Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62017CC0496

    Conclusie van advocaat-generaal M. Campos Sánchez-Bordona van 17 oktober 2018.
    Deutsche Post AG tegen Hauptzollamt Köln.
    Verzoek van het Finanzgericht Düsseldorf om een prejudiciële beslissing.
    Prejudiciële verwijzing – Douane-unie – Douanewetboek van de Unie – Artikel 39 – Status van geautoriseerde marktdeelnemer – Uitvoeringsverordening (EU) 2015/2447 – Artikel 24, lid 1, tweede alinea – Aanvrager die geen natuurlijke persoon is – Vragenlijst – Verzamelen van persoonsgegevens – Richtlijn 95/46/EG – Artikelen 6 en 7 – Verordening (EU) 2016/679 – Artikelen 5 en 6 – Verwerking van persoonsgegevens.
    Zaak C-496/17.

    ECLI identifier: ECLI:EU:C:2018:838

    CONCLUSIE VAN ADVOCAAT-GENERAAL

    M. CAMPOS SÁNCHEZ-BORDONA

    van 17 oktober 2018 ( 1 )

    Zaak C‑496/17

    Deutsche Post AG

    tegen

    Hauptzollamt Köln

    [verzoek om een prejudiciële beslissing, ingediend door het Finanzgericht Düsseldorf (belastingrechter in eerste aanleg Düsseldorf, Duitsland)]

    „Prejudiciële vraag – Rechten en verplichtingen van personen in verband met de douanewetgeving – Status van geautoriseerde marktdeelnemer – Vragenlijst – Bescherming van persoonsgegevens – Fiscaal identificatienummer – Voor de heffing van de inkomstenbelasting bevoegd belastingkantoor – Voor de nakoming van een wettelijke verplichting noodzakelijke gegevensverwerking – Beginsel van doelbinding van de verwerking van persoonsgegevens”

    1. 

    De Duitse douanedienst verlangt bepaalde persoonsgegevens van bestuurders en werknemers van ondernemingen die de status van geautoriseerde marktdeelnemer (Authorised Economic Operator, hierna: „AEO”) willen verkrijgen of behouden, op grond waarvan zij een gunstiger behandeling genieten dan de andere importeurs of exporteurs.

    2. 

    De prejudiciële vraag betreft de beperkingen die het Unierecht oplegt aan deze vereisten, hetzij strikt binnen het douanedomein, hetzij in het kader van de bescherming van persoonsgegevens.

    I. Rechtskader

    A.   Unierecht

    1. Douaneregeling

    a) Douanewetboek

    3.

    In artikel 38 van verordening nr. 952/2013 ( 2 ) wordt bepaald:

    „1.   Een marktdeelnemer die in het douanegebied van de Unie is gevestigd en aan de in artikel 39 gestelde criteria voldoet, kan de status van geautoriseerde marktdeelnemer aanvragen.

    [...]

    2.   De status van geautoriseerde marktdeelnemer bestaat uit de volgende soorten vergunningen:

    a)

    die van geautoriseerde marktdeelnemer voor douanevereenvoudigingen, op grond waarvan de houder overeenkomstig de douanewetgeving kan gebruikmaken van bepaalde vereenvoudigingen; of

    b)

    die van geautoriseerde marktdeelnemer voor veiligheid, op grond waarvan de houder faciliteiten krijgt op het gebied van veiligheid.

    [...]”

    4.

    Artikel 39, onder a):

    „De criteria voor de toekenning van de status van ‚geautoriseerde marktdeelnemer’ zijn de volgende:

    a)

    geen ernstige of herhaalde overtredingen van de douanewetgeving en belastingvoorschriften en geen strafblad met zware misdrijven in verband met de economische activiteit van de aanvrager;

    [...]”

    b) Uitvoeringsverordening (EU) 2015/2447 ( 3 )

    5.

    Artikel 24, lid 1:

    „[...]

    Wanneer de aanvrager geen natuurlijke persoon is, wordt geacht aan het criterium in artikel 39, onder a), van het wetboek te zijn voldaan wanneer geen van de volgende personen gedurende de afgelopen drie jaar ernstige of herhaalde overtredingen op de douanewetgeving en belastingvoorschriften hebben begaan of een strafblad met zware misdrijven in verband met de economische activiteit hebben gehad:

    a)

    de aanvrager;

    b)

    de persoon die verantwoordelijk is voor de aanvrager of die zeggenschap heeft over de leiding van het bedrijf;

    c)

    de werknemer die verantwoordelijk is voor de douanezaken van de aanvrager.”

    c) Gedelegeerde verordening (EU) 2016/341 ( 4 )

    6.

