Privacy Policy

Mama Bloom app + this website · Effective 4 June 2026 · Version 1.3.4

Scope. This policy covers the Mama Bloom iOS app and the mamabloom.app website. It applies to users in the European Union and the United Kingdom — the only markets Mama Bloom is offered in. The app is currently in the final phase of private beta testing on TestFlight.
Not medical advice. Mama Bloom is a wellness companion, not a medical device. Nothing in the app or on this site constitutes medical, diagnostic, or therapeutic advice. Always consult a qualified healthcare provider for health-related questions. If you are experiencing a medical or mental-health emergency, contact your local emergency or crisis line immediately.
Interacting with an AI system · Regulation (EU) 2024/1689 Article 50. The Mama Bloom AI companion inside the app is an AI system operated by Mama Bloom UG and powered by Anthropic’s Claude API. You are interacting with software, not a human. AI-generated text and audio inside the app are labelled accordingly. The AI is trained to listen and support — it does not diagnose, prescribe, or replace clinical care. See Section 6 below for processing details and Section 7 for your rights, including the right to request human review.

1. Who we are

App operator: Mama Bloom UG (haftungsbeschränkt), Oskarstr. 14, 01219 Dresden, Germany.
Commercial register: HRB 47918, Amtsgericht Dresden.
Managing Director: Claudia Nowack.
Data-protection contact: privacy@mamabloom.app · +49 152 5826 2078.
Product / billing support: support@mamabloom.app.

Given our current scale of processing, a Data Protection Officer is not formally appointed under Art. 37 GDPR or § 38 BDSG. The Managing Director is the responsible person for data protection matters.

2. Our representative in the United Kingdom

Pursuant to Article 27 of the UK GDPR, we have appointed Prighter Group with its local partners as our privacy representative and your point of contact for the following regions: United Kingdom (UK).

Prighter gives you an easy way to exercise your privacy-related rights (e.g. requests to access or erase personal data). If you want to contact us via our representative, Prighter, or make use of your data subject rights, please visit: https://app.prighter.com/portal/19873577792.

UK-GDPR Certification: Art 27 representation by Prighter powered by Prighter

UK data subjects retain the right to lodge a complaint directly with the Information Commissioner’s Office (ICO) at ico.org.uk.

3. Age restriction

This app is intended solely for users aged 18 and over. We do not knowingly collect personal information from anyone under 18. If you believe a minor has used the app, contact privacy@mamabloom.app and we will promptly delete their data.

4. What data we process

The app processes only what you choose to enter or what is required to deliver the feature you’re using.

What you give us

  • First name and email address (account creation).
  • Your selected journey stage and app preferences.
  • Optional logs: mood, journal entries, symptoms, cycle and fertility, blood pressure and glucose readings, sleep, hydration, appointments, vaccine records, letters to baby, baby information.
  • Optional photos you submit to the AI ingredient checker.
  • Wellbeing Reflection answers (stored on device; only a derived severity band may be shared with the AI if you have enabled context sharing).
  • In-app support ticket content.
  • Voice journal entries — audio is transcribed on your device by Apple Speech Recognition; only the resulting text is saved or sent to the AI.

What we automatically collect

  • An app-generated device identifier stored in Keychain — used for rate limiting, security, consented analytics and Files-API slug generation.
  • Country-level location only, used in the moment to show local crisis-line numbers — never stored.
  • Apple subscription status — we never see your payment details.
  • Pseudonymous usage telemetry after you consent (feature opened, onboarding completed, subscription state, crash/diagnostic events, AI usage). Categorical fields only — no free-text content.

5. Lawful basis

  • Contract (Art. 6(1)(b)) — account, subscription delivery, AI features.
  • Consent (Art. 6(1)(a); Art. 9(2)(a) for health data) — optional logs, AI context sharing, analytics, voice transcription.
  • Legitimate interest (Art. 6(1)(f)) — security, rate limiting, fraud prevention, server logs.
  • Legal obligation (Art. 6(1)(c)) — tax records, regulator inquiries.

6. Sub-processors

We use a small set of EU-, UK-, and US-based service providers to operate the app. All US transfers use Standard Contractual Clauses (and the UK IDTA where applicable).

  • Apple Inc. — App Store, TestFlight, push notifications, subscriptions.
  • Anthropic PBC (USA) — the AI companion (Claude API). 30-day retention, no model training on user data.
  • Vercel Inc. (USA) — serverless functions and content delivery for the AI proxy.
  • Upstash Inc. (USA) — Redis-backed rate-limit counters, idempotency keys, App Attest challenges, consented analytics aggregates.
  • Resend (Germany / USA) — transactional emails (account verification, reply-to-support).

