Anforderungen an die Infrastruktur eines EU-Vertreters

Der HmbBfDI hielt im besagten Tätigkeitsbericht fest, dass die Nutzung eines Unionsvertreters für Drittlands-Unternehmen in Form einer minimalen Infrastruktur seitens des Vertreters, mit einer Postanschrift im Unionsraum und ohne eigenes Personal, das regelmässig vor Ort ist, nur dann den Voraussetzungen nach Art. 27 DSGVO gerecht wird, wenn die Vertretung des Verantwortlichen tatsächlich sichergestellt ist. Solange  die Kommunikation mit den – im vorliegenden Fall – aus der Schweiz agierenden Mitarbeitern des Vertreters reibungslos funktioniert und im Bedarfsfall Treffen in der Hamburger Bürogemeinschaft abgehalten werden, wird die Hamburger Niederlassung dem Zweck des Art. 27 DSGVO gerecht.

Im vorliegenden Fall hatte die in der Schweiz ansässige und als Verein international tätige FIFA einen in Hamburg ansässigen EU-Vertreter i.S.v. art. 27 i.V.m. Art. 3 Abs. 2 DSGVO bestellt. Als ein Datenleck entstand, meldete die FIFA dieses deshalb in Einklang mit einer Empfehlung der damaligen Artikel-29-Datenschutzgruppe beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI). In diesem Zusammenhang hielt der HmbBfDI die oben erwähnten Anforderungen an den EU-Vertreter fest. 

27. Tätigkeitsbericht des HmbBfDI 2018, S. 52 f.: https://datenschutz-hamburg.de/assets/pdf/27._Taetigkeitsbericht_Datenschutz_2018_HmbBfDI.pdf

Empfehlung der Artikel-29-Datenschutzgruppe (Guidelines on Personal data breach notification under Regulation 2016/679, S. 18): https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=49827