SCHLUSSANTRÄGE DES GENERALANWALTS
MANUEL CAMPOS SÁNCHEZ-BORDONA
vom 17. Oktober 2018(1)
Rechtssache C‑496/17
Deutsche Post AG
gegen
Hauptzollamt Köln
(Vorabentscheidungsersuchen des Finanzgerichts Düsseldorf, Deutschland)
„Vorlage zur Vorabentscheidung – Zollrechtliche Rechte und Pflichten des Einzelnen – Status eines zugelassenen Wirtschaftsbeteiligten – Fragenkatalog – Schutz personenbezogener Daten – Steueridentifikationsnummer – Für die Veranlagung zur Einkommensteuer zuständiges Finanzamt – Datenverarbeitung, die zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist – Grundsatz der Zweckbindung der Verarbeitung personenbezogener Daten“
1. Die deutschen Zollbehörden erheben bestimmte personenbezogene Daten der Führungskräfte und Beschäftigten von Unternehmen, die den Status eines zugelassenen Wirtschaftsbeteiligten (im Folgenden: AEO) erwerben oder aufrechterhalten wollen, mit dem sie günstiger behandelt werden als die übrigen Ein- oder Ausführer.
2. Das Vorabentscheidungsersuchen betrifft die Grenzen, die das Unionsrecht diesen Erhebungen setzt, sei es im rein zollrechtlichen Bereich oder im Bereich des Schutzes personenbezogener Daten.
I. Rechtlicher Rahmen
A. Unionsrecht
1. Zollrecht
a) Zollkodex
3. Art. 38 der Verordnung Nr. 952/2013(2) bestimmt:
„(1) Ein im Zollgebiet der Union ansässiger Wirtschaftsbeteiligter, der die Kriterien des Artikels 39 erfüllt, kann beantragen, dass ihm der Status eines zugelassenen Wirtschaftsbeteiligten bewilligt wird.
…
(2) Der Status eines zugelassenen Wirtschaftsbeteiligten besteht aus den folgenden Arten von Bewilligungen:
a) der eines zugelassenen Wirtschaftsbeteiligten für zollrechtliche Vereinfachungen, durch die dem Inhaber bestimmte Vereinfachungen nach den zollrechtlichen Vorschriften gewährt werden, oder
b) der eines zugelassenen Wirtschaftsbeteiligten für Sicherheit, durch die dem Inhaber sicherheitsrelevante Erleichterungen gewährt werden.
…“
4. Art. 39 Buchst. a schreibt vor:
„Für die Bewilligung des Status eines zugelassenen Wirtschaftsbeteiligten sind folgende Voraussetzungen zu erfüllen:
a) Der Antragsteller darf keine schwerwiegenden oder wiederholten Verstöße gegen die zoll- oder steuerrechtlichen Vorschriften und keine schweren Straftaten im Rahmen seiner Wirtschaftstätigkeit begangen haben,
…“
b) Durchführungsverordnung (EU) 2015/2447(3)
5. Art. 24 Abs. 1 sieht vor:
„…
Ist der Antragsteller keine natürliche Person, gilt die Voraussetzung des Artikels 39 Buchstabe a des Zollkodex als erfüllt, wenn keine der folgenden Personen in den letzten drei Jahren einen schwerwiegenden Verstoß oder wiederholte Verstöße gegen die zoll- oder steuerrechtlichen Vorschriften oder eine schwere Straftat im Rahmen ihrer Wirtschaftstätigkeit begangen hat:
a) der Antragsteller;
b) die Person, die für das antragstellende Unternehmen verantwortlich ist oder die Kontrolle über seine Leitung ausübt;
c) der Beschäftigte des Antragstellers, der für dessen Zollangelegenheiten zuständig ist.“
c) Delegierte Verordnung (EU) 2016/341(4)
6. Art. 1 lautet:
„1. Diese Verordnung enthält Übergangsmaßnahmen für die Mittel zum Austausch und zur Speicherung von Daten gemäß Artikel 278 des Zollkodex, bis die elektronischen Systeme, die für die Anwendung der Bestimmungen des Zollkodex erforderlich sind, in Betrieb sind.
2. Die Datenanforderungen, Formate und Codes, die während der Übergangszeiträume gemäß der vorliegenden Verordnung, der Delegierten Verordnung (EU) 2015/2446 und der Durchführungsverordnung (EU) 2015/2447 anzuwenden sind, sind in den Anhängen der vorliegenden Verordnung festgelegt.“
7. Art. 5 bestimmt:
„1. Die Zollbehörden können erlauben, dass bis zum Zeitpunkt der Verbesserung des AEO-Systems gemäß dem Anhang des Durchführungsbeschlusses 2014/255/EU andere Mittel als die der elektronischen Datenverarbeitung für Anträge und Entscheidungen in Bezug auf AEO und für alle nachfolgenden Ereignisse, die den ursprünglichen Antrag oder die ursprüngliche Entscheidung betreffen können, verwendet werden.
2. In den in Absatz 1 genannten Fällen gilt Folgendes:
a) Der Status eines AEO wird unter Verwendung des Formats des Formulars in Anhang 6 beantragt; und
b) die Bewilligung, mit der der Status eines AEO zuerkannt wird, wird unter Verwendung des Formats des Formulars in Anhang 7 erteilt.“
8. Nr. 19 der Erläuterungen zu Anhang 6 ist dem Inhalt des Antragsformulars für den AEO-Status gewidmet:
„Name, Datum und Unterschrift des Antragstellers:
Unterschrift: Der Unterzeichner sollte seine Funktion hinzufügen. Unterzeichner sollte stets die Person sein, die den Antragsteller insgesamt vertritt.
Name: Name des Antragstellers und Stempel des Antragstellers.
…
8. Namen der wichtigsten Führungskräfte (Geschäftsführende Direktoren, Abteilungsleiter, Leiter der Buchhaltung, Leiter der Zollabteilung usw.). Beschreibung der Vertretungsregelung für den Fall, dass der zuständige Mitarbeiter vorübergehend oder längerfristig nicht anwesend ist.
9. Namen und Position der Mitarbeiter innerhalb der Organisation des Antragstellers, die Zollangelegenheiten bearbeiten. Bewertung des Kenntnisstands dieser Personen in Bezug auf Zollfachwissen und Anwendung der Informationstechnologie bei Zoll- und Geschäftsvorgängen und in allgemeinen Geschäftsangelegenheiten.