    Artikel 1 luidt:

    „1.   Bij deze verordening worden overgangsmaatregelen vastgesteld betreffende de middelen voor de uitwisseling en de opslag van gegevens zoals bedoeld in artikel 278 van het wetboek totdat de voor de toepassing van de bepalingen van het wetboek benodigde elektronische systemen operationeel zijn.

    2.   De gegevensvereisten, -formaten en ‑codes die moeten worden toegepast tijdens de overgangsperioden die zijn vastgesteld in deze verordening, gedelegeerde verordening (EU) 2015/2446 en uitvoeringsverordening (EU) 2015/2447 zijn vastgesteld in de bijlagen bij deze verordening.”

    7.

    Artikel 5:

    „1.   Tot de datum van de upgrade van het AEO-systeem zoals bedoeld in de bijlage bij uitvoeringsbesluit 2014/255/EU kunnen de douaneautoriteiten toestaan dat andere middelen dan elektronische gegevensverwerkingstechnieken worden gebruikt voor aanvragen en beschikkingen in het kader van een AEO of elke latere gebeurtenis met eventuele invloed op de oorspronkelijke aanvraag of beschikking.

    2.   In de in lid 1 van dit artikel bedoelde gevallen geldt dat:

    a)

    aanvragen voor de AEO-status gebeuren volgens het formaat van het formulier in bijlage 6, en

    b)

    vergunningen voor de AEO-status worden afgegeven volgens het formulier in bijlage 7.”

    8.

    Punt 19 van de toelichting in bijlage VI heeft betrekking op de inhoud van het formulier voor het aanvragen van de status van geautoriseerde marktdeelnemer:

    „Naam, datum en handtekening van de aanvrager:

    Handtekening: de ondertekenaar dient ook zijn hoedanigheid te vermelden. Hij moet altijd degene zijn die de aanvrager in zijn geheel vertegenwoordigt.

    Naam: naam en stempel van de aanvrager.

    [...]

    8.

    De naam van de voornaamste medewerkers (directeuren, afdelingschefs, hoofd van de boekhouding, hoofd van de afdeling douanezaken enz.). Vermeld hoe normaal te werk wordt gegaan wanneer de verantwoordelijke medewerker, al dan niet tijdelijk, afwezig is.

    9.

    De naam en de positie van medewerkers met een bijzondere douane-expertise binnen de organisatie van de aanvrager. Evaluatie van het kennisniveau van deze personen wat het gebruik van IT betreft in douane‑ en handelsprocedures en algemene zakelijke aangelegenheden.

    [...]”

    2. Regeling inzake gegevensbescherming: verordening EU) nr. 2016/679 ( 5 )

    9.

    Artikel 4:

    „Voor de toepassing van deze verordening wordt verstaan onder:

    1)

    ‚persoonsgegeven’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‚de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

    2)

    ‚verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

    [...]”

    10.

    Artikel 5:

    „Persoonsgegevens moeten:

    a)

    worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (‚rechtmatigheid, behoorlijkheid en transparantie’);

    b)

    voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd (‚doelbinding’);

    c)

    toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (‚minimale gegevensverwerking’).

    [...]”

    11.

    Artikel 6:

    „1.   De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

    a)

    de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

    [...]

    c)

    de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

    [...]

    e)

    de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

    [...]

    2.   De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX.

    3.   De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:

    a)

    Unierecht; of

    b)

    lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.

    Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. [...] Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.

    4.   Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

    a)

    ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;

    b)

    het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;

    c)

    de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;

    d)

    de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;

    e)

    het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”

    12.

    Artikel 23, lid 1, onder e):

    „De reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 22 en artikel 34, alsmede in artikel 5 kan, voor zover de bepalingen van die artikelen overeenstemmen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met [22], worden beperkt door middel van Unierechtelijke of lidstaatrechtelijke bepalingen die op de verwerkingsverantwoordelijke of de verwerker van toepassing zijn, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:

    [...]

    e)

    andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid.”

    B.   Nationaal recht

    1. Abgabeordnung (belastingwet)

    13.