7. Retention

Active app data is retained while your account exists. Server-side logs are kept for 30–90 days for security purposes. On account deletion we perform a seven-step purge of your personal data within 30 days (statutory tax and accounting records excepted, where applicable).

Support ticket on-device cache (build 55+). A rolling list of your last 20 ticket references (id, subject line, category, time) is kept on this device so you can find your reference number after closing the support sheet. The message body itself is never cached. This cache is included in your GDPR Art. 15 / 20 data export and erased on Art. 17 account deletion.

8. Your rights

You have the right to access, rectify, delete, port, and restrict the processing of your personal data; to object to processing based on legitimate interest; and to withdraw consent at any time. To exercise any right, email privacy@mamabloom.app. We respond within 30 days as required by Art. 12(3) GDPR.

You may also lodge a complaint with our lead supervisory authority, the Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) (datenschutz.sachsen.de), with the supervisory authority of your habitual residence, or in the UK with the ICO.

9. Automated decision-making (Art. 22 GDPR)

We do not engage in solely-automated decision-making that produces legal effects or similarly significant effects on you. The app uses an AI-based classifier to detect language suggesting distress so that gentle, optional support resources (helplines, breath exercises) can be surfaced. The classifier never restricts access to features, never reports to anyone, and never escalates outside the app. You may at any time request human review of any AI-influenced experience by writing to privacy@mamabloom.app. AI-personalised affirmations and Sunday Letters reflect your stated journey stage and self-logged context only and do not constitute a profiling decision with legal effect.

10. No advertising. No trackers.

Mama Bloom has no advertising SDKs, no behavioural analytics, no third-party trackers, and does not sell or share user data. The PrivacyInfo.xcprivacy manifest in the app declares the same.

11. About this website

This page is the canonical privacy policy and is also the URL Apple App Store reviewers are referred to. The website itself sets no cookies, embeds no analytics or advertising scripts, and collects no personal data through forms. All fonts are self-hosted — no Google Fonts or Adobe Fonts requests are made.

Our hosting provider keeps standard HTTP server logs (IP, user agent, timestamp, response code) for security and operational reasons under Art. 6(1)(f) GDPR (legitimate interest). We do not analyse or share these logs.

Browser storage. The website uses one item of HTML5 localStorage, the key mamabloom-lang, to remember your EN / DE language choice between visits. That is the entirety of the client-side storage we set. It contains no personal data, is never transmitted to our server, and is considered strictly necessary under § 25 (2) Nr. 2 TTDSG and the corresponding ePrivacy Directive carve-out. No consent banner is shown because no consent-requiring storage exists. You can clear it any time via your browser’s site settings.

12. Changes

We will update the effective date above when this page materially changes. v1.3.4 (4 June 2026) confirms that the optional Anthropic Files journal-upload feature is currently inactive (no journal corpus is uploaded to Anthropic today), names the Apple Health fields shared with the AI when you connect Apple Health and enable context sharing (recent step counts, resting heart rate and workout summaries), and notes that some guided audio (certain hypnobirthing and sleep-coach narrations) was produced with ElevenLabs and is bundled offline, and removes the earlier Apple Journaling Suggestions disclosure (that integration was withdrawn before release and is not part of the app). v1.3.3 (28 May 2026) discloses the support-ticket on-device cache (a rolling list of your last 20 ticket references; the message body is never cached; included in your Art. 15 / 20 export and erased on Art. 17 deletion), and a refreshed App Attest staged-rollout date (the temporary assertion-enforcement kill-switch DISABLE_ATTEST_UNTIL moved from 2026-05-27 to 2026-08-01, with HMAC body-binding, TLS, SPKI pinning and app-secret signing remaining in place throughout). v1.3.2 (21 May 2026) introduces a dedicated data-protection contact channel (privacy@mamabloom.app and +49 152 5826 2078), keeping support@mamabloom.app for product and billing matters only. v1.3.1 (17 May 2026) named Upstash as a sub-processor and consolidated the UK Representative section. v1.3 (11 May 2026) tightened geographic scope to the EU and the UK.