…“
2. Datenschutzvorschriften: Verordnung (EU) 2016/679(5)
9. In Art. 4 heißt es:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. ‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…“
10. Art. 5 bestimmt:
„Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken (‚Zweckbindung‘);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimierung‘);
…“
11. In Art. 6 heißt es:
„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
…
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
…
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
…
(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.
(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
a) Unionsrecht oder
b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. … Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.
(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem
a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.“
12. Art. 23 Abs. 1 Buchst. e sieht vor:
„Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
…
e) den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit“.
B. Nationales Recht
1. Abgabenordnung
13. In seiner für den Sachverhalt maßgeblichen Fassung bestimmt § 139a Abs. 1:
„Das Bundeszentralamt für Steuern teilt jedem Steuerpflichtigen zum Zwecke der eindeutigen Identifizierung in Besteuerungsverfahren ein einheitliches und dauerhaftes Merkmal (Identifikationsmerkmal) zu; das Identifikationsmerkmal ist vom Steuerpflichtigen oder von einem Dritten, der Daten dieses Steuerpflichtigen an die Finanzbehörden zu übermitteln hat, bei Anträgen, Erklärungen oder Mitteilungen gegenüber Finanzbehörden anzugeben. Es besteht aus einer Ziffernfolge, die nicht aus anderen Daten über den Steuerpflichtigen gebildet oder abgeleitet werden darf; die letzte Stelle ist eine Prüfziffer. …“
14. In § 139b heißt es:
„(1) Eine natürliche Person darf nicht mehr als eine Identifikationsnummer erhalten. …
(2) Die Finanzbehörden dürfen die Identifikationsnummer nur erheben und verwenden, soweit dies zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist oder eine Rechtsvorschrift die Erhebung oder Verwendung der Identifikationsnummer ausdrücklich erlaubt oder anordnet. Andere öffentliche oder nicht öffentliche Stellen dürfen
1. die Identifikationsnummer nur erheben oder verwenden, soweit dies für Datenübermittlungen zwischen ihnen und den Finanzbehörden erforderlich ist oder eine Rechtsvorschrift die Erhebung oder Verwendung der Identifikationsnummer ausdrücklich erlaubt oder anordnet,
…
3. eine rechtmäßig erhobene Identifikationsnummer eines Steuerpflichtigen zur Erfüllung aller Mitteilungspflichten gegenüber Finanzbehörden verwenden, soweit die Mitteilungspflicht denselben Steuerpflichtigen betrifft und die Erhebung und Verwendung nach Nummer 1 zulässig wäre …
(3) Das Bundeszentralamt für Steuern speichert zu natürlichen Personen folgende Daten:
1. Identifikationsnummer,
…
3. Familienname,
4. frühere Namen,
5. Vornamen,
6. Doktorgrad,
…
8. Tag und Ort der Geburt,
9. Geschlecht,
10. gegenwärtige oder letzte bekannte Anschrift,
11. zuständige Finanzbehörden,
12. Auskunftssperren nach dem Bundesmeldegesetz,
13. Sterbetag,
14. Tag des Ein- und Auszugs.
(4) Die in Absatz 3 aufgeführten Daten werden gespeichert, um
1. sicherzustellen, dass eine Person nur eine Identifikationsnummer erhält und eine Identifikationsnummer nicht mehrfach vergeben wird,
2. die Identifikationsnummer eines Steuerpflichtigen festzustellen,
3. zu erkennen, welche Finanzbehörden für einen Steuerpflichtigen zuständig sind,
4. Daten, die auf Grund eines Gesetzes oder nach über- und zwischenstaatlichem Recht entgegenzunehmen sind, an die zuständigen Stellen weiterleiten zu können,
5. den Finanzbehörden die Erfüllung der ihnen durch Rechtsvorschrift zugewiesenen Aufgaben zu ermöglichen.“
2. Einkommensteuergesetz
15. § 38 Abs. 1 und 3 in der auf den Sachverhalt anwendbaren Fassung schreibt vor:
„(1) Bei Einkünften aus nichtselbständiger Arbeit wird die Einkommensteuer durch Abzug vom Arbeitslohn erhoben (Lohnsteuer), soweit der Arbeitslohn von einem Arbeitgeber gezahlt wird …
…
(3) Der Arbeitgeber hat die Lohnsteuer für Rechnung des Arbeitnehmers bei jeder Lohnzahlung vom Arbeitslohn einzubehalten. …“
16. § 39 Abs. 1 und 4 bestimmt:
„(1) Für die Durchführung des Lohnsteuerabzugs werden auf Veranlassung des Arbeitnehmers Lohnsteuerabzugsmerkmale gebildet …
…
(4) Lohnsteuerabzugsmerkmale sind
1. Steuerklasse
2. Zahl der Kinderfreibeträge bei den Steuerklassen I bis IV …
…“
17. In § 39e heißt es:
„(1) Das Bundeszentralamt für Steuern bildet für jeden Arbeitnehmer grundsätzlich automatisiert die Steuerklasse und für die bei den Steuerklassen I bis IV zu berücksichtigenden Kinder die Zahl der Kinderfreibeträge … als Lohnsteuerabzugsmerkmale (§ 39 Absatz 4 Satz 1 Nummer 1 und 2) … Soweit das Finanzamt Lohnsteuerabzugsmerkmale nach § 39 bildet, teilt es sie dem Bundeszentralamt für Steuern zum Zweck der Bereitstellung für den automatisierten Abruf durch den Arbeitgeber mit. …
(2) Das Bundeszentralamt für Steuern speichert zum Zweck der Bereitstellung automatisiert abrufbarer Lohnsteuerabzugsmerkmale für den Arbeitgeber die Lohnsteuerabzugsmerkmale unter Angabe der Identifikationsnummer sowie für jeden Steuerpflichtigen folgende Daten zu den in § 139b Absatz 3 der Abgabenordnung genannten Daten hinzu:
1. rechtliche Zugehörigkeit zu einer steuererhebenden Religionsgemeinschaft sowie Datum des Eintritts und Austritts,
2. melderechtlichen Familienstand sowie den Tag der Begründung oder Auflösung des Familienstands und bei Verheirateten die Identifikationsnummer des Ehegatten,