    In de versie die van toepassing is op de feiten, wordt in § 139a, lid 1, bepaald:

    „Met het oog op de ondubbelzinnige identificatie van belastingplichtigen in het kader van belastingheffing kent het Bundeszentralamt für Steuern [(federale centrale belastingkantoor)] een eenvormig en onveranderlijk kenmerk (identificatiekenmerk) toe aan elke belastingplichtige. Dit identificatiekenmerk dient door de belastingplichtige en door derden die gehouden zijn gegevens betreffende de belastingplichtige door te geven aan de belastingdienst, te worden aangegeven in tot de belastingdienst gerichte verzoeken, aangiften en kennisgevingen. Het identificatiekenmerk is samengesteld uit een reeks cijfers die niet mag zijn gevormd uit of afgeleid van andere gegevens betreffende de belastingplichtige. Het laatste cijfer is een controlecijfer [...].”

    14.

    § 139b:

    „(1)   Aan elke natuurlijke persoon mag niet meer dan één identificatienummer worden toegekend. [...]

    (2)   De belastingdienst is alleen gerechtigd het identificatienummer op te vragen en te gebruiken voor zover dit noodzakelijk is om zijn wettelijke taken te kunnen vervullen of dit uitdrukkelijk is toegestaan of voorgeschreven bij een wettelijke bepaling. Andere overheidsinstanties en particuliere partijen mogen:

    1.

    het identificatienummer slechts opvragen of gebruiken voor zover dit noodzakelijk is voor de uitwisseling van gegevens tussen die instanties of partijen en de belastingdienst, of voor zover dit uitdrukkelijk is toegestaan of voorgeschreven bij een wettelijke bepaling;

    [...]

    3.

    een rechtmatig opgevraagd identificatienummer van een belastingplichtige gebruiken om aan informatieverplichtingen jegens de belastingdienst te voldoen, mits de informatieverplichting betrekking heeft op dezelfde belastingplichtige en het opvragen en het gebruik van het identificatienummer zijn toegestaan overeenkomstig punt 1 [...].

    (3)   Het Bundeszentralamt für Steuern slaat met betrekking tot natuurlijke personen de volgende gegevens op:

    1.

    identificatienummer;

    [...]

    3.

    achternaam;

    4.

    vroegere achternamen;

    5.

    naam;

    6.

    doctorstitel;

    [...]

    8.

    geboortedatum en ‑plaats;

    9.

    geslacht;

    10.

    huidige adres of laatst bekende adres;

    11.

    bevoegde belastingdienst;

    12.

    verboden op de verstrekking van informatie overeenkomstig de Bundesmeldegsetz [(federale registratiewet)];

    13.

    datum van overlijden;

    14.

    datum van binnenkomst en vertrek.

    (4)   De in lid 3 opgesomde gegevens worden opgeslagen om:

    1.

    te waarborgen dat aan elke persoon slechts één identificatienummer wordt toegekend en dat een en hetzelfde identificatienummer niet aan meer dan één persoon wordt toegekend;

    2.

    het identificatienummer van een belastingplichtige te kunnen vaststellen;

    3.

    te kunnen vaststellen welke belastingdienst(en) voor een bepaalde belastingplichtige bevoegd is/zijn;

    4.

    gegevens die op grond van wetgeving of overeenkomstig internationaal of supranationaal recht moeten worden vergaard, te kunnen doorgeven aan de bevoegde instanties;

    5.

    de belastingdienst in staat te stellen zijn bij de wet opgedragen taken te vervullen.”

    2. Einkommensteuergesetz (wet inzake de inkomstenbelasting)

    15.

    § 38, leden 1 en 3, in de versie die op het moment van de feiten van toepassing was, schrijft voor:

    „(1)   Bij inkomsten uit arbeid in loondienst wordt inkomstenbelasting geheven door middel van inhouding op het arbeidsloon (loonbelasting) wanneer het arbeidsloon door een werkgever wordt uitbetaald [...].

    [...]

    (3)   De werkgever houdt de loonbelasting voor rekening van de werknemer in bij iedere uitbetaling van loon [...].”

    16.

    § 39, leden 1 en 4:

    „(1)   Voor de uitvoering van de inhouding van loonbelasting worden op verzoek van de werknemer inhoudingskenmerken aangemaakt [...].

    [...]

    (4)   De volgende inhoudingskenmerken zijn van toepassing:

    1.

    de belastinggroep;

    2.

    voor de belastinggroepen I tot en met IV: het aantal kinderen waarvoor een kinderaftrekbedrag van toepassing is;

    [...]”

