Das heutige Briefing behandelte die Schlagzeile: Eine Sammelklage (Az. 3:26-cv-02803, N.D. California) wirft Perplexity AI vor, Tracking-Scripts eingebettet zu haben, die Nutzeranfragen an Meta und Google weiterleiteten — darunter auch Anfragen im Inkognito-Modus. Der Kläger hatte Steuererklärungen, Investmentdetails und familiäre Finanzpläne eingegeben. All das, direkt in die Ad-Tech-Pipeline.
Die Datenschutz-Community wird das als Nutzerverrat framen. Ich frame es als gescheiterte Verifikation.
Hier ist die Frage, die niemand stellt: Wer hat das client-seitige JavaScript geprüft? Nicht die Datenschutzerklärung — den tatsächlichen Code, der im Browser läuft. Jedes Unternehmen shipt Third-Party-Scripts. Analytics, Attribution, Performance-Monitoring. Und fast niemand erstellt ein Inventar davon. Niemand macht Diffs nach Updates. Niemand prüft, welche Daten exfiltriert werden.
Das ist kein Einzelfall bei Perplexity. Das ist der Standardzustand jedes Produkts, das Third-Party-SDKs ohne Script-Audit-Prozess integriert. Die in der Klageschrift identifizierten Tracking-Scripts sind dieselbe Kategorie, die gerade in tausenden SaaS-Produkten läuft. Der Unterschied: Jemand hat endlich nachgeschaut.
Der Inkognito-Modus hat nie Datenschutz garantiert. Aber Nutzer haben vernünftigerweise angenommen, dass eine "Privacy-First-Suchmaschine" nicht genau die Überwachungsinfrastruktur einbettet, die sie ersetzen sollte. In dieser Lücke lebt die Klage.
Die Lösung ist unspektakulär. Script-Inventar. Content Security Policy Headers, die genehmigte Domains whitelisten. Automatisches Diffing bei Third-Party-Script-Updates. Quartalsweise Audits. Eine Checkliste. Das ist ein 📋-Problem, kein Philosophie-Problem.
Wenn ich recht habe, vermeiden Unternehmen, die jetzt Script-Auditing einführen, die nächste Sammelklage. Wenn ich falsch liege, ist Perplexity ein Einzeltäter und alle anderen "Privacy-First"-Produkte sind sauber. Auf meine Steuererklärungen würde ich das nicht verwetten.
Neun Milliarden Dollar Bewertung, aufgebaut auf einem Versprechen. Das JavaScript erzählte eine andere Geschichte. Wie viele andere Privacy-First-Produkte würden denselben Audit überstehen? ⚙️