3. Kinder mit ihrer Identifikationsnummer.
…
(4) Der Arbeitnehmer hat jedem seiner Arbeitgeber bei Eintritt in das Dienstverhältnis zum Zweck des Abrufs der Lohnsteuerabzugsmerkmale mitzuteilen,
1. wie die Identifikationsnummer sowie der Tag der Geburt lauten …
…
Der Arbeitgeber hat bei Beginn des Dienstverhältnisses die elektronischen Lohnsteuerabzugsmerkmale für den Arbeitnehmer beim Bundeszentralamt für Steuern durch Datenfernübertragung abzurufen und sie in das Lohnkonto für den Arbeitnehmer zu übernehmen. …
…“
II. Ausgangsverfahren und Vorlagefrage
18. Die Deutsche Post war Inhaberin zollrechtlicher Bewilligungen, die ihr auf der Grundlage der Verordnung (EWG) Nr. 2913/92(6) sowie der Verordnung (EWG) Nr. 2454/93(7) erteilt wurden, insbesondere der Bewilligungen einer zugelassenen Empfängerin und einer zugelassenen Versenderin. Sie nimmt auch eine Gesamtbürgschaft als Vereinfachung im Unionsversandverfahren bzw. im gemeinsamen Versandverfahren in Anspruch und seit dem Beginn der vollständigen Anwendbarkeit des neuen Zollkodex die Bewilligung eines Verwahrungslagers.
19. Mit Schreiben vom 19. April 2017 forderte das Hauptzollamt die Deutsche Post auf, den im Internet abrufbaren Fragenkatalog zur Selbstbewertung, Teil I – Informationen über das Unternehmen –, bis zum 19. Mai 2017 zu beantworten. Dieser Katalog enthielt u. a. folgende Fragen:
„1.1.2 Benennen Sie, soweit für die Gesellschaftsform Ihres Unternehmens zutreffend,
…
c) die Mitglieder von Beiräten und Aufsichtsräten mit Vorname, Name, Geburtsdatum, Steuer‑ID Nummer und zuständigem Finanzamt.
1.1.6 Benennen Sie die wichtigsten Führungskräfte (Geschäftsführende Direktoren/innen, Abteilungsleiter/innen, Leiter/in der Buchhaltung, Leiter/in der Zollabteilung usw.) des Unternehmens und beschreiben Sie die diesbezüglichen Vertretungsregelungen. Mindestens benötigte Angaben sind Vorname, Name, Geburtsdatum, Steuer‑ID Nummer und zuständiges Finanzamt.
…
1.3.1 Benennen Sie die in Ihrer Organisation für Zollangelegenheiten verantwortlichen Personen oder die Personen, die Zollangelegenheiten bearbeiten (z. B. Zollsachbearbeiter/innen, Leiter/in der Zollabteilung) mit Angabe des Vornamens, Namens, Geburtsdatums, Steuer‑ID Nummer, zuständiges Finanzamt und der Stellung in der Organisation.“
20. Das Hauptzollamt wies die Deutsche Post darauf hin, dass bei einem Unterbleiben der erforderlichen Mitwirkungshandlungen die Feststellung der Bewilligungsvoraussetzungen nach dem Zollkodex nicht möglich sei. Es wies sie ferner darauf hin, dass es unbefristete Bewilligungen widerrufen werde, falls die erforderlichen Mitwirkungshandlungen unterbleiben oder die Bewilligungsvoraussetzungen nicht mehr vorliegen sollten.
21. Die Deutsche Post erhob beim vorlegenden Gericht Klage und bestritt ihre Verpflichtung, dem Hauptzollamt die Steueridentifikationsnummern (im Folgenden: Steuer‑ID) der im Fragenkatalog zur Selbstbewertung genannten Personen sowie die Eckdaten der für sie zuständigen Finanzämter mitzuteilen. Sie ersuchte das Gericht um die Feststellung, dass sie nicht verpflichtet sei, diesen Teil des Fragenkatalogs zu beantworten.
22. Zur Begründung ihrer Klage brachte die Deutsche Post vor:
– Die Zahl der in ihrem Unternehmen von den Fragen betroffenen Personen sei sehr groß, und sie sei aus datenschutzrechtlichen Gründen nicht zu deren Beantwortung in der Lage, denn ihre Mitarbeiter seien teilweise nicht bereit, einer Weitergabe ihrer Daten zuzustimmen. Der Kreis der mit den Fragen unter 1.1.2 Buchst. c, 1.1.6 und 1.3.1 bezeichneten Personen gehe zudem über den Kreis der Personen hinaus, die in Art. 24 Abs. 1 Unterabs. 2 Buchst. b und c der Zollkodex-DVO genannt seien.
– Die einkommensteuerrechtlichen Verhältnisse ihrer Arbeitnehmer seien für die Beurteilung der Frage, ob schwerwiegende oder wiederholte Verstöße gegen zoll- oder steuerrechtliche Vorschriften oder schwere Straftaten im Rahmen ihrer Wirtschaftstätigkeit begangen worden seien, unerheblich. Die Erhebung der Steuer‑ID sei zur Feststellung ihrer zollrechtlichen Zuverlässigkeit weder erforderlich noch geeignet.
23. Das Hauptzollamt widersprach den Argumenten der Deutschen Post und führte aus, die Angabe der Steuer‑ID sei für eine eindeutige Identifikation der betreffenden Personen im Rahmen einer Abfrage bei den Finanzämtern erforderlich. Ein Austausch von Informationen sei erst vorgesehen, wenn den Finanzämtern Erkenntnisse über schwere oder wiederholte Verstöße gegen steuerrechtliche Vorschriften vorlägen. Dabei würden eingestellte Straf- oder Bußgeldverfahren nicht berücksichtigt. Wiederholte Verstöße gegen steuerrechtliche Vorschriften würden nur bei einer Häufung berücksichtigt, die in keinem angemessenen Verhältnis zu Art und Umfang der Geschäftstätigkeit des Antragstellers mehr stünden.
24. Das Hauptzollamt macht geltend, der Kreis der von den Fragen betroffenen Personen entspreche Art. 24 Abs. 1 Unterabs. 2 der Zollkodex-DVO und den Leitlinien der Kommission für den AEO. Das Hauptzollamt prüfe risikoorientiert im Einzelfall, für welche Personen konkret ein Austausch von Informationen mit den Finanzämtern durchgeführt werde. Bei den Personen, die Zollangelegenheiten bearbeiteten, werde die Abfrage bei größeren Zollabteilungen auf Führungskräfte und leitende Personen beschränkt.
