Wie Therapy withVR sich zu Gesetzen, Normen und Rahmenwerken verhaelt

Auf einen Blick

Hinweis zur Struktur. Die folgenden Abschnitte spiegeln die neun Kategorien unserer oeffentlichen Technology Checklist for SLPs wider - dasselbe Rahmenwerk, das wir Klinikern empfehlen, um jede Technologie zu beurteilen, einschliesslich dieser. Diese Seite ist das ausgearbeitete Beispiel fuer unser eigenes Produkt.

1. Datenschutz und Compliance

GDPR und UK GDPR

withVR BV ist Verantwortlicher im Sinne des GDPR fuer die ueber Therapy withVR verarbeiteten personenbezogenen Daten. Saemtliche Plattformdaten werden bei Google Cloud / Firebase in Frankfurt, Deutschland (europe-west1) - innerhalb des EWR - gehostet. Personenbezogene Daten werden rechtmaessig auf Grundlage von GDPR Article 6 verarbeitet, gestuetzt auf Vertragserfuellung, berechtigte Interessen, rechtliche Verpflichtung und Einwilligung (fuer Marketingkommunikation). Personenbezogene Daten aus dem Vereinigten Koenigreich werden auf Grundlage des UK GDPR mit gleichwertigen Rechtsgrundlagen verarbeitet. UK-Datenuebermittlungen in Drittlaender erfolgen nach UK IDTA oder dem UK Addendum to EU SCCs, je nach Anwendbarkeit. Betroffene Personen verfuegen ueber alle Rechte auf Auskunft, Berichtigung, Loeschung, Einschraenkung, Datenuebertragbarkeit, Widerspruch und Widerruf der Einwilligung gemaess GDPR Articles 15-22.

Quelle: Privacy Policy §3, §7, §9 · Terms of Service §11

HIPAA - konstruktionsbedingt ausserhalb des Geltungsbereichs

Therapy withVR ist keine HIPAA covered entity und fungiert nicht als Business Associate im Sinne von HIPAA. Die Plattform ist so konzipiert, dass Protected Health Information (PHI) nicht in das System gelangen - es werden keine klinischen Akten, Diagnosen, Patientenkennungen oder Gesundheitsakten gespeichert. Im US-Gesundheitskontext faellt die Plattform konstruktionsbedingt ausserhalb des Geltungsbereichs der Anforderungen an Business Associate Agreements. Dass ein Anbieter kein BAA fuehrt, bedeutet nicht zwangslaeufig Non-Compliance; in unserem Fall bedeutet es, dass die Architektur PHI von vornherein vermeidet. Nutzer im US-Gesundheitswesen sind dafuer verantwortlich sicherzustellen, dass keine PHI in die Plattform eingegeben werden.

Quelle: Privacy Policy §12 · ToS §11.1

FERPA - konstruktionsbedingt ausserhalb des Geltungsbereichs

FERPA-Pflichten obliegen Bildungseinrichtungen, nicht Anbietern. Therapy withVR unterliegt FERPA nicht unmittelbar. Die Plattform ist so konzipiert, dass Schueler-Bildungsakten nicht in das System gelangen muessen - Sitzungsdaten bestehen ausschliesslich aus Konfigurationseinstellungen und Textbeschriftungen, die keine educational records im Sinne von FERPA darstellen. Das betreuende Fachpersonal ist dafuer verantwortlich, dass keine FERPA-geschuetzten Daten eingegeben werden. Fuer US-Schulbezirke prueft withVR BV die Standard-FERPA-Vereinbarung Ihrer Einrichtung oder die SDPC National DPA und arbeitet mit Ihnen einen geeigneten Weg aus - Unterzeichnung wie vorgelegt, sofern die Bedingungen tragfaehig sind, Vorschlag von Aenderungen, sofern erforderlich, oder Bereitstellung einer withVR-Vorlage als Alternative. Wenden Sie sich an legal@withvr.app, um den Austausch zu beginnen.