    17.

    § 39e:

    „(1)   Het Bundeszentralamt für Steuern maakt in beginsel voor elke werknemer automatisch de belastinggroep aan alsook, bij de belastinggroepen I tot en met IV, het aantal kinderaftrekbedragen voor de in aanmerking te nemen kinderen (§ 39, lid 4, eerste volzin, punten 1 en 2) [...]. Voor zover de belastingdienst inhoudingskenmerken als bedoeld in § 39 aanmaakt, deelt hij deze mee aan het Bundeszentralamt für Steuern met het oog op de beschikbaarstelling ervan ten behoeve van de geautomatiseerde opvraging ervan door de werkgever [...].

    (2)   Het Bundeszentralamt für Steuern slaat de inhoudingskenmerken met het oog op de beschikbaarstelling ervan ten behoeve van de geautomatiseerde opvraging ervan door de werkgever op met vermelding van het identificatienummer en voegt aan de in § 139b, lid 3, van de Abgabenordnung bedoelde gegevens voor elke belastingplichtige de volgende gegevens toe:

    1.

    het wettelijk lidmaatschap van een belastingheffende religieuze gemeenschap, met inbegrip van de datum van toe‑ en uittreding;

    2.

    de administratieve burgerlijke staat, met inbegrip van de begin‑ en einddatum, alsook, bij gehuwden, het identificatienummer van de echtgenoot;

    3.

    naam en identificatienummer van eventuele kinderen;

    [...]

    (4)   De werknemer deelt elke werkgever bij indiensttreding met het oog op opvraging van de inhoudingskenmerken het volgende mee:

    1.

    identificatienummer en geboortedatum;

    [...]

    De werkgever vraagt bij indiensttreding de elektronische inhoudingskenmerken voor de werknemer langs elektronische weg op bij het Bundeszentralamt für Steuern en neemt deze op in de loonadministratie. [...]

    [...]”

    II. Het hoofdgeding en de prejudiciële vraag

    18.

    Deutsche Post was houder van douanevergunningen die waren verleend krachtens verordening (EEG) nr. 2913/92 ( 6 ) en verordening (EEG) nr. 2454/93 ( 7 ), inzonderheid als erkende geadresseerde en als erkende afzender. Ook geniet Deutsche Post een algemene garantie om de regeling Uniedouanevervoer of het gemeenschappelijk douanevervoer te vergemakkelijken en, sinds het nieuwe douanewetboek volledig van toepassing is, een vergunning voor het hebben van een ruimte voor tijdelijke opslag.

    19.

    Het Hauptzollamt (douanehoofdkantoor) verzocht Deutsche Post bij brief van 19 april 2017 om het ingevulde deel 1 („Bedrijfsinformatie”) van de via het internet beschikbare vragenlijst voor zelfbeoordeling op uiterlijk 19 mei 2017 in te dienen. Dit formulier bevatte, onder meer, de volgende verzoeken:

    „1.1.2 Vermeld de volgende gegevens, voor zover van toepassing op de rechtsvorm van uw bedrijf:

    [...]

    c)

    voor‑ en achternaam en geboortedatum van de leden van de raad van advies en de raad van commissarissen, alsook hun fiscaal identificatienummer en het bevoegde belastingkantoor;

    1.1.6 Vermeld de voornaamste leidinggevenden (algemeen directeuren, afdelingshoofden, hoofd van de boekhouding, hoofd van de afdeling douanezaken, enz.) van het bedrijf en beschrijf de desbetreffende vertegenwoordigingsregelingen. De gegevens moeten ten minste de volledige naam, de geboortedatum, het fiscaal identificatienummer en het bevoegde belastingkantoor omvatten.

    [...]

    1.3.1 Vermeld de persoon/personen die binnen uw organisatie verantwoordelijk is/zijn voor de douanezaken of douanezaken behandelt/behandelen (zoals medewerker(s) douanezaken of het hoofd van de afdeling douanezaken), alsook hun voor‑ en achternaam, hun geboortedatum, hun fiscaal identificatienummer, de bevoegde belastingkantoor en hun functie binnen de organisatie.”

    20.

    Het Hauptzollamt wees Deutsche Post erop dat het in geval van niet-medewerking niet mogelijk zou zijn om te beoordelen of de in het douanewetboek gestelde vergunningsvoorwaarden waren vervuld. Ook waarschuwde het Hauptzollamt Deutsche Post dat het de permanente vergunningen zou intrekken indien Deutsche Post niet zou meewerken en niet zou voldoen aan alle vereisten.

