: EU AI Act Statement §2

Article 5 - verbotene Praktiken

Geprüft und bestätigt: Es liegen keine verbotenen Praktiken nach Article 5 vor. Keine unterschwelligen Techniken, keine Ausnutzung von Schutzbedürftigkeit, kein Social Scoring, keine biometrische Echtzeit-Fernidentifizierung, keine Emotionserkennung im Beschäftigungs- oder Bildungskontext.

Quelle: EU AI Act Statement §2.4

Article 4 - KI-Kompetenz

Seit Februar 2025 in Kraft. Konform. withVR BV bietet allen Nutzern Live-Onboarding-Schulungen an, die Einsatz, Grenzen und verantwortungsvollen Umgang mit KI-Funktionen abdecken. Die Dokumentation zu KI-Funktionen ist in der Plattformdokumentation enthalten. Einrichtungen sind selbst dafür verantwortlich, dass ihre Mitarbeiter über ein ausreichendes Niveau an KI-Kompetenz verfügen; unser Onboarding unterstützt diese Pflicht.

Quelle: EU AI Act Statement §3

Article 50 - Transparenz für KI-synthetisierte Stimmen und KI-generierten Text

Anwendbar ab dem 2. August 2026. In Vorbereitung. Die Offenlegung ist bereits in EULA, ToS, Privacy Policy und EU AI Act Compliance Statement enthalten. Die In-App-Offenlegung wird vor dem Stichtag 2. August 2026 als konform bestätigt. Avatar-Stimmen sind in jeder Sitzung KI-synthetisiert über Google Text-to-Speech; sind optionale OpenAI-Funktionen aktiviert, wird Text in KI-Feldern durch ein KI-System verarbeitet. Das betreuende Fachpersonal ist dafür verantwortlich, die Personen, mit denen es arbeitet, zu informieren, soweit Berufs- oder institutionelle Pflichten dies verlangen.

Quelle: EU AI Act Statement §5

KI-Funktionen: Anbieter, Daten, Trainingsposition

Immer aktiv: Avatar-Sprachsynthese (Google Text-to-Speech). Es wird ausschließlich der Text der Avatar-Sprache zur Synthese übermittelt; keine Daten von Nutzern, Klienten oder Teilnehmenden. Optional, standardmäßig deaktiviert: Satzübersetzung, Textgenerierung, Autokorrektur, Whisper-Spracherkennung, Sprechergrammatik, Anpassung der Förmlichkeit, emotionale Sprache (alle über OpenAI API). Nach der API-Datennutzungsrichtlinie von OpenAI werden API-Eingaben standardmäßig nicht zum Training der OpenAI-Modelle verwendet. Im normalen Betrieb werden weder Klientennamen noch Sitzungsaufzeichnungen noch PII von Personen, mit denen Sie arbeiten, an einen der Anbieter gesendet. Nutzer werden ausdrücklich angewiesen, keine PII in KI-gestützte Textfelder einzugeben.

Quelle: Privacy Policy §4 · Sub-Processor List

3. Informierte Einwilligung

Das betreuende Fachpersonal ist verantwortlich für die Einholung der informierten Einwilligung der Personen, mit denen es arbeitet, im Einklang mit Berufsordnung, institutioneller Richtlinie und geltendem Recht. Zur Unterstützung stellt withVR kostenlos eine VR Informed Consent Template, ein verständliches VR-Infoblatt für Klienten und Familien und das EU AI Act Compliance Statement mit Offenlegungsformulierungen zur Übernahme in eigene Einwilligungsdokumente bereit. Die Beteiligung von KI (synthetische Stimmen und etwaige aktivierte OpenAI-Funktionen) ist offenzulegen, wenn Berufsstandards oder geltendes Recht dies vorschreiben.

