Kostenlos beraten
Perplexity DSGVO-Compliance und Auftragsverarbeitungsvertrag für deutsche Unternehmen
tools

Perplexity DSGVO-konform? | Datenschutz & DPA-Check 2026

Perplexity AI bietet einen Auftragsverarbeitungsvertrag (AVV) ausschließlich für Enterprise-Kunden, nicht für kostenlose oder Standard-Pro-Accounts. Deutsche Unternehmen, die Perplexity zur Verarbeitung personenbezogener Daten einsetzen, müssen den Enterprise-Tarif nutzen und vor Beginn der Verarbeitung einen AVV gemäß Artikel 28 DSGVO abschließen. Ohne Enterprise-Vereinbarung kann Perplexity Suchanfragen zur Modellverbesserung verwenden — was bei Suchanfragen mit personenbezogenen Daten unvereinbar mit DSGVO-Anforderungen ist. Suchanfragen an Perplexity können personenbezogene Daten darstellen, insbesondere wenn sie Informationen über identifizierbare Personen, HR-Angelegenheiten, Mandantendaten oder Rechtsfälle enthalten. Deutsche Unternehmen, die Perplexity als geschäftliches Recherchewerkzeug einsetzen, müssen prüfen, ob ihre Nutzung personenbezogene Daten umfasst — und gegebenenfalls auf den Enterprise-Tarif wechseln.

Bietet Perplexity einen AVV (Auftragsverarbeitungsvertrag) an?

Perplexity AI stellt einen Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA) für Enterprise-Kunden bereit. Dieser AVV regelt die Verarbeitung personenbezogener Daten durch Perplexity in Ihrem Auftrag und weist Perplexity die Stellung als Auftragsverarbeiter nach Artikel 28 DSGVO zu.

Wesentliche Inhalte des Perplexity Enterprise AVV:

  • Auftragsverarbeiter-Stellung: Perplexity verarbeitet Suchanfragen und Ausgaben als Auftragsverarbeiter im Rahmen des Enterprise-Tarifs. Ihr Unternehmen bleibt Verantwortlicher.
  • Kein Training mit Enterprise-Daten: Im Enterprise-Tarif werden Suchanfragen und Ausgaben nicht zur Verbesserung oder zum Training von Perplexity-Modellen verwendet. Dies ist ein grundlegender Unterschied zu den Verbraucher-Tarifen.
  • Datentransfermechanismus: Der AVV enthält Regelungen für internationale Datentransfers, einschließlich Standardvertragsklauseln (SCCs) für EU-US-Transfers.
  • Datenspeicherfristen: Enterprise-Vereinbarungen enthalten Löschfristen und -verfahren.
  • Unterauftragsverarbeiter: Perplexity legt seine Infrastruktur- und Verarbeitungsdienstleister offen.

Wichtiger Hinweis für kostenlose und Pro-Nutzer: Bei Nutzung des kostenlosen Tarifs oder des Standard-Pro-Abonnements für geschäftliche Zwecke besteht kein AVV. Die Standardbedingungen von Perplexity erlauben die Datennutzung zur Serviceverbesserung. Werden personenbezogene Daten — auch unbeabsichtigt — in Suchanfragen übermittelt, erfolgt eine Verarbeitung ohne den nach Artikel 28 DSGVO erforderlichen Vertrag. Dies stellt einen DSGVO-Verstoß dar.

Verarbeitet Perplexity personenbezogene Daten in Suchanfragen?