25. Das Finanzgericht Düsseldorf (Deutschland) hat Zweifel, ob die Abfrage der angeforderten personenbezogenen Daten (der Steuer‑ID und der für die Veranlagung zur Einkommensteuer zuständigen Finanzämter hinsichtlich der unter 1.1.2 Buchst. c, 1.1.6 und 1.3.1 des Fragenkatalogs bezeichneten Personen) eine zulässige Verarbeitung dieser Daten im Sinne der Datenschutz-Grundverordnung und von Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) ist.
26. Es zweifelt auch an der Notwendigkeit, auf die für die Veranlagung zur Einkommensteuer erhobenen personenbezogenen Daten der Arbeitnehmer und Mitglieder des Aufsichtsrats der Klägerin zurückzugreifen, da sie in keiner direkten Verbindung zur Beurteilung ihrer zollrechtlichen Zuverlässigkeit oder zur wirtschaftlichen Tätigkeit der Deutschen Post stünden.
27. Vor diesem Hintergrund hat das Gericht entschieden, dem Gerichtshof folgende Frage zur Vorabentscheidung vorzulegen:
Ist Art. 24 Abs. 1 Unterabs. 2 der Durchführungsverordnung (EU) 2015/2447 der Kommission vom 24. November 2015 mit Einzelheiten zur Umsetzung von Bestimmungen der Verordnung (EU) Nr. 952/2013 des Europäischen Parlaments und des Rates zur Festlegung des Zollkodex der Union dahin auszulegen, dass es der Zollbehörde hiernach gestattet ist, den Antragsteller aufzufordern, die vom deutschen Bundeszentralamt für Steuern für die Erhebung der Einkommensteuer zugeteilten Steueridentifikationsnummern und die für die Veranlagung zur Einkommensteuer zuständigen Finanzämter hinsichtlich der Mitglieder des Aufsichtsrats des Antragstellers und der bei diesem tätigen geschäftsführenden Direktoren, Abteilungsleiter, Leiter der Buchhaltung, Leiter der Zollabteilung sowie der für Zollangelegenheiten verantwortlichen Personen und der Personen, die Zollangelegenheiten bearbeiten, mitzuteilen?
28. Die Deutsche Post, das Hauptzollamt, die spanische, die ungarische und die italienische Regierung sowie die Kommission haben schriftliche Erklärungen eingereicht. An der mündlichen Verhandlung am 5. Juli 2018 haben die Deutsche Post, das Hauptzollamt und die Kommission teilgenommen.
III. Beantwortung der Vorlagefrage
29. Vor der materiellen Prüfung ist zu klären, welche Unionsvorschriften zum Schutz personenbezogener Daten in dieser Rechtssache anwendbar sind.
30. Die Aufforderung zur Datenerhebung wurde der Deutschen Post am 19. April 2017 übermittelt, also vor dem Inkrafttreten (25. Mai 2018) der Datenschutz-Grundverordnung. Zu diesem Zeitpunkt galt die Richtlinie 95/46/EG(8). Ungeachtet dessen gehen das vorlegende Gericht sowie die am Vorabentscheidungsverfahren Beteiligten mit Ausnahme der Kommission davon aus, dass die genannte Verordnung anwendbar sei.
31. Die Erklärung für diese scheinbare Anomalie kann in der Natur des nationalen Ausgangsverfahrens gefunden werden. Wie in der mündlichen Verhandlung erläutert worden ist, hat die Deutsche Post keine Anfechtungsklage erhoben, die das Gericht anhand des zum Zeitpunkt des Sachverhalts geltenden Rechts prüfen musste, sondern eine Feststellungsklage(9), über die anhand der zum Zeitpunkt der mündlichen Verhandlung und des Urteilsspruchs maßgeblichen Rechtslage zu entscheiden ist.
32. Es ist Sache des vorlegenden Gerichts, sein nationales Verfahrensrecht auszulegen, zu dem der Gerichtshof keine Stellung nimmt. Wenn es daher aufgrund der nationalen Vorschriften zu dem Ergebnis kommt, dass der Rechtsstreit in zeitlicher Hinsicht anhand der Datenschutz-Grundverordnung zu entscheiden ist und nicht anhand der Richtlinie 95/46, muss der Gerichtshof ihm die Auslegung Ersterer und nicht Letzterer an die Hand geben(10).
33. Mit der Vorlagefrage wird um die Auslegung – und nicht die etwaige Ungültigerklärung – des Art. 24 Abs. 1 der Zollkodex-DVO unter Berücksichtigung der Datenschutz-Grundverordnung sowie der Art. 7 und 8 der Charta ersucht(11). Das vorlegende Gericht hat wie gesagt nicht nach der möglichen Ungültigkeit jenes Artikels gefragt, der sich auf die Festlegung der Voraussetzungen für die Bewilligung des Status eines AEO beschränkt und als solcher weder die Übermittlung noch die Verarbeitung personenbezogener Daten durch einen Dritten verlangt.
A. Die Auslegung von Art. 24 der Zollkodex-DVO
34. Der Status eines AEO verschafft den Wirtschaftsbeteiligten, die im Kontext ihrer zollrelevanten Vorgänge im gesamten Unionsgebiet als vertrauenswürdig gelten (Art. 5 Nr. 5 des Zollkodex), Vorteile(12). Unter diesen Vorteilen stechen die in Art. 38 Abs. 6 des Zollkodex vorgesehenen Begünstigungen gegenüber anderen Wirtschaftsbeteiligten in Bezug auf Zollkontrollen hervor. Je nach Art der Bewilligung wird bei einem AEO weniger häufig eine Prüfung von Waren oder Unterlagen vorgenommen.
35. Da die Vertrauenswürdigkeit und der Ruf der AEO belegt sein müssen, hängt die Bewilligung dieses Status von der Erfüllung folgender in Art. 39 des Zollkodex(13) aufgestellter Voraussetzungen ab:
– Der Antragsteller muss die zoll- und steuerrechtlichen Vorschriften eingehalten haben und darf keine schweren Straftaten im Rahmen seiner Wirtschaftstätigkeit begangen haben.
– Der Antragsteller muss ein erhöhtes Maß an Kontrolle seiner Tätigkeiten und der Warenbewegung mittels eines Systems der Führung der Geschäftsbücher und gegebenenfalls Beförderungsunterlagen, das geeignete Zollkontrollen ermöglicht, nachweisen.
– Die Zahlungsfähigkeit des Antragstellers muss nachgewiesen sein.
– Je nach der Art des Status eines AEO müssen praktische oder berufliche Befähigungen, die in unmittelbarem Zusammenhang mit der ausgeübten Tätigkeit stehen (AEOC), oder angemessene Sicherheitsstandards (AEOS) vorliegen.