Quelle: Acceptable Use Policy §2 · EU AI Act Statement

4. Sprache und Barrierefreiheit

WCAG 2.2 Stufe AA

Marketing-Site (withvr.app): Selbsteinschätzung gegen WCAG 2.2 AA im April 2026 abgeschlossen. Lighthouse Accessibility 100/100 auf Desktop und Mobil für die priorisierten Seiten. Automatisierte pa11y- und axe-core-Scans zeigen, dass alle harten Verstöße behoben sind. Web App: in Bearbeitung gegen WCAG 2.2 AA, mit bekannten Teillücken, die im Accessibility Statement offen dokumentiert sind (Browser-Zoom, formaler Screenreader-Test, formaler Kontrast-Audit). VR App: Hand-Tracking als Alternative zu Controllern unterstützt; die physische Zugänglichkeit der VR ist eine klinische Entscheidung des betreuenden Fachpersonals.

Quelle: Accessibility Statement §1, §4, §5

VPAT / ACR

VPAT v2.5 (International Edition) im März 2026 abgeschlossen, abdeckend WCAG 2.0/2.1/2.2, Section 508 und EN 301 549 für Plattform v4.0.0. Auf Anfrage bei legal@withvr.app verfügbar.

European Accessibility Act, EN 301 549, Section 508

EAA seit Juni 2025 in Kraft. Therapy withVR ist primär eine professionelle B2B-Plattform; die Anwendbarkeit der EAA auf B2B-Werkzeuge wird beobachtet, während die belgische Umsetzungsleitlinie sich entwickelt. Verbesserungen der Barrierefreiheit zielen unabhängig von der EAA-Anwendbarkeit auf EN 301 549 / WCAG 2.2 AA. Section 508: Teilausrichtung über die WCAG 2.2 AA-Arbeit; keine formale Section-508-Bewertung abgeschlossen.

Quelle: Accessibility Statement §3, §7

Sprachen

Die Web-App-Oberfläche ist in 59 Sprachen verfügbar. 52 Avatar-Sprache-Region-Stimmkombinationen. Die Marketing-Site ist in 11 Sprachversionen verfügbar (Englisch sowie Niederländisch, Französisch, Deutsch, Norwegisch, Italienisch, Tschechisch, Spanisch, Portugiesisch, Griechisch, Arabisch, Türkisch), mit korrektem lang-Attribut und RTL-Unterstützung für Arabisch.

5. Kulturelle und klinische Passung

Alle Szenarien, Sätze und Gesprächsinhalte sind durch das betreuende Fachpersonal konfigurierbar - kulturelle und kontextuelle Relevanz wird durch den Nutzer bestimmt, nicht durch uns. Anpassbare Sprechumgebungen und ein frei konfigurierbarer leerer Raum unterstützen Übungen, die den realen Lebenskontext der Person abbilden. Peer-reviewte Studien, in denen Therapy withVR oder von withVR entwickelte Szenarien eingesetzt werden, sind im Evidence Hub mit vollständiger Zitation, allgemeinverständlicher Zusammenfassung und Sicherheitsbewertung katalogisiert. Die Plattform erhebt selbst keinen Anspruch auf klinische Wirksamkeit; die Evidenz stammt aus der Literatur.

Quelle: Evidence Hub · Scenarios

6. Sicherheit und Meldung von Datenpannen

Verschlüsselung und Speicherung

Alle ruhenden Daten in Google Cloud Firestore werden mit AES-256 verschlüsselt (Google Cloud-Standardinfrastrukturverschlüsselung). Profilnamen werden zusätzlich auf Anwendungsebene mit AES-256 und eindeutigen Initialisierungsvektoren je Datensatz verschlüsselt. Alle übertragenen Daten werden mit TLS 1.2 oder höher verschlüsselt. Passwörter werden vollständig durch Firebase Authentication verwaltet - withVR BV hat zu keiner Zeit Zugriff auf Nutzerpasswörter.

Quelle: Privacy Policy §8 · DPA §6 (auf Anfrage)

Patch-Management

Kritische Patches (CVSS 9.0+, Zero-Days, Schwachstellen mit Auswirkungen auf Firebase auth oder storage): innerhalb von 48 Stunden. Hoch (CVSS 7.0-8.9): innerhalb von 7 Tagen. Mittel (CVSS 4.0-6.9): innerhalb von 30 Tagen oder im nächsten Release. Identifikation über Anbieterhinweise, NVD/CVE und GitHub Dependabot. Ausgerichtet an den Pflichten aus GDPR Article 32 und der belgischen NIS2-Umsetzung.