Dies ist die zentrale DSGVO-Risikofrage bei Perplexity: Enthalten Ihre Suchanfragen personenbezogene Daten? Nach Artikel 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Suchanfragen an Perplexity können in vielen typischen Geschäftsszenarien personenbezogene Daten enthalten:

  • HR-Recherchen: Anfragen wie „Welche Qualifikationen hat [Bewerbername] für die Stelle…” oder Hintergrundrecherchen zu Stellenbewerbern enthalten personenbezogene Daten.
  • Mandantenrecherchen: Anfragen mit Mandantennamen, Ansprechpartnern oder fallbezogenen Details enthalten Daten Dritter.
  • Wettbewerbsanalyse: Anfragen zu namentlich genannten Personen bei Wettbewerbern stellen personenbezogene Daten dar.
  • Recherchearbeit in Kanzleien: Anfragen zu Verfahrensparteien, Sachverhalten mit identifizierbaren Personen oder namentlichen Gegenparteien enthalten personenbezogene Daten.
  • Allgemeine Produktivität: Viele alltägliche Geschäftsrecherchen sind anonymisiert und betreffen keine personenbezogenen Daten — Marktrecherchen, technische Fragen, allgemeine Rechtsfragen.

Der entscheidende Maßstab: Kann die Anfrage eine bestimmte natürliche Person identifizieren oder bezieht sie sich auf eine solche, handelt es sich um personenbezogene Daten. Wenn Ihr Team Perplexity für allgemeine Informationsrecherchen ohne Aufnahme von Personendaten nutzt, ist das DSGVO-Risiko geringer. Wenn Anfragen regelmäßig Personendaten enthalten, ist ein Enterprise-AVV erforderlich.

Perplexity AVV für Deutschland: So gehen Sie vor

Wenn Sie feststellen, dass Ihre Perplexity-Nutzung personenbezogene Daten umfasst, müssen Sie den Enterprise-Tarif nutzen und einen AVV abschließen:

  1. Upgrade auf Perplexity Enterprise: Nehmen Sie Kontakt mit dem Vertrieb von Perplexity auf. Kostenlose und Pro-Tarife enthalten keinen AVV.
  2. AVV unterzeichnen: Schließen Sie den Perplexity Data Processing Agreement als Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO ab.
  3. Standardvertragsklauseln prüfen: Stellen Sie sicher, dass der AVV EU-SCCs (Modul 2: Verantwortlicher an Auftragsverarbeiter) für den EU-US-Datentransfer enthält.
  4. Verzeichnis der Verarbeitungstätigkeiten aktualisieren: Perplexity in das Verzeichnis nach Artikel 30 DSGVO für jede relevante Verarbeitungstätigkeit aufnehmen.
  5. Datenschutzhinweise aktualisieren: Wenn Perplexity zur Verarbeitung von Mitarbeiter- oder Kundendaten genutzt wird, müssen Datenschutzhinweise diese Verarbeitung und den internationalen Transfer offenlegen.
  6. Nutzungsrichtlinien erlassen: Mitarbeitende darüber informieren, welche Arten von Suchanfragen zulässig sind — insbesondere ob personenbezogene Daten in Perplexity-Anfragen aufgenommen werden dürfen.

Ist Perplexity DSGVO-konform? Datenspeicherung und Unterauftragsverarbeiter

Perplexity ist ein US-Unternehmen mit Sitz in San Francisco. Wie die meisten US-amerikanischen KI-Dienste verarbeitet es Daten in den Vereinigten Staaten. Die DSGVO-Frage für deutsche Unternehmen lautet: Sind angemessene Garantien — insbesondere Standardvertragsklauseln — für EU-US-Datentransfers vorhanden?

Was Perplexity veröffentlicht:

  • Datenschutzrichtlinie: Beschreibt die von Nutzern erhobenen Daten, einschließlich Suchanfragen, Nutzungsmuster, Gerätedaten und Kontoinformationen.
  • Unterauftragsverarbeiterliste: Für Enterprise-Kunden verfügbar mit Angabe der Infrastrukturanbieter.
  • Datenspeicherung: Standardkonten haben begrenzte Einstellmöglichkeiten; Enterprise-Vereinbarungen enthalten konkrete Löschfristen.