36. Diese Voraussetzungen müssen alle Wirtschaftsbeteiligten, die den Status eines AEO beantragen, unabhängig davon erfüllen, ob sie juristische oder natürliche Personen sind. Da die Deutsche Post eine juristische Person ist, erstreckt sich die Voraussetzung, dass keine schwerwiegenden oder wiederholten Verstöße gegen die zoll- oder steuerrechtlichen Vorschriften und keine schweren Straftaten im Rahmen ihrer Wirtschaftstätigkeit begangen wurden, im vorliegenden Fall auf einige ihrer Beschäftigten (und zwar diejenigen, die die wichtigsten, nachstehend angeführten Funktionen wahrnehmen)(14). Dies ergibt sich aus Art. 24 der zur Umsetzung von Art. 39 Buchst. a des Zollkodex ergangenen Zollkodex-DVO(15).
37. Frei sein von diesen Vorwürfen müssen gemäß Art. 24 der Zollkodex-DVO „die Person, die für das antragstellende Unternehmen verantwortlich ist oder die Kontrolle über seine Leitung ausübt“, und „der Beschäftigte des Antragstellers, der für dessen Zollangelegenheiten zuständig ist“(16).
38. Art. 24 der Zollkodex-DVO legt fest, welche Grenzen die Zollbehörden bei ihren Auskunftsersuchen hinsichtlich des Kreises der Personen, die überprüft werden können, nicht überschreiten dürfen. Sie müssen dabei auch beachten, welcher Zweck mit der Erhebung der Daten dieser Personen verfolgt wird.
1. Natürliche Personen, die überprüft werden können, bevor einer juristischen Person der Status eines AEO bewilligt wird
39. Der Grundgedanke von Art. 24 der Zollkodex-DVO besteht darin, dass die Zollbehörden bei der Bewilligung(17) des Status eines AEO über bestimmte Angaben zu den Hauptverantwortlichen der Unternehmen sowie den natürlichen Personen, die ihre zollrelevanten Tätigkeiten leiten, verfügen müssen(18).
40. Der Wortlaut von Art. 24 der Zollkodex-DVO ist eng; erwähnt werden allein die Person, die (für den Wirtschaftsbeteiligten, der den Status eines AEO beantragt) verantwortlich ist oder die Kontrolle über seine Leitung ausübt, und der Beschäftigte, der für die Zollangelegenheiten zuständig ist. Die Bestimmung verwendet den Singular, so dass eine enge Auslegung geboten ist, auch angesichts dessen, dass es sich bei den zu übermittelnden Informationen um personenbezogene Daten handelt. Durch eine Bestimmung des Sekundärrechts wie Anhang 6 der Delegierten Verordnung 2016/341, die Art. 24 der Zollkodex-DVO hierarchisch untergeordnet ist, kann dessen subjektiver Anwendungsbereich nicht erweitert werden.
41. Demnach dürfen die Zollbehörden nur personenbezogene Daten erheben von
– dem für das Unternehmen, das den Status eines AEO beantragt, Verantwortlichen, bei dem es sich normalerweise um die Person handelt, die auf der Führungsebene Exekutivbefugnisse innehat(19),
– der Person, die für die Zollangelegenheiten des Unternehmens zuständig ist. Hier ist dieselbe enge Auslegung vorzunehmen, was bedeutet, dass nur die personenbezogenen Daten des für die zollrelevanten Tätigkeiten des Unternehmens Letztverantwortlichen angefordert werden können.
42. Ausgehend von dieser Prämisse pflichte ich dem vorlegenden Gericht bei, dass die Anforderung der personenbezogenen Daten der Mitglieder des Aufsichtsrats oder des Vorstands eines Unternehmens nicht durch Art. 24 der Zollkodex-DVO gedeckt ist. Desgleichen bietet er auch keine Grundlage für die Erhebung von Daten der Leiter anderer Abteilungen oder der Leiter der Buchhaltung, es sei denn, diese Personen haben zudem die endgültige Entscheidungsgewalt im Unternehmen inne oder befassen sich mit seinen Zollangelegenheiten.
2. Informationen und Daten, die die Zollbehörden anfordern können
43. Wie ich bereits ausgeführt habe, können gemäß Art. 24 der Zollkodex-DVO nur Informationen erhoben werden, die für die Feststellung unerlässlich sind, dass weder ein „schwerwiegender Verstoß oder wiederholte Verstöße gegen die zoll- oder steuerrechtlichen Vorschriften“ noch eine „schwere Straftat im Rahmen ihrer Wirtschaftstätigkeit“ begangen wurden.
44. Dies ist demnach der einzige Zweck, dem die Informationserhebung durch die Zollbehörden dienen darf. Die Vorschrift stellt jedoch nicht klar, welche Art von Daten geeignet ist, um ihr Ziel zu erreichen; deren Bestimmung ist Sache der Mitgliedstaaten, wobei es sich ausschließlich um solche handeln darf, die unerlässlich sind, um feststellen zu können, ob Verhaltensweisen vorliegen, die die Zuverlässigkeit der Hauptverantwortlichen des Unternehmens beeinträchtigen können.
45. Für die Feststellung, ob die oben genannten Beschäftigten des Unternehmens, das den Status eines AEO anstrebt, nicht integer genug sind, um das Vertrauen der Zollverwaltung zu genießen, nennt Art. 24 der Zollkodex-DVO drei Kategorien von Verstößen:
– „einen schwerwiegenden Verstoß oder wiederholte Verstöße gegen die zollrechtlichen Vorschriften“, wobei die „zollrechtlichen Vorschriften“ in Art. 5 Nr. 2 des Zollkodex definiert werden(20). Da es gerade die Zollverwaltung ist, die dieses Regelwerk anwendet, verfügt sie grundsätzlich selbst über ausreichende Daten. Das Hauptzollamt räumt ein, dass es unmittelbaren Zugriff auf die Datenbanken des Bundes hat, die Informationen über zollrechtliche Verstöße oder zur wirtschaftlichen Tätigkeit des Unternehmens enthalten;
– „einen schwerwiegenden Verstoß oder wiederholte Verstöße gegen die steuerrechtlichen Vorschriften“, ein Begriff, worunter nach den Angaben der Kommission eine breite Palette von Abgaben fällt(21). Zu dieser zweiten Kategorie müssen die Zollbehörden bei Dritten die Informationen anfordern, die unerlässlich sind, um sicherstellen zu können, dass gegen die Beschäftigten des Unternehmens, das den Status eines AEO anstrebt, keine Sanktionen wegen solcher rechtswidriger Handlungen verhängt wurden;
– „schwere Straftat[en] im Rahmen ihrer Wirtschaftstätigkeit“, ein Begriff, der, wie die Kommission ausführt, Straftaten umfasst, die, wenn sie von den wichtigsten Führungskräften eines Unternehmens begangen werden, dessen Ruf und Ansehen in Bezug auf seine Zollangelegenheiten ernsthaft schädigen(22). Es handelt sich wiederum um Verstöße, die in den eigenen Datenbanken der Zollbehörden gewöhnlich nicht erfasst sind.
