In Deutschland wurde die wohl erste Entscheidung einer Aufsichtsbehörde zur DSGVO im vermutlich ersten Urteil zur DSGVO kassiert. Interessant ist dies – jedenfalls für Unternehmen in der Schweiz – weniger aufgrund der rechtlichen Erwägungen als vielmehr aufgrund des Aktivismus einer Datenschutzaufsichtsbehörde, der nicht zu den ernsthaften Bemühungen vieler Unternehmen passt, die datenschutzrechtlichen Neuerungen angemessen umzusetzen.
Der Landesdatenschutzbeauftragte Baden-Württemberg hatte eine Verfügung gegen eine Wirtschaftsauskunftei erlassen, weil Verstösse des Unternehmens gegen die DSGVO bereits jetzt absehbar seien. Es gelte Missstände zu verhindern, die nach dem Inkrafttreten der DSGVO am 25.Mai 2018 zu erwarten seien. Die Annahme eines Datenschutzverstosses sei bereits gerechtfertigt, wenn besondere Umstände vorlägen, die zukünftige Verstösse erwarten liessen.
Das Verwaltungsgericht (VG) Karlsruhe hiess die Klage der Auskunftei gegen diese Verfügung gut (der Entscheid vom 6. Juli 2017 ist hier abrufbar), weil eine Grundlage für eine solche Verfügung fehlte. Art. 58 Abs. 2 DSGVO (Abhilfebefugnisse der Aufsichtsbehörden) kam dafür nicht in Betracht, weil diese Bestimmung erst ab dem 25. Mai 2018 Geltung beansprucht. Auch eine mögliche Grundlage im geltenden deutschen Bundesdatenschutzgesetz (BDSG) war nicht anwendbar, weil die unzulässige Datenverarbeitung nicht wie erforderlich schon deutlich vorgezeichnet war.
Konkret betraf das Verfahren die Löschung bonitätsrelevanter Informationen; ein Thema, das auch in der Schweiz relevant ist, wobei hier die Ausführungen des EDÖB in der Teledata-Abklärung weiterhin Geltung behalten dürften. In Deutschland wird dazu gegenwärtig ein Code of Conduct diskutiert; weitere Angaben dazu finden sich im genannten Urteil und im Protokoll des Düsseldorfer Kreises vom 7. März 2017.