Quelle: Educational Use Policy §3.1, §7 · Privacy Policy §13

COPPA

COPPA gilt fuer Online-Dienste, die personenbezogene Daten von Kindern unter 13 Jahren erheben. Therapy withVR richtet sich nicht an Kinder und erhebt keine personenbezogenen Daten direkt von einem Nutzer, einschliesslich Kindern. Wird die Plattform mit Kindern unter 13 Jahren in einem Schulkontext eingesetzt, agiert die Schule als Kontoinhaber unter der school official exception von COPPA - Schueler interagieren nicht direkt mit der Plattform als Nutzer. Bildungseinrichtungen sind verantwortlich fuer die in ihrer Rechtsordnung erforderlichen Verfahren zur elterlichen Einwilligung.

Quelle: Educational Use Policy §3.2

Bundesstaatliche und regionale Schuelerdatenschutzgesetze

Verschiedene US-Bundesstaaten haben Schuelerdatenschutzgesetze ueber FERPA hinaus erlassen - darunter Kalifornien (SOPIPA), New York (Education Law 2-d), Colorado, Texas und weitere. Die oben genannten architektonischen Festlegungen (keine Erhebung von PII, keine Werbung an Schueler, kein Datenverkauf, kein Verhaltenstracking, kein Profiling) sind darauf ausgelegt, die Konformitaet mit diesen Rahmenwerken zu unterstuetzen. Einrichtungen in Rechtsordnungen mit ueber das hier Beschriebene hinausgehenden Anforderungen koennen ergaenzende Vereinbarungen unter legal@withvr.app anfordern.

Quelle: Educational Use Policy §3.4

Datenhosting, Uebermittlungen und Unterauftragsverarbeiter

Saemtliche Plattformdaten werden auf Google Cloud / Firebase in Frankfurt, Deutschland gehostet. Uebermittlungen an OpenAI (Vereinigte Staaten, ausschliesslich optionale KI-Funktionen) erfolgen auf Grundlage der EU Standard Contractual Clauses 2021 gemaess GDPR Article 46(2)(c). Stripe-Uebermittlungen erfolgen nach SCCs und, soweit anwendbar, im Rahmen des EU-US Data Privacy Framework. Die vollstaendige Liste der Unterauftragsverarbeiter mit Rolle, Standort und Uebermittlungsmechanismus ist unter withvr.app/sub-processor-list veroeffentlicht; vor der Aufnahme eines neuen Unterauftragsverarbeiters wird mindestens 30 Tage im Voraus informiert.

Quelle: Privacy Policy §5, §7 · Sub-Processor List

Daten, die wir nicht erheben

Keine Audio- oder Videoaufzeichnungen von Sitzungen. Keine Sprachproben der Person in der VR. Keine biometrischen Daten aus VR-Headset-Sensoren. Keine PHI. Keine Schuelerakten. Keine praezisen Standortdaten. Keine Zahlungsdaten (Stripe verarbeitet Karten). Keine besonderen Kategorien personenbezogener Daten gemaess GDPR Article 9. Profilnamen werden auf Anwendungsebene mit AES-256 und eindeutigen Initialisierungsvektoren je Datensatz verschluesselt.

Quelle: Privacy Policy §2.6, §8

Aufbewahrung

Konto- und Abonnementdaten: 5 Jahre nach Ende des Abonnements (belgische handelsrechtliche Verjaehrungsfrist). Sitzungs- und Profildaten: 3 Jahre nach Ende des Abonnements. Forschungsdaten unter einem Research Agreement: 24 Monate nach Projektende. Buchungsbelege: 7 Jahre (belgisches Buchhaltungsrecht). Eine vorzeitige Loeschung kann jederzeit unter legal@withvr.app beantragt werden und wird innerhalb von 30 Tagen umgesetzt, ausser dort, wo das Gesetz eine laengere Aufbewahrung vorschreibt.

Quelle: Privacy Policy §6

2. KI und Transparenz

Einstufung nach dem EU AI Act

Therapy withVR wurde formell nach dem EU AI Act bewertet und ist nicht als Hochrisiko-KI-System nach Article 6 oder Annex III eingestuft. Die Plattform bewertet keine Lernergebnisse, ueberwacht kein Schuelerverhalten, vergibt keine Pruefungsnoten, trifft keine klinischen Entscheidungen und unterstuetzt keine Funktionen von Medizinprodukten. Selbst wenn eine Funktion als einer Annex III-Kategorie zugehoerig betrachtet wuerde, kaemen die Ausnahmen nach Article 6(3) zur Anwendung (eng abgegrenzte verfahrensmaessige Aufgaben, Verbesserung des Ergebnisses einer zuvor durchgefuehrten menschlichen Taetigkeit, kein Ersatz menschlicher Beurteilung). Eine Konformitaetsbewertung, die Eintragung in die EU-Datenbank oder eine CE-Kennzeichnung sind nicht erforderlich.