46. Welche Daten dürfen die Zollbehörden im Einklang mit Art. 24 der Zollkodex-DVO erheben, um das Vorliegen solcher Verstöße im Hinblick auf die Bewilligung des Status eines AEO feststellen zu können?
47. Das Hauptzollamt ist der Ansicht, dass es über die Steuer‑ID und die Angaben zu den Finanzämtern der Führungskräfte und der Mitarbeiter der Deutschen Post verfügen müsse, die die Kontrolle über ihre Zollangelegenheiten ausübten. Nur so könne es feststellen, ob sie schwerwiegende oder wiederholte Verstöße gegen die steuerrechtlichen Vorschriften begangen hätten, denn viele Steuern würden in Deutschland von den regionalen Behörden verwaltet. Die Steuer‑ID sei die grundlegende Angabe, um an diese Behörden präzise Anfragen nach den notwendigen Informationen über die genannten Personen richten zu können.
48. Die Deutsche Post macht hingegen geltend, dass die einkommensteuerrechtliche Situation ihrer Arbeitnehmer im Zusammenhang mit der Beurteilung, ob schwerwiegende oder wiederholte Verstöße gegen steuerrechtliche Vorschriften begangen worden seien, irrelevant sei. Die Mitteilung ihrer Steuer‑ID sei daher weder zwingend erforderlich noch geeignet, um ihre Zuverlässigkeit bei Zollangelegenheiten zu beurteilen.
49. Aus den schriftlichen Erklärungen und den Ausführungen in der mündlichen Verhandlung ergibt sich, dass die Steuer‑ID ein persönliches Identifikationsmerkmal ist, das in den Beziehungen zwischen natürlichen Personen und der deutschen Steuerverwaltung für verschiedene Fragen verwendet wird. Es besteht Konsens, dass sie hauptsächlich für die Abwicklung der Einkommensteuer verwendet wird, was ihre Verknüpfung mit den Eckdaten der für ihre Veranlagung zuständigen Finanzämter im Ausgangsverfahren erklärt.
50. Die Auslegung des deutschen Rechts ist nicht Sache des Gerichtshofs, sondern des vorlegenden Gerichts. Letzteres führt aus, dass die vom Bundeszentralamt für Steuern den Beschäftigten der Deutschen Post zugewiesenen Steuer‑ID (§ 139a Abs. 1 Satz 1 der Abgabenordnung) nur zur Erhebung der Einkommensteuer im Wege des Lohnsteuerabzugs gesammelt und gespeichert werden dürften (§ 39e Abs. 4 Satz 1 Nr. 1 des Einkommensteuergesetzes).
51. Die für den oben dargelegten Zweck erhobenen personenbezogenen Daten der Arbeitnehmer der Deutschen Post haben nach den Angaben des vorlegenden Gerichts keinen direkten Bezug zur wirtschaftlichen Tätigkeit des Unternehmens und sind daher zur Feststellung seiner zollrechtlichen Zuverlässigkeit nicht geeignet(23).
52. Ich glaube jedoch, dass die deutsche Verwaltung aus zollrechtlicher Sicht nicht daran gehindert ist, die Steuer‑ID (und das für die Veranlagung zur Einkommensteuer zuständige Finanzamt) der Führungskraft und des für Zollangelegenheiten zuständigen Beschäftigten des Unternehmens, das den Status eines AEO anstrebt, abzufragen. Unbeschadet meiner nachfolgenden Ausführungen zum Schutz personenbezogener Daten kann ihre Erfassung der Prüfung dienen, dass diese Personen keine Verstöße begangen haben.
53. Das Argument des vorlegenden Gerichts könnte stichhaltig sein, wenn es die Trennung (auf die es anzuspielen scheint) zwischen den mit Hilfe der Steuer‑ID erlangbaren Informationen, die sich zwangsläufig auf eine bestimmte natürliche Person beziehen, und der Tätigkeit des Unternehmens gäbe. Bei dieser Überprüfung geht es jedoch gerade darum, ob die beiden natürlichen Personen, die in dem Unternehmen, das AEO werden möchte, in den letzten drei Jahren durch eigenes Verhalten (also kein Verhalten des Unternehmens), das ihre Zuverlässigkeit in Frage stellt, das Unternehmen, mit dessen allgemeiner Verwaltung oder Zollabwicklung sie betraut sind, mit ihrer mangelnden Rechtstreue – wenn ihnen in der Vergangenheit Sanktionen auferlegt wurden – gewissermaßen infizieren.
B. Art. 24 der Zollkodex-DVO und die Unionsvorschriften zum Schutz personenbezogener Daten
54. Ebenso wie andere ähnliche Daten, denen der Gerichtshof steuerlichen Charakter beigemessen hat(24), ist die Steuer‑ID als Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht, eine personenbezogene Angabe im Sinne von Art. 4 Nr. 1 der Datenschutz-Grundverordnung(25).
55. Nach dem Vorlagebeschluss hängt die Angabe der für die Veranlagung zur Einkommensteuer einer bestimmten Person zuständigen Finanzämter aufgrund der föderalen Struktur des deutschen Steuersystems eng mit der Steuer‑ID zusammen. Sie kann in diesem Zusammenhang als ergänzende steuerbezogene Angabe, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht, angesehen werden.
56. Das vorlegende Gericht hebt hervor, dass der automatisierte Abruf der Steuer‑ID den Zugang zu besonders sensiblen Informationen ermöglicht(26). Sie ist also ein Instrument, das es ermöglicht, ihren Inhaber zu identifizieren und bestimmte Informationen über sein Privat- und Familienleben zu erlangen, die sich im Besitz der Verwaltung befinden.