Quelle: Patch Management Policy §4 (auf Anfrage)

Meldung von Datenpannen

Meldung einer Verletzung des Schutzes personenbezogener Daten an die belgische Datenschutzbehörde (GBA) innerhalb von 72 Stunden nach Kenntnisnahme (GDPR Article 33). Meldung an das UK ICO unter UK GDPR. Betroffene Nutzer werden ohne unangemessene Verzögerung benachrichtigt, sofern die Verletzung voraussichtlich ein hohes Risiko mit sich bringt. Institutionelle Kunden mit unterzeichneter DPA werden gemäß den DPA-Bedingungen innerhalb von 72 Stunden benachrichtigt.

Quelle: Privacy Policy §10 · ToS §11.3 · DPA §11 (auf Anfrage)

Verfügbarkeit und Resilienz des Dienstes

Hosting auf Google Cloud Firebase (Frankfurt) unter Googles SLA von 99,95 % Verfügbarkeit. Multi-Zonen-Datenreplikation innerhalb der EU-Region. Firestore Point-in-Time Recovery mit 7-Tage-Fenster. Tägliche Backups werden 30 Tage, wöchentliche Backups 98 Tage aufbewahrt. Incident-Response-Prioritäten (P1 vollständiger Ausfall / Datenpanne innerhalb von 2 Stunden; P2 Teilausfall innerhalb von 4 Stunden; P3 leichte Verschlechterung am nächsten Werktag). Die Web App arbeitet unabhängig von der Marketing-Site, und die VR App arbeitet nach Installation unabhängig vom Distributionskanal Meta Quest Store.

Quelle: Business Continuity & Disaster Recovery Summary (auf Anfrage)

Unabhängige Sicherheitszertifizierungen

Ehrliche Position: withVR BV verfügt derzeit über keine eigenen unabhängigen SOC 2 Type II- oder ISO 27001-Zertifizierungen. Die Infrastruktur der Plattform erbt beide von Google Cloud / Firebase, das beide aufrechterhält. Eigene Zertifizierungen werden mit zunehmender Plattformreife geprüft. Geplante Penetrationstests sind derzeit nicht etabliert; auch dies wird mit zunehmender Plattformreife geprüft.

Quelle: Patch Management Policy §9 · BCDR §8.2 (auf Anfrage)

Administrativer Zugang

Ehrliche Position: withVR BV wird von einer einzelnen Person (dem Gründer) betrieben. Der administrative Zugang zum Firebase-Projekt ist auf diese Person beschränkt. Kein anderes Personal und keine Dritten haben direkten Zugang zur Produktionsdatenbank oder Infrastruktur. Mehrfaktor-Authentifizierung für administrative Konten ist geplant. Die zugrunde liegende Plattforminfrastruktur läuft auf verwalteten Google Cloud-Diensten, die unabhängig vom täglichen Eingreifen von withVR BV betrieben werden, was die Abhängigkeit von einer einzelnen Person auf Infrastrukturebene reduziert. Szenarien für die Nichtverfügbarkeit des Gründers werden im Business Continuity Summary behandelt.

Quelle: Privacy Policy §8 · BCDR §5 (auf Anfrage)

Audit-Logging

Google Cloud Audit Logs sind im gesamten Produktionsprojekt aktiviert und liefern eine manipulationssichere Aufzeichnung jeder administrativen Aktion und jeder Operation an Kundendaten. Stets aktive Admin Activity-Logs erfassen jede Konfigurationsänderung. Admin Read, Data Read und Data Write-Logs sind aktiviert für Cloud Firestore (wo sich Kundendaten befinden), die Cloud Storage for Firebase API (Regeln und Konfiguration) und Google Cloud Storage (Dateioperationen - Upload, Download, Löschen). Logs werden gemäß der Standard-Aufbewahrungsrichtlinie von Google Cloud aufbewahrt (400 Tage für Data Access Logs, 400 Tage für Admin Activity) und werden ausschließlich zur Untersuchung von Sicherheitsvorfällen und zur Compliance-Prüfung verwendet. Dies ist Teil der technischen und organisatorischen Maßnahmen von withVR BV gemäß GDPR Article 32.