Datenschutzerklärung

Mama Bloom App + diese Website · Gültig ab 4. Juni 2026 · Version 1.3.4

Geltungsbereich. Diese Erklärung gilt für die Mama Bloom iOS-App und die Website mamabloom.app. Sie gilt für Nutzer in der Europäischen Union und im Vereinigten Königreich — den einzigen Märkten, in denen Mama Bloom angeboten wird. Die App befindet sich derzeit in der finalen privaten Beta-Testphase auf TestFlight.
Keine medizinische Beratung. Mama Bloom ist ein Wellness-Begleiter und kein Medizinprodukt. Nichts in der App oder auf dieser Website stellt medizinische, diagnostische oder therapeutische Beratung dar. Wende dich bei gesundheitlichen Fragen immer an eine qualifizierte Fachperson. In medizinischen oder psychischen Notfällen kontaktiere sofort den rtlichen Not- oder Krisendienst.
Interaktion mit einem KI-System · Verordnung (EU) 2024/1689 Artikel 50. Die Mama Bloom KI-Begleitung in der App ist ein KI-System der Mama Bloom UG, betrieben über die Claude API von Anthropic. Du interagierst mit Software, nicht mit einem Menschen. KI-generierte Texte und Audio-Inhalte werden in der App als solche gekennzeichnet. Die KI ist darauf trainiert, zuzuhören und zu begleiten — sie diagnostiziert nicht, verschreibt nicht und ersetzt keine klinische Versorgung. Verarbeitungsdetails siehe Abschnitt 6; deine Rechte einschließlich des Rechts auf menschliche Überprüfung siehe Abschnitt 7.

1. Wer wir sind

App-Betreiber: Mama Bloom UG (haftungsbeschränkt), Oskarstr. 14, 01219 Dresden, Deutschland.
Handelsregister: HRB 47918, Amtsgericht Dresden.
Geschäftsführerin: Claudia Nowack.
Datenschutz-Kontakt: privacy@mamabloom.app · +49 152 5826 2078.
Produkt- / Abrechnungs-Support: support@mamabloom.app.

Bei unserem derzeitigen Verarbeitungsumfang ist nach Art. 37 DSGVO bzw. § 38 BDSG keine formale Bestellung eines Datenschutzbeauftragten erforderlich. Verantwortliche Person für den Datenschutz ist die Geschäftsführerin.

2. Unser Vertreter im Vereinigten Königreich

Wir wertschätzen deine Privatsphäre und deine Rechte als betroffene Person und haben deshalb die Prighter Group mit ihren lokalen Partnern zu unserem Datenschutzvertreter und deinem Ansprechpartner für folgende Regionen bestellt: Vereinigtes Königreich (UK).

Über Prighter kannst du deine datenschutzrechtlichen Anliegen einfach geltend machen (z. B. Auskunfts- oder Löschungsersuchen). Wenn du uns über unseren Vertreter Prighter kontaktieren oder deine Rechte als betroffene Person ausüben möchtest, besuche bitte: https://app.prighter.com/portal/19873577792.

UK-GDPR-Zertifizierung: Art-27-Vertretung durch Prighter powered by Prighter

Betroffene aus dem Vereinigten Königreich behalten das Recht, sich unmittelbar bei der britischen Aufsichtsbehörde, dem Information Commissioner’s Office (ICO), zu beschweren (ico.org.uk).

3. Altersbeschränkung

Diese App ist ausschließlich für Nutzer:innen ab 18 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 18 Jahren. Falls du der Meinung bist, dass eine minderjährige Person die App genutzt hat, kontaktiere bitte privacy@mamabloom.app — wir löschen ihre Daten umgehend.

4. Welche Daten wir verarbeiten

Die App verarbeitet nur, was du selbst eingibst oder was zur Bereitstellung der von dir genutzten Funktion erforderlich ist.

Was du uns gibst

  • Vorname und E-Mail-Adresse (Kontoanlage).
  • Deine gewählte Lebensphase und App-Einstellungen.
  • Optionale Einträge: Stimmung, Tagebuch, Symptome, Zyklus und Fruchtbarkeit, Blutdruck- und Glukosewerte, Schlaf, Flüssigkeitszufuhr, Termine, Impfeinträge, Briefe an das Baby, Baby-Informationen.
  • Optionale Fotos für den KI-Inhaltsstoff-Check.
  • Antworten zur Wohlbefindens-Reflexion (lokal auf dem Gerät gespeichert; nur ein abgeleiteter Schweregrad kann der KI übermittelt werden, wenn du die Kontextfreigabe aktiviert hast).
  • Inhalt von In-App-Supportanfragen.
  • Sprach-Tagebuch-Einträge — Audio wird auf deinem Gerät durch Apple Speech Recognition transkribiert; nur der resultierende Text wird gespeichert oder an die KI gesendet.

