Perplexity AI sieht aus wie eine Suchmaschine. Man tippt eine Frage ein, bekommt eine Antwort mit Quellenangaben. Sauberer als Google, übersichtlicher, schneller. Kein Wunder, dass es sich verbreitet.
Das Problem ist genau diese Harmlosigkeit. Mitarbeiter behandeln Perplexity wie eine bessere Google-Suche. Sie geben Fragen ein, die sie auch in Google eingeben würden. Nur dass sie bei Perplexity irgendwann anfangen, spezifischere Fragen zu stellen. Fragen mit Kontext. Mit Mandantennamen. Mit Details aus laufenden Fällen.
Weil es sich wie eine Suchmaschine anfühlt, fehlt die natürliche Vorsicht, die Mitarbeiter bei ChatGPT vielleicht noch haben. Bei ChatGPT wissen die meisten inzwischen: Das ist ein KI-Tool, da muss ich aufpassen. Bei Perplexity? „Ich habe doch nur etwas gesucht.”
Diese Frage kommt immer wieder in Foren und LinkedIn-Gruppen auf: „Ist Perplexity nicht einfach eine Suchmaschine?” Nein. Perplexity ist ein KI-System, das Eingaben verarbeitet, Kontext speichert und Antworten generiert. Dass es Quellen anzeigt, macht es nicht zu Google. Es macht es zu einem KI-Tool mit Quellenangaben. Der Unterschied ist rechtlich relevant.
Die Sammelklage: Daten an Google und Meta
Im Jahr 2026 wurde in den USA eine Sammelklage gegen Perplexity eingereicht. Der Vorwurf: Perplexity hat Nutzerdaten aus Chat-Verläufen an Google und Meta weitergegeben.
Lesen Sie das nochmal. Nicht an Werbepartner im Allgemeinen. An Google und Meta. Die beiden Unternehmen, die weltweit am meisten Nutzerdaten monetarisieren.
Wenn diese Vorwürfe stimmen, bedeutet das: Jede Frage, die Ihre Mitarbeiter bei Perplexity eingegeben haben, ist möglicherweise bei Dritten gelandet. Ohne Wissen, ohne Zustimmung, ohne vertragliche Grundlage.
Für eine Kanzlei, die mit Mandantendaten arbeitet, ist das allein schon Grund genug, Perplexity vom Firmenrechner zu verbannen. Es muss nicht einmal bewiesen sein. Allein die Tatsache, dass eine solche Klage existiert und die Datenflüsse nicht transparent dokumentiert sind, macht eine DSGVO-konforme Nutzung praktisch unmöglich.
Und selbst wenn die Vorwürfe am Ende entkräftet werden: Die Tatsache, dass Perplexity nicht offenlegen kann oder will, welche Daten wohin fließen, bleibt bestehen. Ein Unternehmen, das seinen Mitarbeitern ein KI-Tool freigibt, muss die Datenflüsse dokumentieren können. Bei Perplexity ist das aktuell nicht möglich.
Keine Verschlüsselung für hochgeladene Dateien
Perplexity bietet eine Upload-Funktion an. Nutzer können Dokumente hochladen und Perplexity analysiert sie. Verträge, PDFs, Finanzberichte. Klingt praktisch. Das Problem: Diese Dateien werden nicht verschlüsselt gespeichert (at rest).
Für eine Steuerkanzlei oder Anwaltskanzlei, in der täglich mit vertraulichen Mandantenunterlagen gearbeitet wird, ist das ein klares Ausschlusskriterium. Mandantendaten, die unverschlüsselt auf den Servern eines US-amerikanischen Anbieters liegen, ohne dass klar dokumentiert ist, wer Zugriff darauf hat und wie lange sie gespeichert werden.
Das ist nicht nur ein technisches Problem. Es verstößt gegen grundlegende Anforderungen der DSGVO an technische und organisatorische Maßnahmen nach Art. 32.
Stellen Sie sich vor, ein Mitarbeiter lädt einen Vertragsentwurf hoch, um sich Passagen zusammenfassen zu lassen. Oder ein Steuerbescheid, um eine steuerliche Frage zu klären. Dieses Dokument liegt dann unverschlüsselt auf Servern, über deren Sicherheitsarchitektur Perplexity keine detaillierten Angaben macht. Wer darauf Zugriff hat, wie lange es gespeichert bleibt, ob es in Trainingsdaten einfließt: alles unklar.