Quelle: EU AI Act Statement §2

Article 5 - verbotene Praktiken

Geprueft und bestaetigt: Es liegen keine verbotenen Praktiken nach Article 5 vor. Keine unterschwelligen Techniken, keine Ausnutzung von Schutzbeduerftigkeit, kein Social Scoring, keine biometrische Echtzeit-Fernidentifizierung, keine Emotionserkennung im Beschaeftigungs- oder Bildungskontext.

Quelle: EU AI Act Statement §2.4

Article 4 - KI-Kompetenz

Seit Februar 2025 in Kraft. Konform. withVR BV bietet allen Nutzern Live-Onboarding-Schulungen an, die Einsatz, Grenzen und verantwortungsvollen Umgang mit KI-Funktionen abdecken. Die Dokumentation zu KI-Funktionen ist in der Plattformdokumentation enthalten. Einrichtungen sind selbst dafuer verantwortlich, dass ihre Mitarbeiter ueber ein ausreichendes Niveau an KI-Kompetenz verfuegen; unser Onboarding unterstuetzt diese Pflicht.

Quelle: EU AI Act Statement §3

Article 50 - Transparenz fuer KI-synthetisierte Stimmen und KI-generierten Text

Anwendbar ab dem 2. August 2026. In Vorbereitung. Die Offenlegung ist bereits in EULA, ToS, Privacy Policy und EU AI Act Compliance Statement enthalten. Die In-App-Offenlegung wird vor dem Stichtag 2. August 2026 als konform bestaetigt. Avatar-Stimmen sind in jeder Sitzung KI-synthetisiert ueber Google Text-to-Speech; sind optionale OpenAI-Funktionen aktiviert, wird Text in KI-Feldern durch ein KI-System verarbeitet. Das betreuende Fachpersonal ist dafuer verantwortlich, die Personen, mit denen es arbeitet, zu informieren, soweit Berufs- oder institutionelle Pflichten dies verlangen.

Quelle: EU AI Act Statement §5

KI-Funktionen: Anbieter, Daten, Trainingsposition

Immer aktiv: Avatar-Sprachsynthese (Google Text-to-Speech). Es wird ausschliesslich der Text der Avatar-Sprache zur Synthese uebermittelt; keine Daten von Nutzern, Klienten oder Teilnehmenden. Optional, standardmaessig deaktiviert: Satzuebersetzung, Textgenerierung, Autokorrektur, Whisper-Spracherkennung, Sprechergrammatik, Anpassung der Foermlichkeit, emotionale Sprache (alle ueber OpenAI API). Nach der API-Datennutzungsrichtlinie von OpenAI werden API-Eingaben standardmaessig nicht zum Training der OpenAI-Modelle verwendet. Im normalen Betrieb werden weder Klientennamen noch Sitzungsaufzeichnungen noch PII von Personen, mit denen Sie arbeiten, an einen der Anbieter gesendet. Nutzer werden ausdruecklich angewiesen, keine PII in KI-gestuetzte Textfelder einzugeben.

Quelle: Privacy Policy §4 · Sub-Processor List

3. Informierte Einwilligung

Das betreuende Fachpersonal ist verantwortlich fuer die Einholung der informierten Einwilligung der Personen, mit denen es arbeitet, im Einklang mit Berufsordnung, institutioneller Richtlinie und geltendem Recht. Zur Unterstuetzung stellt withVR kostenlos eine VR Informed Consent Template, ein verstaendliches VR-Infoblatt fuer Klienten und Familien und das EU AI Act Compliance Statement mit Offenlegungsformulierungen zur Uebernahme in eigene Einwilligungsdokumente bereit. Die Beteiligung von KI (synthetische Stimmen und etwaige aktivierte OpenAI-Funktionen) ist offenzulegen, wenn Berufsstandards oder geltendes Recht dies vorschreiben.