Was wir automatisch erfassen

  • Eine app-generierte Gerätekennung im Keychain — zur Ratenbegrenzung, Sicherheit, zustimmungsbasierten Analyse und Files-API-Slug-Erzeugung.
  • Länderbezogener Standort, nur im Moment der Anzeige lokaler Krisenrufnummern — nicht gespeichert.
  • Apple-Abonnementstatus — deine Zahlungsdaten sehen wir nie.
  • Pseudonyme Nutzungstelemetrie nach deiner Einwilligung (Funktion geöffnet, Onboarding abgeschlossen, Abonnementstatus, Crash- und Diagnoseereignisse, KI-Nutzung). Nur kategorische Felder — keine Freitexte.

5. Rechtsgrundlage

  • Vertrag (Art. 6 Abs. 1 lit. b) — Konto, Abonnementabwicklung, KI-Funktionen.
  • Einwilligung (Art. 6 Abs. 1 lit. a; Art. 9 Abs. 2 lit. a für Gesundheitsdaten) — optionale Einträge, KI-Kontextfreigabe, Analyse, Sprachtranskription.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) — Sicherheit, Ratenbegrenzung, Betrugsprävention, Serverprotokolle.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) — Steuerunterlagen, Behördenanfragen.

6. Auftragsverarbeiter

Wir setzen einen kleinen Kreis an Dienstleistern in der EU, im UK und in den USA ein, um die App zu betreiben. Alle US-Datenübermittlungen erfolgen auf Basis der EU-Standardvertragsklauseln (und des UK IDTA, soweit einschlägig).

  • Apple Inc. — App Store, TestFlight, Push-Benachrichtigungen, Abonnements.
  • Anthropic PBC (USA) — KI-Begleitung (Claude API). 30 Tage Aufbewahrung, kein Modelltraining auf Nutzerdaten.
  • Vercel Inc. (USA) — Serverless-Funktionen und Content-Delivery für den KI-Proxy.
  • Upstash Inc. (USA) — Redis-basierte Zähler für Ratenbegrenzung, Idempotenz-Schlüssel, App-Attest-Herausforderungen, eingewilligte Analyseaggregate.
  • Resend (Deutschland / USA) — transaktionale E-Mails (Kontoverifizierung, Support-Antworten).

7. Aufbewahrung

Aktive App-Daten werden für die Dauer deines Kontos aufbewahrt. Serverseitige Protokolle werden 30–90 Tage zu Sicherheitszwecken vorgehalten. Bei Kontolöschung erfolgt ein siebenstufiger Löschvorgang deiner personenbezogenen Daten innerhalb von 30 Tagen (gesetzliche steuer- und handelsrechtliche Aufbewahrungspflichten bleiben unberührt).

Lokaler Support-Ticket-Cache (ab Build 55). Eine rollende Liste deiner letzten 20 Ticket-Referenzen (ID, Betreffzeile, Kategorie, Zeitpunkt) wird auf diesem Gerät gespeichert, damit du deine Referenznummer nach dem Schließen der Support-Ansicht wiederfindest. Der eigentliche Nachrichtentext wird NICHT zwischengespeichert. Dieser Cache ist in deinem DSGVO-Datenexport (Art. 15 / 20) enthalten und wird bei Kontolöschung (Art. 17) entfernt.

8. Deine Rechte

Du hast das Recht auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit und Einschränkung der Verarbeitung deiner personenbezogenen Daten; das Widerspruchsrecht gegen Verarbeitungen auf Grundlage berechtigter Interessen; und das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. Zur Ausübung deiner Rechte schreibe an privacy@mamabloom.app. Wir antworten innerhalb von 30 Tagen nach Art. 12 Abs. 3 DSGVO.

Du kannst dich außerdem an unsere zuständige Aufsichtsbehörde wenden, die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) (datenschutz.sachsen.de), oder an die Aufsichtsbehörde deines Wohnsitzlandes; im UK an das ICO.