Was einer eigenständigen Bewertung bedarf:

  • Transfer Impact Assessment (TIA): Für eine vollständige DSGVO-Konformität sollten Sie prüfen, ob US-Sicherheitsgesetze Risiken für die übertragenen Daten begründen (Schrems-II-Analyse).
  • Unterauftragsverarbeiter-Risiko: Überprüfen Sie die Unterauftragsverarbeiterliste von Perplexity auf zusätzliche Transfer- oder Compliance-Risiken.
  • Datensparsamkeit: Überlegen Sie, ob Mitarbeitende in Perplexity-Anfragen überhaupt personenbezogene Daten aufnehmen müssen — in vielen Fällen können Anfragen anonymisiert werden.

Perplexity Enterprise vs. kostenloser Tarif — DSGVO-Unterschiede

MerkmalKostenlos / ProEnterprise
AVV verfügbarNeinJa
Daten für Training genutztMöglicherweiseNein
EU-US-SCC-TransfermechanismusNicht enthaltenJa
Datenspeicherung steuerbarEingeschränktVertraglich
Unterauftragsverarbeiter-OffenlegungBegrenztVollständig
DSGVO-konform für personenbezogene DatenNeinJa (bei korrekter Einrichtung)
SSO / ZugriffsverwaltungNeinJa

Fazit: Die Nutzung von Perplexity im kostenlosen oder Pro-Tarif für geschäftliche Anfragen mit personenbezogenen Daten ist nicht DSGVO-konform. Für deutsche Unternehmen führt der einzige DSGVO-konforme Weg über den Enterprise-Tarif mit unterzeichnetem AVV.

Anwendungsfälle und Risikobewertung nach EU AI Act

Perplexity ist ein KI-gestütztes Such- und Recherchewerkzeug. Nach dem EU AI Act (Verordnung (EU) 2024/1689) handelt es sich für allgemeine Recherche- und Produktivitätsanwendungen primär um ein System mit begrenztem Risiko.

Eine Risikoanalyse durch den Betreiber ist jedoch erforderlich, wenn:

  • Perplexity-Ausgaben wesentliche Entscheidungen beeinflussen: Fließen Perplexity-Ergebnisse unmittelbar in Entscheidungen mit Auswirkungen auf Personen ein — bei Einstellungen, Kreditvergabe, Dienstleistungszugang — steigt das Risikoniveau.
  • Echtzeitrecherche zu bestimmten Personen: Die Nutzung von Perplexity zur Recherche über konkrete Einzelpersonen mit anschließender Entscheidungsfindung auf dieser Grundlage ist ein Hochrisiko-Anwendungsfall.
  • Kundengerichtete KI-Interaktionen: Wenn Perplexity-Funktionen in kundenseitige Produkte integriert werden, gelten die Transparenzpflichten nach Artikel 52 EU AI Act.

Für interne Recherche, Wettbewerbsanalyse, Rechtsrecherche und allgemeine Produktivitätsanwendungen — bei denen Perplexity Informationen liefert, aber Menschen Entscheidungen treffen — ist die AI-Act-Compliance-Belastung gering. Dokumentieren Sie Ihre Anwendungsfälle und stellen Sie sicher, dass kein Einsatz unter die Hochrisikokategorien aus Anhang III fällt.