Quelle: Google Cloud Audit Logs (Firebase-Projekt) · BCDR §6 (auf Anfrage)

Netzwerkanforderungen (für institutionelle IT)

Sämtlicher Datenverkehr von withVR BV erfolgt über HTTPS auf Port 443. Die Web App erfordert withvr.app, firestore.googleapis.com, firebasestorage.googleapis.com, texttospeech.googleapis.com und (nur bei aktivierten KI-Funktionen) api.openai.com. Die VR App stellt keine Verbindung zu OpenAI her. Meta Quest-Hardware erfordert zusätzlich Meta-Plattform-Domains - Einrichtungen mit restriktiven Netzwerken (insbesondere Schulen) sollten sicherstellen, dass diese nicht blockiert sind. Die vollständige Liste der Domains, Ports, Browser und Betriebssysteme befindet sich auf der Kompatibilitätsseite.

Quelle: Kompatibilitätsseite · BCDR §8.1 (auf Anfrage)

7. Arbeit mit Kindern und in Schulen

Kontoinhaber müssen 18+ sein. Die Plattform darf mit Minderjährigen ausschließlich unter direkter Aufsicht und Steuerung einer qualifizierten erwachsenen Fachkraft genutzt werden. Schüler erstellen niemals selbst Konten, melden sich nicht an und übermitteln keine personenbezogenen Daten direkt an die Plattform. Es dürfen keine Schülernamen, Kennungen oder PII in die Plattform eingegeben werden. Für die Meta Quest-Hardware gilt ein gesondertes von Meta festgelegtes Mindestalter von 10 Jahren - dies ist die Richtlinie von Meta, nicht unsere, und gilt unabhängig von professioneller Aufsicht.

Drei Schwellen können gleichzeitig gelten: die Altersrichtlinie der Plattform, das anwendbare Datenschutzrecht (z. B. die 13 Jahre nach COPPA, die 13-16 Jahre nach GDPR Article 8 je nach Mitgliedstaat) und die klinische Einwilligung (in der Regel unter 18). Die höchste Schwelle ist maßgeblich. Das betreuende Fachpersonal ist verantwortlich für die Einwilligung der Eltern oder Erziehungsberechtigten in seiner Rechtsordnung.

Für US-Schulen sind eine FERPA-Vereinbarung, eine Student Data Privacy Agreement oder die SDPC National DPA verfügbar - siehe Abschnitt 8 (Verfügbare Vereinbarungen) unten.

Quelle: Educational Use Policy §1, §3 · EULA §8

8. Organisatorische Reife

Medizinprodukte-Zertifizierung

Therapy withVR ist kein Medizinprodukt. Keine CE-Kennzeichnung nach EU MDR. Nicht FDA-reguliert. Keine UKCA-Kennzeichnung. Die Plattform diagnostiziert nicht, behandelt nicht, bewertet nicht, misst nicht und trifft keine klinischen Entscheidungen. Alle klinischen Entscheidungen verbleiben in der ausschließlichen Verantwortung des betreuenden Fachpersonals. KI-Funktionen erzeugen ausschließlich Inhaltsvorschläge und stellen keine klinische Beratung oder Beurteilung dar.

Quelle: EULA §1 · AUP §1 · EU AI Act Statement §2

SLA und Verfügbarkeit

withVR BV bietet keine eigenständige Verfügbarkeitsgarantie, die Plattform erbt jedoch das 99,95 % Verfügbarkeits-SLA von Google Cloud für die zugrunde liegende Infrastruktur. Geplante Wartungen werden nach Möglichkeit vorab kommuniziert. Ungeplante Ausfälle werden per E-Mail und auf der Website kommuniziert.

Quelle: ToS §12.2 · EULA §11

Preise und USt.

Standardabonnement 49 EUR/Monat pro Sitz (zzgl. USt., bei jährlicher Abrechnung). Mehrjahresrabatte verfügbar bis zu 5 Jahren. So viele Sitze wie benötigt. Angebote auf Firmenbriefbogen, Rechnungsstellung auf Bestellbasis und ergänzende Beschaffungsdokumentation auf Anfrage erhältlich. Wir können direkt mit IT-, Beschaffungs- oder Datenschutzteams sprechen, um Lieferanten-Onboarding-Anforderungen zu klären.

