Die Benennung eines EU-Vertreters ist für Verantwortliche oder Auftragsverarbeiter erforderlich, die keine Niederlassung in der EU haben, aber personenbezogene Daten von EU-Bürger:innen verarbeiten, und zwar unabhängig davon, ob die Verarbeitung online oder offline erfolgt.

Der Rahmen für die Aufgaben und der damit zusammenhängenden Anforderungen an den Vertreter in der EU wird durch Art. 27 DSGVO gestellt. ‍

1. Erreichbarkeit: Der EU-Vertreter muss von den betroffenen Personen sowie den Datenschutzbehörden der Mitgliedstaaten leicht erreichbar sein.
2. Vertretung des Verantwortlichen oder Auftragsverarbeiters: Der EU-Vertreter agiert als Ansprechstelle für die betroffenen Personen und die Aufsichtsbehörden in Bezug auf Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters gemäss der DSGVO.
3. Vertretung für Verarbeitungstätigkeiten, die dem Anwendungsbereich der DSGVO unterliegen: Der Vertreter ist für Verarbeitungstätigkeiten zuständig, die gemäss Artikel 3 der DSGVO in den Anwendungsbereich der Verordnung fallen und für die der Verantwortliche oder Auftragsverarbeiter, für den der Vertreter bestellt wurde, nicht in der EU ansässig ist.
4. Stellvertretung des Verantwortlichen oder Auftragsverarbeiters in Bezug auf seine Verpflichtungen: Der EU-Vertreter handelt im Namen des Verantwortlichen oder Auftragsverarbeiters in Bezug auf bestimmte Verpflichtungen gemäss der DSGVO, insbesondere hinsichtlich der Zusammenarbeit mit Aufsichtsbehörden und der Erfüllung von Anfragen von betroffenen Personen.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat zu diesem Thema in seinem Tätigkeitsbericht 2018 festgehalten, dass weder eigenes Personal noch eigene Räumlichkeiten vorgeschrieben sind. Es muss jedoch in jedem Fall sichergestellt werden, dass eine reibungslose Kommunikation sowie ein persönliches Treffen vor Ort möglich ist. Die meisten Vertreter dürften daher auf z. B. eine Bürogemeinschaft mit Sitzungszimmern zurückgreifen.  

‍