Keine unabhängige DSGVO-Prüfung
Perplexity hat keine unabhängige Prüfung der DSGVO-Konformität durchlaufen. Es gibt kein öffentlich zugängliches Audit, keine Zertifizierung, keinen Standard-Auftragsverarbeitungsvertrag für die geschäftliche Nutzung.
Zum Vergleich: ChatGPT Enterprise bietet einen AVV, EU-Datenresidenz und vertraglich zugesicherten Verzicht auf Trainingsdatennutzung. Microsoft Copilot hat den DPA und die EU Data Boundary. Selbst Claude bietet für Team- und API-Nutzer einen AVV an.
Perplexity hat nichts davon. Kein AVV, keine EU-Datenresidenz, keine transparente Dokumentation der Datenverarbeitung. Für den privaten Gebrauch mag das akzeptabel sein. Für die geschäftliche Nutzung mit personenbezogenen Daten fehlt schlicht die vertragliche Grundlage nach Art. 28 DSGVO.
Das ist ein Punkt, den ich nicht oft genug betonen kann: Ohne AVV gibt es keine legale Grundlage für die Auftragsverarbeitung. Egal wie gut das Tool funktioniert. Egal ob der Mitarbeiter „nur kurz etwas nachgeschaut” hat. Der AVV ist keine Formalität. Er regelt, was der Anbieter mit Ihren Daten tun darf und was nicht. Ohne ihn haben Sie keine Kontrolle und keine Rechtsgrundlage.
Ich habe die verschiedenen KI-Tools und ihre DSGVO-Eignung in meinem Vergleich ausführlich gegenübergestellt. Dort sehen Sie, wo Perplexity im direkten Vergleich steht.
Was Sie Ihrem Team sagen sollten
Die Empfehlung ist klar: Perplexity gehört auf die Liste der nicht genehmigten Tools in Ihrer KI-Nutzungsrichtlinie.
Wichtig ist dabei die Begründung. Es geht nicht darum, dass Perplexity schlecht funktioniert. Das Gegenteil ist der Fall. Perplexity liefert oft bessere Antworten als eine normale Google-Suche. Aber die Datenverarbeitung ist nicht transparent genug, um es mit Mandantendaten oder geschäftlichen Informationen zu nutzen.
Erklären Sie Ihren Mitarbeitern drei Punkte:
Erstens, Perplexity ist kein harmloses Suchtool. Es ist ein KI-System, das Eingaben speichert und verarbeitet. Auch wenn es Quellen anzeigt und sich wie eine Suchmaschine verhält: Alles, was dort eingegeben wird, kann auf Servern in den USA landen und möglicherweise an Dritte weitergegeben werden. Das ist ein anderes Risikoprofil als eine Google-Suche.
Zweitens, es gibt keinen Auftragsverarbeitungsvertrag. Ohne AVV fehlt die rechtliche Grundlage für die Verarbeitung personenbezogener Daten. Das ist nicht irgendein Detail, das man nachreichen kann. Ohne AVV geht gar nichts.
Drittens, es gibt bessere Alternativen. Die kosten mehr als kostenlos, ja. Aber es gibt KI-Recherchetools mit AVV, EU-Datenresidenz und dokumentierter Datenverarbeitung. Die Frage ist nicht, ob Ihre Mitarbeiter KI-gestützt recherchieren. Die Frage ist, mit welchem Tool.
Die Alternative
Es gibt KI-Tools, die für den geschäftlichen Einsatz gebaut sind. Mit AVV, mit Datenresidenz in der EU, mit klaren Regeln für Aufbewahrung und Löschung. Keins davon ist automatisch DSGVO-konform. Aber sie liefern die Voraussetzungen, mit denen eine Compliance-Prüfung überhaupt möglich wird. Bei Perplexity ist das Stand heute nicht der Fall.
Wenn Sie prüfen wollen, welche KI-Tools in Ihrer Kanzlei sicher eingesetzt werden können und welche auf die Sperrliste gehören: Ich biete einen kostenlosen KI-Check an. 30 Minuten, konkrete Einschätzung, kein Verkaufsgespräch. Oder schauen Sie sich meine Leistungen im Bereich KI-Compliance an.