Wir lesen keine Chats, und lernen trotzdem jeden Tag dazu

In Investoren-Gesprächen werden wir oft gefragt, welche Erkenntnisse wir aus den Chats unserer Nutzer:innen ziehen. Die Antwort ist erstmal unspektakulär: keine. Wir lesen keine Chat-Inhalte. Sie sind verschlüsselt, und das ist eine bewusste Sicherheits-Entscheidung, kein Engineering-Versehen. Wie wir trotzdem strukturiert lernen, ist Thema dieses Beitrags.

Verschlüsselung ist die Voreinstellung, nicht das Premium-Feature

Bei Kinder-KI muss Vertraulichkeit der Default sein. Eltern und Träger erwarten, dass die Gespräche ihrer Kinder nicht in einem Anbieter-Backoffice landen. Unsere Architektur trägt dieser Erwartung Rechnung: Chat-Inhalte sind verschlüsselt; Mitarbeitende von HillcrownAI haben strukturell keinen Zugriff auf Klartext-Dialoge. Was wir auswerten dürfen und auswerten, sind aggregierte, pseudonymisierte Telemetrie-Daten: wie oft eine Antwort an die Moderation eskaliert, wie lange ein Avatar-Dialog dauert, in welcher Tageszeit Nutzung passiert. Inhalt: nein. Strukturmaße: ja.

Wie wir trotzdem lernen, Test-Familien

Damit wir nicht im Blindflug sind, arbeiten wir mit einem ausgewählten Kreis an Test-Familien. Diese Familien nutzen KinderGPT im echten Alltag und gehen mit uns regelmäßig ins Feedback, strukturiert, vereinbart, vergütet. Sie wissen, dass wir an dieser Stelle mehr Detail bekommen, weil sie es bewusst freigeben. Konkret heißt das: Beobachtungs-Sessions, Eltern-Interviews und Co-Design-Termine, in denen wir Avatar-Tonalität, Ablauf-Vorschläge und Eltern-Flow mit echten Familien validieren, nicht aus Telemetrie ableiten. Die Erkenntnisse aus diesen Sessions fließen direkt in die Pipeline, ohne dass wir die Privatsphäre der breiten Nutzerschaft antasten.

Was das für die Infrastruktur bedeutet

Diese Architektur ist anspruchsvoller als ein klassischer „Alles loggen, später filtern"-Ansatz. Sie erzwingt mehrere Disziplinen.

• Schlüsselverwaltung. Saubere Trennung von Verschlüsselungs- und Anwendungs-Pfad, mit Hardware-Security-Module-gestützten Schlüsseln und dokumentierter Rotation.
• Pseudonyme Telemetrie. Metriken werden bewusst grobkörnig erfasst, um Re-Identifikation strukturell auszuschließen.
• Test-Familien-Plattform. Separater, eingewilligter, dokumentierter Pfad mit eigenem Consent-Management und eigenen Audit-Logs.
• Skalierungs-Latenz. Kindgerechte Antwortzeiten unter wachsender Last, ohne dass Sicherheits-Checks abgekürzt werden.
• Resilienz und Datenresidenz. Alle Daten bleiben in Deutschland, auch im Failover.

Wo wir hinwollen

Mit jeder neuen Partnerschaft wachsen die Anforderungen an die Infrastruktur. Schul-Träger erwarten andere Audit-Pfade als Medienhäuser, Sportvereine andere Avatar-Latenz als Tourismusregionen. Unsere Roadmap richtet sich an diesen wachsenden Anforderungen aus, nicht an einer vermeintlich bequemeren Daten-Logik. Wer dasselbe von seinem Anbieter erwartet, sollte zuerst nach der Schlüsselverwaltung fragen, und erst dann nach den Modell-Benchmarks.