Compliance-Checkliste für die DSGVO-konforme Nutzung von Perplexity

  • Anwendungsfall bewertet: Geprüft, ob geschäftliche Suchanfragen personenbezogene Daten enthalten (Namen, Mandantendaten, HR-Daten)
  • Enterprise-Tarif abonniert: Upgrade auf Perplexity Enterprise bei Verarbeitung personenbezogener Daten
  • AVV unterzeichnet: Perplexity Data Processing Agreement vor Verarbeitung personenbezogener Daten abgeschlossen
  • Standardvertragsklauseln bestätigt: EU-SCCs für EU-US-Datentransfer im AVV enthalten
  • Verarbeitungsverzeichnis aktualisiert: Perplexity nach Art. 30 DSGVO für relevante Verarbeitungstätigkeiten eingetragen
  • Rechtsgrundlage dokumentiert: Art. 6(1) DSGVO-Grundlage für jeden Perplexity-Anwendungsfall ermittelt (typischerweise f — berechtigtes Interesse für Geschäftsrecherchen)
  • Datenschutzhinweise aktualisiert: Hinweise für Mitarbeitende offenbaren Perplexity-Nutzung und US-Datentransfer
  • Unterauftragsverarbeiter geprüft: Perplexity-Unterauftragsverarbeiterliste gesichtet; Datenschutzhinweise entsprechend ergänzt
  • Nutzungsrichtlinien erlassen: Mitarbeitende geschult, welche Anfragetypen personenbezogene Daten enthalten dürfen
  • Datensparsamkeit umgesetzt: Anfragen wo möglich anonymisiert; Personendaten nur wenn notwendig aufgenommen
  • Transfer Impact Assessment: Schrems-II-Analyse für EU-US-Transfer an Perplexity bei Verarbeitung sensibler Daten durchgeführt
  • AI-Act-Klassifizierung: Perplexity-Anwendungsfälle bewertet; kein Einsatz in Hochrisikokategorien nach Anhang III
  • Betriebsrat konsultiert: Betriebsrat eingebunden, wenn Perplexity als Standard-Arbeitswerkzeug für Mitarbeitende eingeführt wird (§87 BetrVG)

Compound Law berät deutsche Unternehmen bei KI-Tool-Compliance: AVV-Prüfung, DSGVO-Risikobewertungen und Beschäftigten-Datenschutz. Weitere Informationen unter Compliance-Services.

Weiterführend: KI-Compliance-Hub, OpenAI API DSGVO-Compliance und der Tools-Compliance-Überblick.

Häufig gestellte Fragen

Ist Perplexity DSGVO-konform?

Perplexity kann DSGVO-konform genutzt werden, jedoch ausschließlich über den Enterprise-Tarif mit unterzeichnetem Auftragsverarbeitungsvertrag. Kostenlose und Standard-Pro-Tarife enthalten keinen AVV, weshalb eine Verarbeitung personenbezogener Daten über diese Tarife ohne den nach Artikel 28 DSGVO erforderlichen Vertrag erfolgt. Deutsche Unternehmen müssen zudem sicherstellen, dass Standardvertragsklauseln für den EU-US-Transfer vorliegen, das Verarbeitungsverzeichnis nach Art. 30 DSGVO aktualisiert und Datenschutzhinweise angepasst werden. Die DSGVO-Konformität hängt von Ihrer Implementierung ab, nicht allein vom Produkt.

Bietet Perplexity einen AVV an?

Ja — aber nur für Enterprise-Kunden. Perplexity stellt einen Data Processing Agreement für Unternehmen im Enterprise-Tarif bereit, der als Auftragsverarbeitungsvertrag (AVV) nach Artikel 28 DSGVO fungiert. Der AVV schließt die Nutzung von Enterprise-Anfragedaten für das Modelltraining aus. Kostenlose und Standard-Pro-Accounts erhalten keinen AVV, und die Standardbedingungen erlauben die Datennutzung zur Serviceverbesserung.

Kann ich Perplexity für Geschäftsrecherchen ohne Enterprise-Tarif DSGVO-konform nutzen?

Wenn Ihre Rechercheanfragen keinerlei personenbezogene Daten enthalten — es geht ausschließlich um Themen, Märkte, technische Fragen oder allgemeine Rechtsfragen ohne Nennung natürlicher Personen — wird die DSGVO-Schwelle möglicherweise nicht überschritten. Die meisten realistischen Geschäftsrecherchen tragen jedoch ein Risiko der unbeabsichtigten Aufnahme personenbezogener Daten. Die rechtlich sichere Lösung für jede systematische geschäftliche Nutzung von Perplexity ist der Enterprise-Tarif mit AVV. Die Nutzung des kostenlosen Tarifs für Anfragen mit Kunden-, Mitarbeiter- oder sonstigen Personendaten ist nicht DSGVO-konform.