Quelle: Acceptable Use Policy §2 · EU AI Act Statement

4. Sprache und Barrierefreiheit

WCAG 2.2 Stufe AA

Marketing-Site (withvr.app): Selbsteinschaetzung gegen WCAG 2.2 AA im April 2026 abgeschlossen. Lighthouse Accessibility 100/100 auf Desktop und Mobil fuer die priorisierten Seiten. Automatisierte pa11y- und axe-core-Scans zeigen, dass alle harten Verstoesse behoben sind. Web App: in Bearbeitung gegen WCAG 2.2 AA, mit bekannten Teilluecken, die im Accessibility Statement offen dokumentiert sind (Browser-Zoom, formaler Screenreader-Test, formaler Kontrast-Audit). VR App: Hand-Tracking als Alternative zu Controllern unterstuetzt; die physische Zugaenglichkeit der VR ist eine klinische Entscheidung des betreuenden Fachpersonals.

Quelle: Accessibility Statement §1, §4, §5

VPAT / ACR

VPAT v2.5 (International Edition) im Maerz 2026 abgeschlossen, abdeckend WCAG 2.0/2.1/2.2, Section 508 und EN 301 549 fuer Plattform v4.0.0. Auf Anfrage bei legal@withvr.app verfuegbar.

European Accessibility Act, EN 301 549, Section 508

EAA seit Juni 2025 in Kraft. Therapy withVR ist primaer eine professionelle B2B-Plattform; die Anwendbarkeit der EAA auf B2B-Werkzeuge wird beobachtet, waehrend die belgische Umsetzungsleitlinie sich entwickelt. Verbesserungen der Barrierefreiheit zielen unabhaengig von der EAA-Anwendbarkeit auf EN 301 549 / WCAG 2.2 AA. Section 508: Teilausrichtung ueber die WCAG 2.2 AA-Arbeit; keine formale Section-508-Bewertung abgeschlossen.

Quelle: Accessibility Statement §3, §7

Sprachen

Die Web-App-Oberflaeche ist in 59 Sprachen verfuegbar. 52 Avatar-Sprache-Region-Stimmkombinationen. Die Marketing-Site ist in 11 Sprachversionen verfuegbar (Englisch sowie Niederlaendisch, Franzoesisch, Deutsch, Norwegisch, Italienisch, Tschechisch, Spanisch, Portugiesisch, Griechisch, Arabisch, Tuerkisch), mit korrektem lang-Attribut und RTL-Unterstuetzung fuer Arabisch.

5. Kulturelle und klinische Passung

Alle Szenarien, Saetze und Gespraechsinhalte sind durch das betreuende Fachpersonal konfigurierbar - kulturelle und kontextuelle Relevanz wird durch den Nutzer bestimmt, nicht durch uns. Anpassbare Sprechumgebungen und ein frei konfigurierbarer leerer Raum unterstuetzen Uebungen, die den realen Lebenskontext der Person abbilden. Peer-reviewte Studien, in denen Therapy withVR oder von withVR entwickelte Szenarien eingesetzt werden, sind im Evidence Hub mit vollstaendiger Zitation, allgemeinverstaendlicher Zusammenfassung und Sicherheitsbewertung katalogisiert. Die Plattform erhebt selbst keinen Anspruch auf klinische Wirksamkeit; die Evidenz stammt aus der Literatur.

Quelle: Evidence Hub · Scenarios

6. Sicherheit und Meldung von Datenpannen

Verschluesselung und Speicherung

Alle ruhenden Daten in Google Cloud Firestore werden mit AES-256 verschluesselt (Google Cloud-Standardinfrastrukturverschluesselung). Profilnamen werden zusaetzlich auf Anwendungsebene mit AES-256 und eindeutigen Initialisierungsvektoren je Datensatz verschluesselt. Alle uebertragenen Daten werden mit TLS 1.2 oder hoeher verschluesselt. Passwoerter werden vollstaendig durch Firebase Authentication verwaltet - withVR BV hat zu keiner Zeit Zugriff auf Nutzerpasswoerter.

Quelle: Privacy Policy §8 · DPA §6 (auf Anfrage)

Patch-Management

Kritische Patches (CVSS 9.0+, Zero-Days, Schwachstellen mit Auswirkungen auf Firebase auth oder storage): innerhalb von 48 Stunden. Hoch (CVSS 7.0-8.9): innerhalb von 7 Tagen. Mittel (CVSS 4.0-6.9): innerhalb von 30 Tagen oder im naechsten Release. Identifikation ueber Anbieterhinweise, NVD/CVE und GitHub Dependabot. Ausgerichtet an den Pflichten aus GDPR Article 32 und der belgischen NIS2-Umsetzung.

