Die FIFA ist bekannt­lich ein in der Schweiz ansäs­si­ger, aber inter­na­tio­nal täti­ger Ver­ein. Sie hat daher einen – in Ham­burg ansäs­si­gen – EU-Ver­tre­ter i.S.v. Art. 27 i.V.m. Art. 3 Abs. 2 DSGVO bestellt (vgl. die Daten­schutz­er­klä­rung der FIFA). Die FIFA mel­de­te ein Daten­leck daher, in Ein­klang mit einer Emp­feh­lung der dama­li­gen Arti­kel-29-Daten­schutz­grup­pe (Gui­de­lines on Per­so­nal data breach noti­fi­ca­ti­on under Regu­la­ti­on 2016/679, S. 18), beim Ham­bur­gi­schen Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit (HmbBfDI).

Der HmbBfDI hielt in die­sem Zusam­men­hang in sei­nem 27. Tätig­keits­be­richt (2018) fol­gen­de Anfor­de­run­gen an den EU-Ver­tre­ter fest:

Neben wei­te­ren glo­bal agie­ren­den Unter­neh­men hat auch der Fuß­ball-Welt­ver­band eine juri­sti­sche Per­son als Ver­tre­ter benannt, die in Ham­burg ihren Sitz hat. Es han­delt sich um einen Anbie­ter, der sich dar­auf spe­zia­li­siert hat, als Uni­ons­ver­tre­ter für Dritt­lands-Unter­neh­men zu fun­gie­ren. Dabei nutzt er in Ham­burg eine mini­ma­le Infra­struk­tur mit einer Post­an­schrift in einem hie­si­gen Gemein­schafts­bü­ro und ohne eige­nes Per­so­nal, das regel­mä­ßig vor Ort ist. Eine sol­che im recht­li­chen Grau­be­reich ange­sie­del­te Ein­rich­tung ist nur dann aus­rei­chend, wenn die Ver­tre­tung des Ver­ant­wort­li­chen tat­säch­lich sicher­ge­stellt ist. Solan­ge – wie hier – die Kom­mu­ni­ka­ti­on mit den aus der Schweiz agie­ren­den Mit­ar­bei­tern des Ver­tre­ters rei­bungs­los funk­tio­niert und im Bedarfs­fall Tref­fen in der Ham­bur­ger Büro­ge­mein­schaft abge­hal­ten wer­den, wird die Ham­bur­ger Nie­der­las­sung dem Zweck des Art. 27 DSGVO gerecht.