Rückblick: Dieser Beitrag stammt aus dem Jahr 2018 und dokumentiert eine Aussage, die kurz nach Inkrafttreten der DSGVO für Aufsehen sorgte. Die Einordnung am Ende ist auf dem Stand Mai 2026.

Was Google damals berichtete

Am 14. Mai 2018, wenige Tage vor dem Stichtag 25. Mai 2018, sprach Peter Fleischer, Datenschutzjustiziar von Google, auf den 8. European Data Protection Days in Berlin. Seine Aussage war konkret: Google investierte insgesamt 500 Menschenjahre Arbeit in die Vorbereitung auf die DSGVO.

Aufgeschlüsselt sah das so aus:

40 Menschenjahre allein für die Überprüfung und Anpassung von rund 1.110 bestehenden Google-Produkten und -Projekten
12,5 Millionen Verträge mit Kunden und Geschäftspartnern wurden erneuert, darunter viele kleine Website-Betreiber
Neue Datenschutzerklärung und überarbeitete Einwilligungsmechanismen für Werbepartner
2017 besuchten rund zwei Milliarden Nutzer die Datenschutz-Einstellungsseite von Google

Fleischer ergänzte, dass Google bereits seit 2011 an Datenportabilität gearbeitet hatte. Die DSGVO bedeutete daher keine komplette Neuausrichtung, sondern eine Verdichtung laufender Arbeit.

Quellen: heise.de (2018), netzwoche.ch (2018)

Was diese Zahl aussagt

500 Menschenjahre klingt nach einem Konzernproblem. Das ist es nicht vollständig.

Google betrieb 2018 über tausend Produkte und Dienste, handelte Verträge in zweistelliger Millionenzahl und beschäftigte eigene Juristen und Datenschützer in Vollzeit. Der Aufwand skaliert logisch mit der Komplexität des Unternehmens.

Für ein KMU mit 20 bis 80 Mitarbeitenden sieht die Rechnung anders aus. Die Grundaufgaben sind dieselben, der Umfang ist kleiner:

Welche personenbezogenen Daten werden verarbeitet?
Auf welcher Rechtsgrundlage (Einwilligung, Vertrag, berechtigtes Interesse)?
Mit welchen Dienstleistern werden Daten geteilt, und sind Auftragsverarbeitungsverträge (AVV) vorhanden?
Gibt es ein Verzeichnis von Verarbeitungstätigkeiten (VVT)?

Ein KMU ohne komplexe IT-Landschaft schafft eine solide Erstaufsetzung in wenigen Wochen mit einem strukturierten Vorgehen. Das erfordert keine 500 Menschenjahre, aber eben auch keine halbe Stunde.

Was seit 2018 geblieben ist

Acht Jahre später ist die DSGVO kein neues Thema mehr, aber kein erledigtes. Ein paar Punkte, die in der Praxis immer wieder auftauchen:

AVV mit Dienstleistern: Google Workspace, Microsoft 365, CRM-Systeme, Newsletter-Tools, alle brauchen einen gültigen Auftragsverarbeitungsvertrag. Viele KMU haben die initialen Verträge 2018 geschlossen, seitdem aber nie nachgezogen, obwohl sich die Dienstleister oder ihre Sub-Auftragnehmer geändert haben.

Datenschutzerklärung: Was 2018 korrekt war, stimmt 2026 oft nicht mehr. Eingebundene Dienste ändern sich, Cookie-Consent-Anforderungen wurden durch Urteile konkretisiert.

Technische Maßnahmen: Verschlüsselung, Zugriffsrechte, Backup-Konzept. Diese Punkte sind nicht nur DSGVO-Pflicht, sondern auch operativer IT-Schutz. Beides zusammen anzugehen ist effizienter als separate Projekte.

Wer einen strukturierten Überblick über die DSGVO-Grundlagen sucht, findet einen guten Einstieg im BfDI-Ratgeber für Unternehmen (Bundesbeauftragter für den Datenschutz). Für die Anwendung auf konkrete IT-Systeme und Prozesse lohnt sich der Blick in unseren Artikel Was ist die DSGVO?.

Netzleiter-Einordnung

Datenschutz ist bei uns kein Beratungsprodukt mit eigenem Preis-Zettel. Aber wir sehen in der Praxis, was passiert, wenn technische Maßnahmen fehlen: Zugriffsprotokolle, die niemand führt, Backup-Daten, die unverschlüsselt beim Dienstleister liegen, Active-Directory-Konten ehemaliger Mitarbeitender, die noch aktiv sind.

Das sind keine juristischen Risiken auf dem Papier, sondern reale Angriffsflächen. Wer IT-Infrastruktur sauber betreiben will, kommt an den technisch-organisatorischen Maßnahmen der DSGVO nicht vorbei, und umgekehrt erfüllt wer seine IT ordentlich betreibt, viele DSGVO-Anforderungen von selbst.

Unsere Cybersecurity- und Datensicherungs-Leistungen setzen genau dort an.

Für inhaltliche und rechtliche DSGVO-Fragen verweisen wir auf spezialisierte Datenschutzberater oder den zuständigen Landesdatenschutzbeauftragten.