Quelle: Patch Management Policy §4 (auf Anfrage)

Meldung von Datenpannen

Meldung einer Verletzung des Schutzes personenbezogener Daten an die belgische Datenschutzbehoerde (GBA) innerhalb von 72 Stunden nach Kenntnisnahme (GDPR Article 33). Meldung an das UK ICO unter UK GDPR. Betroffene Nutzer werden ohne unangemessene Verzoegerung benachrichtigt, sofern die Verletzung voraussichtlich ein hohes Risiko mit sich bringt. Institutionelle Kunden mit unterzeichneter DPA werden gemaess den DPA-Bedingungen innerhalb von 72 Stunden benachrichtigt.

Quelle: Privacy Policy §10 · ToS §11.3 · DPA §11 (auf Anfrage)

Verfuegbarkeit und Resilienz des Dienstes

Hosting auf Google Cloud Firebase (Frankfurt) unter Googles SLA von 99,95 % Verfuegbarkeit. Multi-Zonen-Datenreplikation innerhalb der EU-Region. Firestore Point-in-Time Recovery mit 7-Tage-Fenster. Taegliche Backups werden 30 Tage, woechentliche Backups 98 Tage aufbewahrt. Incident-Response-Prioritaeten (P1 vollstaendiger Ausfall / Datenpanne innerhalb von 2 Stunden; P2 Teilausfall innerhalb von 4 Stunden; P3 leichte Verschlechterung am naechsten Werktag). Die Web App arbeitet unabhaengig von der Marketing-Site, und die VR App arbeitet nach Installation unabhaengig vom Distributionskanal Meta Quest Store.

Quelle: Business Continuity & Disaster Recovery Summary (auf Anfrage)

Unabhaengige Sicherheitszertifizierungen

Ehrliche Position: withVR BV verfuegt derzeit ueber keine eigenen unabhaengigen SOC 2 Type II- oder ISO 27001-Zertifizierungen. Die Infrastruktur der Plattform erbt beide von Google Cloud / Firebase, das beide aufrechterhaelt. Eigene Zertifizierungen werden mit zunehmender Plattformreife geprueft. Geplante Penetrationstests sind derzeit nicht etabliert; auch dies wird mit zunehmender Plattformreife geprueft.

Quelle: Patch Management Policy §9 · BCDR §8.2 (auf Anfrage)

Administrativer Zugang

Ehrliche Position: withVR BV wird von einer einzelnen Person (dem Gruender) betrieben. Der administrative Zugang zum Firebase-Projekt ist auf diese Person beschraenkt. Kein anderes Personal und keine Dritten haben direkten Zugang zur Produktionsdatenbank oder Infrastruktur. Mehrfaktor-Authentifizierung fuer administrative Konten ist geplant. Die zugrunde liegende Plattforminfrastruktur laeuft auf verwalteten Google Cloud-Diensten, die unabhaengig vom taeglichen Eingreifen von withVR BV betrieben werden, was die Abhaengigkeit von einer einzelnen Person auf Infrastrukturebene reduziert. Szenarien fuer die Nichtverfuegbarkeit des Gruenders werden im Business Continuity Summary behandelt.

Quelle: Privacy Policy §8 · BCDR §5 (auf Anfrage)

Audit-Logging

Google Cloud Audit Logs sind im gesamten Produktionsprojekt aktiviert und liefern eine manipulationssichere Aufzeichnung jeder administrativen Aktion und jeder Operation an Kundendaten. Stets aktive Admin Activity-Logs erfassen jede Konfigurationsaenderung. Admin Read, Data Read und Data Write-Logs sind aktiviert fuer Cloud Firestore (wo sich Kundendaten befinden), die Cloud Storage for Firebase API (Regeln und Konfiguration) und Google Cloud Storage (Dateioperationen - Upload, Download, Loeschen). Logs werden gemaess der Standard-Aufbewahrungsrichtlinie von Google Cloud aufbewahrt (400 Tage fuer Data Access Logs, 400 Tage fuer Admin Activity) und werden ausschliesslich zur Untersuchung von Sicherheitsvorfaellen und zur Compliance-Pruefung verwendet. Dies ist Teil der technischen und organisatorischen Massnahmen von withVR BV gemaess GDPR Article 32.