9. Automatisierte Entscheidungen (Art. 22 DSGVO)

Wir treffen keine ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung. Die App nutzt einen KI-basierten Klassifikator, um Sprache zu erkennen, die auf Belastung hindeutet, damit sanfte, optionale Unterstützungsangebote (Helplines, Atemübungen) eingeblendet werden können. Der Klassifikator beschränkt nie den Zugang zu Funktionen, meldet niemandem etwas und eskaliert nicht außerhalb der App. Du kannst jederzeit eine menschliche Überprüfung jeder KI-beeinflussten Erfahrung anfordern, indem du an privacy@mamabloom.app schreibst. KI-personalisierte Affirmationen und Sunday Letters spiegeln deine angegebene Lebensphase und deinen selbst protokollierten Kontext wider und stellen keine Profilingsentscheidung mit rechtlicher Wirkung dar.

10. Keine Werbung. Keine Tracker.

Mama Bloom enthält keine Werbe-SDKs, keine verhaltensbasierte Analyse, keine Drittanbieter-Tracker und verkauft oder teilt keine Nutzerdaten. Das in der App enthaltene PrivacyInfo.xcprivacy-Manifest bestätigt dasselbe.

11. Über diese Website

Diese Seite ist die maßgebliche Datenschutzerklärung und zugleich die URL, auf die Apple App Store Prüfer verwiesen werden. Die Website selbst setzt keine Cookies, bindet keine Analyse- oder Werbeskripte ein und erhebt über Formulare keine personenbezogenen Daten. Alle Schriftarten werden selbst gehostet — keine Anfragen an Google Fonts oder Adobe Fonts.

Unser Hosting-Anbieter führt standardmäßige HTTP-Serverprotokolle (IP, User-Agent, Zeitstempel, Statuscode) zu Sicherheits- und Betriebszwecken gemäß Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Wir analysieren oder teilen diese Protokolle nicht.

Browser-Speicher. Die Website nutzt einen einzigen Eintrag im HTML5 localStorage mit dem Schlüssel mamabloom-lang, um deine EN-/DE-Sprachwahl zwischen Besuchen zu merken. Das ist der gesamte Client-seitige Speicher, den wir setzen. Er enthält keine personenbezogenen Daten, wird nie an unseren Server übertragen und gilt als unbedingt erforderlich nach § 25 Abs. 2 Nr. 2 TTDSG sowie der entsprechenden Ausnahme der ePrivacy-Richtlinie. Es wird kein Cookie-Banner angezeigt, weil keine einwilligungs­pflichtige Speicherung erfolgt. Du kannst den Eintrag jederzeit über die Site-Einstellungen deines Browsers entfernen.

12. Änderungen

Wenn sich diese Seite wesentlich ändert, aktualisieren wir das Datum oben. Version 1.3.4 (4. Juni 2026) bestätigt, dass die optionale Funktion zum Hochladen von Tagebucheinträgen zu Anthropic Files derzeit inaktiv ist (heute wird kein Tagebuch-Korpus an Anthropic übertragen), benennt die Apple-Health-Daten, die mit der KI geteilt werden, wenn du Apple Health verbindest und das Teilen von Kontext aktivierst (aktuelle Schrittzahlen, Ruhepuls und Workout-Zusammenfassungen), und weist darauf hin, dass einige geführte Audios (bestimmte Hypnobirthing- und Schlafcoach-Erzählungen) mit ElevenLabs erstellt und offline gebündelt wurden und entfernt die frühere Apple-Journaling-Suggestions-Offenlegung (diese Integration wurde vor Release zurückgezogen und ist nicht Teil der App). Version 1.3.3 (28. Mai 2026) legt den lokalen Support-Ticket-Cache offen (eine rollende Liste deiner letzten 20 Ticket-Referenzen; der Nachrichtentext wird nie zwischengespeichert; im Art. 15 / 20-Export enthalten und bei Art. 17-Löschung entfernt) sowie ein aktualisiertes App-Attest-Staged-Rollout-Datum (der temporäre Kill-Switch DISABLE_ATTEST_UNTIL wurde von 2026-05-27 auf 2026-08-01 verlängert; HMAC-Body-Bindung, TLS, SPKI-Pinning und App-Secret-Signierung bleiben durchgängig aktiv). Version 1.3.2 (21. Mai 2026) führt einen eigenen Datenschutz-Kontaktkanal ein (privacy@mamabloom.app und +49 152 5826 2078); support@mamabloom.app bleibt ausschließlich für Produkt- und Abrechnungs­anfragen. Version 1.3.1 (17. Mai 2026) nennt Upstash als Auftragsverarbeiter und bündelt den Abschnitt zum UK-Vertreter. Version 1.3 (11. Mai 2026) beschränkt den geografischen Geltungsbereich auf EU und UK.