Quelle: ToS §6 · Refund Policy

Verbraucherschutz (EU)

Gesetzliches 14-tägiges Widerrufsrecht nach der EU-Verbraucherrechterichtlinie 2011/83/EU und dem belgischen Umsetzungsgesetz. Belgisches Recht / Gerichtsstand Gent. EU-Verbraucher behalten das Recht, Verfahren an ihrem gewöhnlichen Aufenthaltsort einzuleiten; die europäische Plattform zur Online-Streitbeilegung ist unter ec.europa.eu/consumers/odr (öffnet in neuem Tab) verfügbar.

Quelle: ToS §6.4, §16 · Refund Policy §2, §9

9. Peer-Validierung

Therapy withVR wird in aktiver peer-reviewter Forschung an Universitäten und Krankenhäusern in vielen Ländern eingesetzt. Der Evidence Hub katalogisiert jede veröffentlichte Studie mit vollständiger Zitation, allgemeinverständlicher Zusammenfassung und Sicherheitsbewertung. Universitäten, NHS-Trusts und Schulbezirke, die ihre eigenen institutionellen Genehmigungsverfahren bereits abgeschlossen haben, sind gern bereit, als Referenz angefragt zu werden - Anfragen über hello@withvr.app.

Verfügbare Vereinbarungen

Auf Anfrage bei legal@withvr.app: DPA, FERPA-Vereinbarung / SDPC National DPA, Research Agreement, individuelle Zusatzvereinbarung, DPIA-Dokumentation, VPAT v2.5, BCDR-Zusammenfassung, Patch Management Policy.

Dokumente

Alle öffentlichen Rechtsdokumente sind verlinkt von withvr.app/de/legal:

• Privacy Policy (Englisch)
• Terms of Service (Englisch)
• End User License Agreement (Englisch)
• Acceptable Use Policy (Englisch)
• Educational Use Policy (Englisch)
• EU AI Act Compliance Statement (Englisch)
• Accessibility Statement (Englisch)
• Cookie Policy (Englisch)
• Refund and Return Policy (Englisch)
• Sub-Processor List (Englisch)

Was wir nicht beanspruchen

Transparenz über Grenzen ist Teil der Konzeption:

• Wir beanspruchen in keiner Weise, ein Medizinprodukt zu sein.
• Wir beanspruchen keine HIPAA-Konformität - wir sind konstruktionsbedingt außerhalb des Geltungsbereichs von HIPAA.
• Wir beanspruchen keine unabhängigen SOC 2 Type II- oder ISO 27001-Zertifizierungen. Wir erben beide auf Infrastrukturebene von Google Cloud; eigene Zertifizierungen werden mit zunehmender Plattformreife geprüft.
• Wir beanspruchen keinen abgeschlossenen unabhängigen WCAG-Audit. Wir verfügen über eine Selbsteinschätzung, automatisierte Scans, das VPAT v2.5 und einen Lighthouse-Score von 100/100 auf der Marketing-Site. Ein formaler beauftragter Audit ist geplant, sobald die Finanzierung dies zulässt.
• Wir beanspruchen keine NIS2-Konformität - wir beanspruchen eine Ausrichtung an der belgischen NIS2-Umsetzung über die Patch Management Policy.
• Wir beanspruchen nicht, dass KI das klinische Urteil ersetzt. Jede KI-Funktion ist optional, standardmäßig deaktiviert und nachprüfbar. Avatar-Stimmen werden stets als KI-synthetisiert kenntlich gemacht.

Kontakt

Beschaffung, Lieferantenfragebogen, Sicherheitsüberprüfungen und Anfragen zu Vereinbarungen: legal@withvr.app. Unsere öffentliche Technology Checklist for SLPs ist der Rahmen, nach dem diese Seite strukturiert ist - wenden Sie ihn auf uns an oder auf jedes andere Werkzeug, das Sie bewerten.

withVR BV · Jozef Hebbelynckstraat 21, Merelbeke 9820, Belgium · BE-0790.909.294 · Zuletzt geprüft 2026-04-26