Quelle: Google Cloud Audit Logs (Firebase-Projekt) · BCDR §6 (auf Anfrage)

Netzwerkanforderungen (fuer institutionelle IT)

Saemtlicher withVR BV-Verkehr erfolgt ueber HTTPS auf Port 443. Die Web App erfordert withvr.app, firestore.googleapis.com, firebasestorage.googleapis.com, texttospeech.googleapis.com und (nur bei aktivierten KI-Funktionen) api.openai.com. Die VR App stellt keine Verbindung zu OpenAI her. Meta Quest-Hardware erfordert zusaetzlich Meta-Plattform-Domains - Einrichtungen mit restriktiven Netzwerken (insbesondere Schulen) sollten sicherstellen, dass diese nicht blockiert sind. Die vollstaendige Liste der Domains, Ports, Browser und Betriebssysteme befindet sich auf der Compatibility-Seite.

Quelle: Compatibility-Seite · BCDR §8.1 (auf Anfrage)

7. Arbeit mit Kindern und in Schulen

Kontoinhaber muessen 18+ sein. Die Plattform darf mit Minderjaehrigen ausschliesslich unter direkter Aufsicht und Steuerung einer qualifizierten erwachsenen Fachkraft genutzt werden. Schueler erstellen niemals selbst Konten, melden sich nicht an und uebermitteln keine personenbezogenen Daten direkt an die Plattform. Es duerfen keine Schuelernamen, Kennungen oder PII in die Plattform eingegeben werden. Fuer die Meta Quest-Hardware gilt ein gesondertes von Meta festgelegtes Mindestalter von 10 Jahren - dies ist die Richtlinie von Meta, nicht unsere, und gilt unabhaengig von professioneller Aufsicht.

Drei Schwellen koennen gleichzeitig gelten: die Altersrichtlinie der Plattform, das anwendbare Datenschutzrecht (z. B. die 13 Jahre nach COPPA, die 13-16 Jahre nach GDPR Article 8 je nach Mitgliedstaat) und die klinische Einwilligung (in der Regel unter 18). Die hoechste Schwelle ist massgeblich. Das betreuende Fachpersonal ist verantwortlich fuer die Einwilligung der Eltern oder Erziehungsberechtigten in seiner Rechtsordnung.

Fuer US-Schulen sind eine FERPA-Vereinbarung, eine Student Data Privacy Agreement oder die SDPC National DPA verfuegbar - siehe Abschnitt 8 (Verfuegbare Vereinbarungen) unten.

Quelle: Educational Use Policy §1, §3 · EULA §8

8. Organisatorische Reife

Medizinprodukte-Zertifizierung

Therapy withVR ist kein Medizinprodukt. Keine CE-Kennzeichnung nach EU MDR. Nicht FDA-reguliert. Keine UKCA-Kennzeichnung. Die Plattform diagnostiziert nicht, behandelt nicht, bewertet nicht, misst nicht und trifft keine klinischen Entscheidungen. Alle klinischen Entscheidungen verbleiben in der ausschliesslichen Verantwortung des betreuenden Fachpersonals. KI-Funktionen erzeugen ausschliesslich Inhaltsvorschlaege und stellen keine klinische Beratung oder Beurteilung dar.

Quelle: EULA §1 · AUP §1 · EU AI Act Statement §2

SLA und Verfuegbarkeit

withVR BV bietet keine eigenstaendige Verfuegbarkeitsgarantie, die Plattform erbt jedoch das 99,95 % Verfuegbarkeits-SLA von Google Cloud fuer die zugrunde liegende Infrastruktur. Geplante Wartungen werden nach Moeglichkeit vorab kommuniziert. Ungeplante Ausfaelle werden per E-Mail und auf der Website kommuniziert.

Quelle: ToS §12.2 · EULA §11

Preise und USt.

Standardabonnement 49 EUR/Monat pro Sitz (zzgl. USt., bei jaehrlicher Abrechnung). Mehrjahresrabatte verfuegbar bis zu 5 Jahren. So viele Sitze wie benoetigt. Angebote auf Briefpapier, Rechnungsstellung auf Bestellungsbasis und ergaenzende Beschaffungsdokumentation auf Anfrage erhaeltlich. Wir koennen direkt mit IT-, Beschaffungs- oder Datenschutzteams sprechen, um Lieferanten-Onboarding-Anforderungen zu klaeren.

