Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Diese Datenschutzrichtlinie erläutert, welche Daten wir verarbeiten, wenn Sie die Immerzed Companion App (iOS und Android) nutzen, zu welchen Zwecken dies geschieht und welche Rechte Sie haben. Die App wird derzeit ausschließlich in Deutschland angeboten.
Diese Erklärung gilt für die Nutzung unserer mobilen Apps (nachfolgend: „Dienste“). Etwaige Web‑Anteile oder begleitende Portale werden – falls vorhanden – gesondert geregelt.
Verantwortlicher im Sinne der DSGVO:
Immerzed GmbH
Streekweg 32a
22359 Hamburg
Deutschland
E‑Mail: kontakt@immerzed.com
Datenschutzbeauftragter: nicht benannt
Zuständige Aufsichtsbehörde:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)
Ludwig‑Erhard‑Str. 22, 20459 Hamburg, Deutschland
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). „Verarbeitung“ ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten (Art. 4 Nr. 2 DSGVO).
Wir verarbeiten die nachfolgenden Kategorien personenbezogener Daten zu den genannten Zwecken auf Basis der angegebenen Rechtsgrundlagen der DSGVO:
Registrierung & Konto
Daten: E‑Mail‑Adresse, Vorname, Nachname, Passwort
Zweck: Kontoanlage, Authentifizierung, Verwaltung des Nutzerkontos, Bereitstellung der App‑Funktionen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/vertragsähnliches Verhältnis)
App‑Nutzung (Anzeige von VR‑Simulationsdaten)
Daten: in der VR‑Simulation generierte Nutzungs‑/Leistungsdaten (z. B. Übungsergebnisse, Zeitstempel, Szenario‑Metadaten, Checklisten‑/Protokollwerte) – konkret je nach Feature
Zweck: Abruf/Visualisierung der für den Nutzer erzeugten Trainings‑ und Nutzungsdaten
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
QR‑Code‑Login auf VR‑Brillen
Daten: Kurzlebige Anmeldetokens/Session‑IDs; Zuordnung zum Nutzerkonto
Zweck: Einfache Anmeldung auf VR‑Endgeräten
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Sicherheit: Tokens sind zeitlich beschränkt; OTP/Magic‑Link‑Tokens verfallen standardmäßig nach 1 Stunde (konfigurierbar).
Unternehmenssichtbarkeit (freiwillige Mitgliedschaften)
Daten: E‑Mail, Vorname, Nachname
Zweck: Sichtbar‑Machung dieser Angaben für Unternehmen/Organisationen, denen der Nutzer freiwillig beigetreten ist (z. B. Arbeitgeber, Trainingsanbieter)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Beitritts-/Team‑Funktion); ergänzend Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse der Organisation, Nutzer intern zuordnen zu können)
Hinweis: Die Freigabe erfolgt nur im Kontext der jeweiligen Organisation.
Technische Protokolle & IT‑Sicherheit
Daten: IP‑Adresse, Zeitpunkt, angefragte Ressourcen/Endpoints, Geräte‑/App‑Infos (z. B. App‑Version, Betriebssystem), Fehlermeldungen
Zweck: Betrieb, Fehleranalyse, Missbrauchs‑/Angriffserkennung, Nachvollziehbarkeit sicherheitsrelevanter Ereignisse
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und stabilem Betrieb); Art. 32 DSGVO (Sicherheit der Verarbeitung)
Speicherdauer: 30 Tage, danach Löschung/Anonymisierung
Support‑Kommunikation (optional)
Daten: E‑Mail‑Adresse, Inhalte Ihrer Anfrage, Metadaten (Datum/Uhrzeit), ggf. Anhänge
Zweck: Bearbeitung und Dokumentation Ihrer Anfrage
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsbezug) und/oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizientem Support)
System: IONOS Postfach
Freiwillige Inhalte in Profil/Funktionen (falls angeboten)
Daten: z. B. Profilbild, zusätzliche Angaben
Zweck: Komfortfunktionen/Individualisierung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; freiwillig
Keine Social‑Logins: Eine Registrierung/Anmeldung über soziale Dienste (Facebook, Apple, Google etc.) findet derzeit nicht statt.
Keine Werbung/Marketing ohne Einwilligung: Wir versenden keine Marketing‑E‑Mails. Transaktionsmails (z. B. Registrierung, Passwort‑Reset) sind zur Vertragserfüllung erforderlich.
Keine besonderen Kategorien (§ Art. 9 DSGVO): Es werden keine Gesundheitsdaten verarbeitet. Die VR‑Simulationsdaten sind leistungs-/interaktionsbezogene Trainingsdaten ohne medizinische Aussage.
Wir erhalten Daten in der Regel direkt von Ihnen (Registrierung/Anmeldung, App‑Nutzung). VR‑Simulationsdaten stammen aus den von Ihnen genutzten Immerzed‑Systemen und werden Ihrem Konto zugeordnet.