Wo verarbeitet Perplexity die Daten?

Perplexity ist ein US-Unternehmen und seine Infrastruktur ist primär in den USA angesiedelt. Suchanfragen werden auf US-Server übertragen und dort verarbeitet. Der Enterprise-AVV enthält Standardvertragsklauseln für diesen EU-US-Transfer. Es gibt derzeit keine EU-Rechenzentrumsregion für Perplexity. Deutsche Unternehmen müssen diesen internationalen Transfer in ihre DSGVO-Risikoanalyse einbeziehen und sicherstellen, dass die SCCs vor der Verarbeitung personenbezogener Daten in Kraft sind.

Müssen Mitarbeitende darüber informiert werden, dass Perplexity im Unternehmen eingesetzt wird?

Ja. Wird Perplexity als standardmäßiges Arbeitswerkzeug für Mitarbeitende eingeführt, muss die Datenschutzinformation für Beschäftigte diese Nutzung und die damit verbundene Verarbeitung — einschließlich der Übermittlung von Anfragedaten an US-Server — offenlegen. Darüber hinaus hat der Betriebsrat Mitbestimmungsrechte nach §87 Abs. 1 Nr. 6 BetrVG, wenn Perplexity die Arbeitsweise von Mitarbeitenden wesentlich verändert oder zur Überwachung ihrer Tätigkeit genutzt werden könnte. Der Betriebsrat sollte vor dem unternehmensweiten Rollout einbezogen werden.

Weitere Tool-Guides

GitHub Copilot AVV DSGVO Datenschutz Leitfaden für deutsche Unternehmen
tools

GitHub Copilot AVV und DSGVO: Leitfaden für deutsche Unternehmen

GitHub Copilot enthält einen AVV über Microsofts Standard-DPA. Leitfaden zu Datenschutz, EU-Datenhaltung, DSGVO und BetrVG für Deutschland.
Notion AVV und DSGVO-Konformität für deutsche Unternehmen
tools

Notion AVV & DSGVO: Können deutsche Unternehmen Notion rechtssicher nutzen?

Notion AVV, DSGVO-Konformität, EU-Datenhaltung und Anforderungen für deutsche Unternehmen. Praxisleitfaden für Legal-, Datenschutz- und IT-Teams.
Microsoft 365 Copilot DSGVO-Compliance für deutsche Unternehmen
tools

Microsoft 365 Copilot DSGVO? AVV, Betriebsrat & Checkliste

Microsoft 365 Copilot DSGVO: AVV mit Microsoft, EU Data Boundary, Betriebsrat und Compliance-Checkliste für Unternehmen in Deutschland.
KI Tools Anwalt BRAO DSGVO Datenschutz Verschwiegenheit
tools

KI-Tools fuer Anwaelte: Was BRAO und DSGVO erlauben (und was nicht)

KI API BRAO-konform einsetzen: Was §43a BRAO, DSGVO Art. 28 und BRAK-Empfehlungen fuer Rechtsanwaelte bedeuten — mit Checkliste und Tool-Vergleich.
Make.com AVV und DSGVO-Compliance für deutsche Unternehmen
tools

Make.com AVV: Hat Make einen Auftragsverarbeitungsvertrag?

Make.com stellt einen AVV für kostenpflichtige Tarife bereit. Was deutsche Unternehmen vor dem Einsatz für DSGVO, EU-Datenspeicherung und BetrVG prüfen müssen.
Zapier DSGVO Deutschland — AVV, Datentransfer und Workflow-Compliance fuer deutsche Unternehmen
tools

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung & Sicherheit

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung, SCCs und Sicherheit fuer deutsche Unternehmen — praktischer Compliance-Leitfaden.