57. Die im Zusammenhang mit der Steuer‑ID in den Beziehungen zwischen der Zollverwaltung und den Anwärtern auf den Status eines AEO ausgeübte Tätigkeit kann als Erheben oder Offenlegung durch Übermittlung eingestuft werden. In beiden Fällen findet eine Verarbeitung von Daten im Sinne von Art. 4 Nr. 2 der Datenschutz-Grundverordnung statt. Die deutsche Zollverwaltung verlangt die Steuer‑ID und ordnet und verwendet sie, um bei den zuständigen Finanzämtern Informationen über etwaige schwerwiegende oder wiederholte Verstöße dieser Personen gegen die steuerrechtlichen Vorschriften abzufragen. Die bloße Erlangung solcher Daten bedeutet bereits ihre Verarbeitung, wie es in größerem Umfang auch ihre Ordnung und spätere Nutzung zur Erlangung von Informationen über diese Personen ist(27).
58. Der Gerichtshof hat ebenfalls entschieden, dass eine Verarbeitung von Daten vorliegt, wenn Daten von einer öffentlichen Einrichtung an eine andere übertragen werden(28) oder wenn ein Arbeitgeber personenbezogene Daten an eine nationale Behörde weitergibt(29). Demnach stellt die Übermittlung personenbezogener Daten von Führungskräften und Beschäftigten durch die Deutsche Post an das Hauptzollamt eine „Verarbeitung von Daten“ im Sinne der Datenschutz-Grundverordnung dar.
59. Art. 5 Abs. 1 Buchst. b der Datenschutz-Grundverordnung nennt die Zweckbindung als Leitmotiv für die Verarbeitung; danach müssen personenbezogene Daten „für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“(30).
60. Es muss also geklärt werden, ob die Verwendung der bei der Deutschen Post abgefragten Steuer‑ID ihrer Führungskräfte und ihrer für Zollangelegenheiten zuständigen Beschäftigten mit dem Ziel vereinbar ist, das die Sammlung dieser personenbezogenen Daten nach nationalem Recht hat.
61. Das vorlegende Gericht hegt insoweit Zweifel(31) und glaubt, dass es keine direkte Verbindung der Steuer‑ID und der für die Veranlagung der Führungskräfte und Beschäftigten zur Einkommensteuer zuständigen Finanzämter mit den zollrelevanten Tätigkeiten der Deutschen Post gebe. Wie sich in der mündlichen Verhandlung herausgestellt hat und wie ich zuvor dargelegt habe, sieht das deutsche Recht die Verwendung dieser Steuerdaten im Wesentlichen, wenn auch nicht ausschließlich, im Rahmen des Arbeitsverhältnisses zwischen dem Arbeitgeber und dem Arbeitnehmer für die Zwecke der Erhebung der Einkommensteuer vor.
62. Die Steuer‑ID (und ergänzend die Angabe der für die Veranlagung zur Einkommensteuer zuständigen Finanzämter) sind also personenbezogene Daten, die nicht zu ihrer Verwendung im Rahmen der Beziehungen zwischen einem Unternehmen und der deutschen Zollverwaltung zwecks Erlangung oder Aufrechterhaltung des Status eines AEO gedacht waren. Es handelt sich mithin um eine Verarbeitung personenbezogener Daten, die entgegen Art. 5 Abs. 1 Buchst. b der Datenschutz-Grundverordnung grundsätzlich nicht dem Zweck entspricht, für den sie erhoben wurden.
63. Eine derartige Verarbeitung personenbezogener Daten könnte jedoch gerechtfertigt sein. Es würde z. B. ausreichen, wenn die betroffenen natürlichen Personen ihre Einwilligung gäben (Art. 6 Abs. 1 Buchst. a der Datenschutz-Grundverordnung). Wie aus dem Beschluss hervorgeht, widersprechen die Beschäftigten der Deutschen Post aber, so dass diese Lösung ausscheidet.
64. Andere mögliche Rechtfertigungsgründe finden sich in Art. 6 Abs. 1(32); danach ist die Verarbeitung rechtmäßig, wenn sie „zur Erfüllung einer rechtlichen Verpflichtung …, der der für die Verarbeitung Verantwortliche unterliegt“ (Buchst. c), oder „für die Wahrnehmung einer Aufgabe …, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde“ (Buchst. e)(33), erforderlich ist. In beiden Fällen wird nach Art. 6 Abs. 3 der Datenschutz-Grundverordnung die Rechtsgrundlage für die Verarbeitung durch Unionsrecht oder durch das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, festgelegt.
65. Die Rechtmäßigkeit der Anforderung und Verarbeitung personenbezogener Daten der Deutschen Post durch die Zollverwaltung beruht auf ihrer gesetzlichen Verpflichtung(34), sicherzustellen, dass der Status eines AEO nur Unternehmen bewilligt wird, deren Führungskräfte und deren für die Zollangelegenheiten Verantwortlichen keinen der zuvor genannten Verstöße begangen haben. Diese gesetzliche Verpflichtung folgt letztlich aus Art. 24 der Zollkodex-DVO. Ich bin daher der Auffassung, dass der in Art. 6 Abs. 1 Buchst. c der Datenschutz-Grundverordnung genannte Rechtfertigungsgrund vorliegt.
66. Die Rechtmäßigkeit der Verarbeitung der Steuer‑ID der Führungskraft und des für die Zollangelegenheiten Verantwortlichen eines Unternehmens für die Zwecke der Bewilligung des Status eines AEO kann auch auf der „Wahrnehmung einer Aufgabe …, die …in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde“ (Art. 6 Abs. 1 Buchst. e der Datenschutzverarbeitung)(35), beruhen, da sie für die Ausübung der öffentlichen Gewalt, die der Zollverwaltung zur Kontrolle der Unternehmen mit dem Status eines AEO übertragen wurde, unerlässlich ist. Dieser Status bedeutet eine gewisse Delegierung der zollamtlichen Überwachungsaufgaben an die AEO, die mit einer weitreichenden Befugnis der Verwaltung zur Überprüfung und Überwachung ihrer Zuverlässigkeit einhergeht.
67. Die Anforderung und Verarbeitung der hier in Rede stehenden Daten, die rechtmäßig sind, weil sie sich auf Art. 6 Abs. 1 Buchst. c und e stützen, können gewisse Einschränkungen der den Inhabern solcher personenbezogener Daten nach den Art. 12 bis 22 der Datenschutz-Grundverordnung zustehenden Rechte nach sich ziehen. Die Feststellung, ob das Hauptzollamt bei der Verarbeitung dieser Daten Rechte der betroffenen Personen beschränkt, beispielsweise die Rechte auf Auskunft, Berichtigung, Löschung und Widerspruch, ist Sache des vorlegenden Gerichts.