Zur Bereitstellung unserer Dienste setzen wir Dienstleister (Art. 28 DSGVO) ein. Diese verarbeiten Daten ausschließlich auf unsere Weisung:
Supabase (Auth, Datenbank/Storage) – Auftragsverarbeiter
Region: EU (eu‑central‑1, Frankfurt)
Vertrag/DPA: Supabase Data Processing Addendum inkl. geeigneter Garantien (Standardvertragsklauseln), soweit erforderlich.
E‑Mail‑Versand (nur transaktionsbezogene Nachrichten: Registrierung, Bestätigung, Passwort‑Reset): IONOS (Deutschland/EU) – Auftragsverarbeiter. Keine Werbe‑/Marketing‑E‑Mails.
Crash‑/Fehlerberichte & Monitoring: derzeit nicht im Einsatz.
Weitere IT‑/Cloud‑Dienstleister: —
Sofern gesetzlich erforderlich oder zur Rechtsdurchsetzung notwendig, können Daten an Behörden, Gerichte oder Rechtsberater übermittelt werden (Art. 6 Abs. 1 lit. c und f DSGVO).
Wir bevorzugen die Speicherung und Verarbeitung innerhalb der EU/EWR. Kommt es gleichwohl zu Übermittlungen in Drittländer (z. B. weil ein Dienstleister dort sitzt oder auf Unterauftragsverarbeiter zugreift), stellen wir geeignete Garantien sicher (insbesondere EU‑Standardvertragsklauseln, Art. 46 DSGVO, ggf. zusätzliche Maßnahmen).
Kontodaten: für die Dauer des Nutzungsverhältnisses; anschließend Löschung/Anonymisierung nach 30 Tagen (Backups)
VR‑Simulationsdaten in der App: grundsätzlich ohne feste Frist (bedarfsgerecht für Nutzer/Unternehmen). Sie können eine Löschung jederzeit verlangen; bei Account‑Löschung werden dem Konto zugewiesene Daten gelöscht.
Protokolldaten: bis zu 7 Tage im Supabase‑Dashboard (planabhängig); bei Bedarf längere Aufbewahrung über externe Log‑Exports („Log Drains“).
Support‑Kommunikation: Bearbeitung über support@immerzed.com; Speicherung bis Abschluss der Anfrage, längstens 24 Monate (oder länger, wenn rechtlich erforderlich).
Support‑Kommunikation: 24 Monate oder bis Abschluss der Anfrage, längstens gesetzliche Verjährung bei Rechtsrelevanz
Gesetzliche Aufbewahrungspflichten: nach HGB/AO in der Regel 6–10 Jahre, sofern anwendbar
Wir treffen technische und organisatorische Maßnahmen gem. Art. 32 DSGVO (u. a. Verschlüsselung in Transit und – soweit verfügbar – At‑Rest‑Verschlüsselung, Zugriffsbeschränkungen/Rechtekonzept, Protokollierung, Backup‑/Recovery‑Prozesse). QR‑Login‑Tokens sind kurzlebig und zweckgebunden.
Unsere Dienste richten sich nicht an Kinder unter 16 Jahren. Eine Registrierung durch Minderjährige setzt die Zustimmung der Sorgeberechtigten voraus (Art. 8 DSGVO), sofern anwendbar.
In den mobilen Apps setzen wir nur technisch erforderliche Komponenten ein (z. B. Supabase‑SDK) für Authentifizierung, Datensynchronisation und Betrieb. Analyse-/Crash-/Marketing‑SDKs werden derzeit nicht verwendet.
Push-Benachrichtigungen: geplant (über Plattform‑Dienste, z. B. Apple Push Notification Service „APNs“ / Firebase Cloud Messaging „FCM“). Bei Aktivierung informieren wir innerhalb der App und holen – soweit erforderlich – vorab Ihre Einwilligung ein.
Sollten künftig optionale Tracking‑/Analytics‑Funktionen hinzukommen, holen wir vorab Ihre Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO) und aktualisieren diese Richtlinie.
Rechte der betroffenen Personen
Sie haben – bei Vorliegen der gesetzlichen Voraussetzungen – folgende Rechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21 DSGVO).
Sie können diese Rechte über support@immerzed.com geltend machen. Zudem besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde, insbesondere in Ihrem Mitgliedstaat oder am Sitz des Verantwortlichen (siehe oben).
Die Bereitstellung von Registrierungsdaten ist für die Nutzung der App‑Funktionen erforderlich. Ohne diese Daten ist eine Kontoanlage und Nutzung zentraler Funktionen (Abruf von VR‑Daten, QR‑Login) nicht möglich.
Es findet keine automatisierte Entscheidung im Einzelfall einschließlich Profiling im Sinne von Art. 22 DSGVO statt.
Wir können diese Richtlinie anpassen, wenn sich Funktionen, Rechtslage oder Dienstleister ändern. Das Änderungsdatum wird aktualisiert. Über wesentliche Änderungen informieren wir in der App (z. B. Hinweis/Popup) und holen erforderliche Einwilligungen erneut ein.
Stand: 03.10.2025