Mehr KI-Tools durchsuchen

Häufige Fragen

Ist Perplexity DSGVO-konform?

Perplexity kann DSGVO-konform genutzt werden, jedoch ausschließlich über den Enterprise-Tarif mit unterzeichnetem Auftragsverarbeitungsvertrag. Kostenlose und Standard-Pro-Tarife enthalten keinen AVV, weshalb eine Verarbeitung personenbezogener Daten über diese Tarife ohne den nach Artikel 28 DSGVO erforderlichen Vertrag erfolgt. Deutsche Unternehmen müssen zudem sicherstellen, dass Standardvertragsklauseln für den EU-US-Transfer vorliegen, das Verarbeitungsverzeichnis nach Art. 30 DSGVO aktualisiert und Datenschutzhinweise angepasst werden. Die DSGVO-Konformität hängt von Ihrer Implementierung ab, nicht allein vom Produkt.

Bietet Perplexity einen AVV an?

Ja — aber nur für Enterprise-Kunden. Perplexity stellt einen Data Processing Agreement für Unternehmen im Enterprise-Tarif bereit, der als Auftragsverarbeitungsvertrag (AVV) nach Artikel 28 DSGVO fungiert. Der AVV schließt die Nutzung von Enterprise-Anfragedaten für das Modelltraining aus. Kostenlose und Standard-Pro-Accounts erhalten keinen AVV, und die Standardbedingungen erlauben die Datennutzung zur Serviceverbesserung.

Kann ich Perplexity für Geschäftsrecherchen ohne Enterprise-Tarif DSGVO-konform nutzen?

Wenn Ihre Rechercheanfragen keinerlei personenbezogene Daten enthalten — es geht ausschließlich um Themen, Märkte, technische Fragen oder allgemeine Rechtsfragen ohne Nennung natürlicher Personen — wird die DSGVO-Schwelle möglicherweise nicht überschritten. Die meisten realistischen Geschäftsrecherchen tragen jedoch ein Risiko der unbeabsichtigten Aufnahme personenbezogener Daten. Die rechtlich sichere Lösung für jede systematische geschäftliche Nutzung von Perplexity ist der Enterprise-Tarif mit AVV. Die Nutzung des kostenlosen Tarifs für Anfragen mit Kunden-, Mitarbeiter- oder sonstigen Personendaten ist nicht DSGVO-konform.

Wo verarbeitet Perplexity die Daten?

Perplexity ist ein US-Unternehmen und seine Infrastruktur ist primär in den USA angesiedelt. Suchanfragen werden auf US-Server übertragen und dort verarbeitet. Der Enterprise-AVV enthält Standardvertragsklauseln für diesen EU-US-Transfer. Es gibt derzeit keine EU-Rechenzentrumsregion für Perplexity. Deutsche Unternehmen müssen diesen internationalen Transfer in ihre DSGVO-Risikoanalyse einbeziehen und sicherstellen, dass die SCCs vor der Verarbeitung personenbezogener Daten in Kraft sind.

Müssen Mitarbeitende darüber informiert werden, dass Perplexity im Unternehmen eingesetzt wird?

Ja. Wird Perplexity als standardmäßiges Arbeitswerkzeug für Mitarbeitende eingeführt, muss die Datenschutzinformation für Beschäftigte diese Nutzung und die damit verbundene Verarbeitung — einschließlich der Übermittlung von Anfragedaten an US-Server — offenlegen. Darüber hinaus hat der Betriebsrat Mitbestimmungsrechte nach §87 Abs. 1 Nr. 6 BetrVG, wenn Perplexity die Arbeitsweise von Mitarbeitenden wesentlich verändert oder zur Überwachung ihrer Tätigkeit genutzt werden könnte. Der Betriebsrat sollte vor dem unternehmensweiten Rollout einbezogen werden.

Kostenlos beraten