Quelle: ToS §6 · Refund Policy

Verbraucherschutz (EU)

Gesetzliches 14-taegiges Widerrufsrecht nach der EU-Verbraucherrechterichtlinie 2011/83/EU und dem belgischen Umsetzungsgesetz. Belgisches Recht / Gerichtsstand Gent. EU-Verbraucher behalten das Recht, Verfahren an ihrem gewoehnlichen Aufenthaltsort einzuleiten; die europaeische Plattform zur Online-Streitbeilegung ist unter ec.europa.eu/consumers/odr (oeffnet in neuem Tab) verfuegbar.

Quelle: ToS §6.4, §16 · Refund Policy §2, §9

9. Peer-Validierung

Therapy withVR wird in aktiver peer-reviewter Forschung an Universitaeten und Krankenhaeusern in vielen Laendern eingesetzt. Der Evidence Hub katalogisiert jede veroeffentlichte Studie mit vollstaendiger Zitation, allgemeinverstaendlicher Zusammenfassung und Sicherheitsbewertung. Universitaeten, NHS-Trusts und Schulbezirke, die ihre eigenen institutionellen Genehmigungsverfahren bereits abgeschlossen haben, sind gern bereit, als Referenz angefragt zu werden - Anfragen ueber hello@withvr.app.

Verfuegbare Vereinbarungen

Auf Anfrage bei legal@withvr.app: DPA, FERPA-Vereinbarung / SDPC National DPA, Research Agreement, individuelle Zusatzvereinbarung, DPIA-Dokumentation, VPAT v2.5, BCDR-Zusammenfassung, Patch Management Policy.

Dokumente

Alle oeffentlichen Rechtsdokumente sind verlinkt von withvr.app/de/legal:

• Privacy Policy (Englisch)
• Terms of Service (Englisch)
• End User License Agreement (Englisch)
• Acceptable Use Policy (Englisch)
• Educational Use Policy (Englisch)
• EU AI Act Compliance Statement (Englisch)
• Accessibility Statement (Englisch)
• Cookie Policy (Englisch)
• Refund and Return Policy (Englisch)
• Sub-Processor List (Englisch)

Was wir nicht beanspruchen

Transparenz ueber Grenzen ist Teil der Konzeption:

• Wir beanspruchen in keiner Weise, ein Medizinprodukt zu sein.
• Wir beanspruchen keine HIPAA-Konformitaet - wir sind konstruktionsbedingt ausserhalb des Geltungsbereichs von HIPAA.
• Wir beanspruchen keine unabhaengigen SOC 2 Type II- oder ISO 27001-Zertifizierungen. Wir erben beide auf Infrastrukturebene von Google Cloud; eigene Zertifizierungen werden mit zunehmender Plattformreife geprueft.
• Wir beanspruchen keinen abgeschlossenen unabhaengigen WCAG-Audit. Wir verfuegen ueber eine Selbsteinschaetzung, automatisierte Scans, das VPAT v2.5 und einen Lighthouse-Score von 100/100 auf der Marketing-Site. Ein formaler beauftragter Audit ist geplant, sobald die Finanzierung dies zulaesst.
• Wir beanspruchen keine NIS2-Konformitaet - wir beanspruchen eine Ausrichtung an der belgischen NIS2-Umsetzung ueber die Patch Management Policy.
• Wir beanspruchen nicht, dass KI das klinische Urteil ersetzt. Jede KI-Funktion ist optional, standardmaessig deaktiviert und nachpruefbar. Avatar-Stimmen werden stets als KI-synthetisiert kenntlich gemacht.

Kontakt

Beschaffung, Lieferantenfragebogen, Sicherheitsueberpruefungen und Anfragen zu Vereinbarungen: legal@withvr.app. Unsere oeffentliche Technology Checklist for SLPs ist der Rahmen, um den diese Seite strukturiert ist - nutzen Sie ihn an uns, oder an jedem anderen Werkzeug, das Sie bewerten.

withVR BV · Jozef Hebbelynckstraat 21, Merelbeke 9820, Belgium · BE-0790.909.294 · Zuletzt geprueft 2026-04-26