68. Sollten solche Beschränkungen bestehen, könnten sie durch „wichtige Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit“ (Art. 23 Abs. 1 Buchst. c der Datenschutz-Grundverordnung) gerechtfertigt sein. Die Maßnahme, durch die sie auferlegt werden, muss zudem „den Wesensgehalt der Grundrechte und Grundfreiheiten“ achten und „in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme“ darstellen(36).
69. Meines Erachtens handelt es sich bei dem Ziel, die zollrechtliche Zuverlässigkeit der Führungskraft und des für Zollangelegenheiten verantwortlichen Beschäftigten eines Unternehmens für die Zwecke der Bewilligung des Status eines AEO sicherzustellen, aus wirtschaftlicher, steuerlicher und haushaltsrechtlicher Sicht um ein im allgemeinen öffentlichen Interesse der Union und des deutschen Staats liegendes Ziel. Die Kontrolle der Zuverlässigkeit der AEO ist der Erhebung von Zöllen förderlich, die von den Mitgliedstaaten vereinnahmte und nach Abzug eines Prozentsatzes für Verwaltungsaufgaben in den Haushalt der Union überführte Eigenmittel der Union sind.
70. Die fehlende Integrität der Führungskraft des Unternehmens und des für seine Zollangelegenheiten Verantwortlichen sind Umstände, die seine zollrechtliche Zuverlässigkeit gefährden und sich unmittelbar auf die Bewilligung des Status eines AEO auswirken können(37). Wie ich in meinen Schlussanträgen in der Rechtssache Impresa di Costruzioni Ing. E. Mantovani und Guerrato(38) ausgeführt habe, ist es logisch, dass die fehlende Zuverlässigkeit eines Unternehmens unter dem Gesichtspunkt der Straftaten beurteilt wird, die die für seine Leitung verantwortlichen Personen begangen haben.
71. Dieser Umstand rechtfertigt es, dass die Zollverwaltung die steuerliche Vorgeschichte dieser Führungskräfte überprüfen kann, zu der ihr einkommensteuerlicher Werdegang gehört. Hat die Führungskraft des Unternehmens oder sein für Zollangelegenheiten Verantwortlicher Straftaten im Zusammenhang mit der Erhebung dieser Steuer oder in anderem Zusammenhang begangen, muss die Verwaltung meines Erachtens Informationen darüber erhalten können.
72. Auf derselben Linie sind das Sammeln und die Verwendung von Daten verhältnismäßige Mittel zur Erreichung des von Art. 24 Abs. 1 der Zollkodex-DVO vorgegebenen Ziels(39). Nach den Ausführungen des Hauptzollamts in der mündlichen Verhandlung gibt es im deutschen Recht keine anderen weniger einschneidenden Maßnahmen, denn der föderale Aufbau des deutschen Staats bringe es mit sich, dass einige Steuern wie die Einkommensteuer von regionalen Behörden verwaltet würden. Die Steuer‑ID stelle das geeignetste Mittel dar, damit die Zollverwaltung (des Bundes) die in den Händen verschiedener regionaler Behörden befindlichen Steuerinformationen anfordern und erhalten könne(40).
73. Zwei letzte Klarstellungen sind geboten:
– Die Steuerverwaltung ist aufgrund der Art. 13 und 14 der Datenschutz-Grundverordnung verpflichtet, die Führungskraft und den für Zollangelegenheiten Verantwortlichen eines Unternehmens mit dem Status eines AEO über die beabsichtigte Verarbeitung ihrer personenbezogenen Daten (Steuer‑ID und Finanzamt) zu informieren, damit sie ihre Rechte aus den Art. 15 bis 22 der Datenschutz-Grundverordnung wahrnehmen können.
– Der Gerichtshof hat entschieden, dass das Erfordernis der Verarbeitung personenbezogener Daten nach Treu und Glauben eine Verwaltungsbehörde verpflichtet, die betroffenen Personen davon zu unterrichten, dass die personenbezogenen Daten an eine andere Verwaltungsbehörde weitergeleitet werden, um von dieser in ihrer Eigenschaft als deren Empfänger verarbeitet zu werden(41).
IV. Ergebnis
74. Nach alledem schlage ich vor, dem Finanzgericht Düsseldorf (Deutschland) wie folgt zu antworten:
1. Art. 24 Abs. 1 Unterabs. 2 der Durchführungsverordnung (EU) 2015/2447 der Kommission vom 24. November 2015 mit Einzelheiten zur Umsetzung von Bestimmungen der Verordnung (EU) Nr. 952/2013 des Europäischen Parlaments und des Rates zur Festlegung des Zollkodex der Union ist wie folgt auszulegen:
– Ein Unternehmen, das den Status eines zugelassenen Wirtschaftsbeteiligten anstrebt, darf von der Zollverwaltung ausschließlich hinsichtlich der Person, die für das antragstellende Unternehmen verantwortlich ist oder die Kontrolle über seine Leitung ausübt, und des Beschäftigten des Antragstellers, der für dessen Zollangelegenheiten zuständig ist, aufgefordert werden, die Steueridentifikationsnummer und das für die Veranlagung zur Einkommensteuer zuständige Finanzamt mitzuteilen.
– Die Anforderung dieser Daten darf nicht auf die Mitglieder des Aufsichtsrats des Antragstellers oder seine übrigen Führungskräfte und Beschäftigten erstreckt werden.
2. Art. 6 Abs. 1 Buchst. c und e der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG gestattet es einer Zollverwaltung, personenbezogene Daten wie die Steueridentifikationsnummer und das Finanzamt, das für die Einkommensteuerveranlagung der verantwortlichen Führungskraft und des für die Zollangelegenheiten zuständigen Beschäftigten eines Unternehmens, das den Status eines zugelassenen Wirtschaftsbeteiligten anstrebt, zuständig ist, auch dann zu sammeln und zu verarbeiten, wenn diese Personen ihre Zustimmung nicht erteilt haben, damit sie der in Art. 24 Abs. 1 Unterabs. 2 der Durchführungsverordnung 2015/2447 vorgesehenen gesetzlichen Verpflichtung zur Überprüfung der Zuverlässigkeit dieses Unternehmens für Zollzwecke nachkommen kann.