Die FIFA ist bekanntlich ein in der Schweiz ansässiger, aber international tätiger Verein. Sie hat daher einen – in Hamburg ansässigen – EU-Vertreter i.S.v. Art. 27 i.V.m. Art. 3 Abs. 2 DSGVO bestellt (vgl. die Datenschutzerklärung der FIFA). Die FIFA meldete ein Datenleck daher, in Einklang mit einer Empfehlung der damaligen Artikel-29-Datenschutzgruppe (Guidelines on Personal data breach notification under Regulation 2016/679, S. 18), beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI).
Der HmbBfDI hielt in diesem Zusammenhang in seinem 27. Tätigkeitsbericht (2018) folgende Anforderungen an den EU-Vertreter fest:
Neben weiteren global agierenden Unternehmen hat auch der Fußball-Weltverband eine juristische Person als Vertreter benannt, die in Hamburg ihren Sitz hat. Es handelt sich um einen Anbieter, der sich darauf spezialisiert hat, als Unionsvertreter für Drittlands-Unternehmen zu fungieren. Dabei nutzt er in Hamburg eine minimale Infrastruktur mit einer Postanschrift in einem hiesigen Gemeinschaftsbüro und ohne eigenes Personal, das regelmäßig vor Ort ist. Eine solche im rechtlichen Graubereich angesiedelte Einrichtung ist nur dann ausreichend, wenn die Vertretung des Verantwortlichen tatsächlich sichergestellt ist. Solange – wie hier – die Kommunikation mit den aus der Schweiz agierenden Mitarbeitern des Vertreters reibungslos funktioniert und im Bedarfsfall Treffen in der Hamburger Bürogemeinschaft abgehalten werden, wird die Hamburger Niederlassung dem Zweck des Art. 27 DSGVO gerecht.