    21.

    Deutsche Post stelde een vordering in bij de verwijzende rechterlijke instantie, die ertoe strekte dat zij zich verzette tegen de verplichting om op de vragenlijst voor zelfbeoordeling de fiscale identificatienummers (hierna: „FIN’s”) van genoemde personen, alsook de gegevens van de ten aanzien van deze personen bevoegde belastingkantoren, aan het Hauptzollamt te verstrekken. Deutsche Post verzocht de rechter te verklaren dat zij niet verplicht was om dat deel van het formulier in te vullen.

    22.

    Ter onderbouwing van haar vordering voerde Deutsche Post aan dat:

    het aantal personen waarop deze vragen betrekking hadden zeer hoog was en dat de vragen om redenen van gegevensbescherming niet konden worden beantwoord, aangezien enkele werknemers niet akkoord gingen met de verstrekking van hun gegevens. Bovendien strekten de punten 1.1.2, onder c), 1.1.6 en 1.3.1 zich uit tot meer personen dan die welke worden bedoeld in artikel 24, lid 1, tweede alinea, onder b) en c), van de uitvoeringsverordening;

    de fiscale situatie met betrekking tot de inkomstenbelasting van haar personeelsleden niet relevant was voor de beoordeling of er ernstige of herhaalde overtredingen van de douanewetgeving of belastingvoorschriften of zware misdrijven waren begaan in het kader van de economische activiteit van het bedrijf. De vermelding van hun FIN’s was noodzakelijk noch geschikt voor de beoordeling van de douanerechtelijke betrouwbaarheid.

    23.

    Het Hauptzollamt verweerde zich tegen de argumenten van Deutsche Post door te betogen dat het verzoek om de FIN’s onontbeerlijk was voor een behoorlijke identificatie van de desbetreffende personen bij een raadpleging van de belastingdienst. Een uitwisseling van gegevens wordt slechts voorzien wanneer de belastingdienst ernstige of herhaalde overtredingen van de belastingvoorschriften ter kennis komen. Beëindigde strafrechtelijke of boeteprocedures zijn in dit verband niet relevant. Herhaalde overtredingen van belastingvoorschriften worden alleen in aanmerking genomen wanneer de frequentie van de overtredingen niet meer in verhouding staat tot de aard en de omvang van de bedrijfsactiviteiten van de aanvrager.

    24.

    Volgens het Hauptzollamt is de groep van personen waarop de vragen betrekking hebben in overeenstemming met artikel 24, lid 1, tweede alinea, van de uitvoeringsverordening en met de richtsnoeren van de Commissie inzake geautoriseerde marktdeelnemers. Het douanehoofdkantoor bepaalt aan de hand van het risico per geval voor welke personen concreet gegevens worden uitgewisseld met de belastingdienst. Wat betreft de personen die douanezaken behandelen, beperkt het opvragen van gegevens zich bij grotere douaneafdelingen tot directeuren en leidinggevend personeel.

    25.

    Het Finanzgericht Düsseldorf (belastingrechter in eerste aanleg Düsseldorf, Duitsland) vraagt zich af of raadpleging van de gevraagde persoonsgegevens (de FIN’s en de belastingkantoren die bevoegd zijn voor de heffing van de inkomstenbelasting van de in de punten 1.1.2, onder c), 1.1.6 en 1.3.1 van het formulier bedoelde personen) een rechtmatige behandeling van die gegevens overeenkomstig de gegevensbeschermingsverordening en artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”) inhoudt.

    26.

    Het Finanzgericht Düsseldorf twijfelt voorts aan de noodzaak om de persoonsgegevens van werknemers en leden van de raad van commissarissen van verzoekster, die worden verzameld met het oog op de heffing van de inkomstenbelasting, op te vragen, aangezien er geen rechtstreeks verband bestaat tussen die gegevens en de beoordeling van de douanerechtelijke betrouwbaarheid of de economische activiteit van Deutsche Post.

    27.

    In dit verband heeft deze rechterlijke instantie besloten het Hof de volgende prejudiciële vraag voor te leggen:

    „Moet artikel 24, lid 1, tweede alinea, van uitvoeringsverordening (EU) 2015/2447 van de Commissie van 24 november 2015 houdende nadere uitvoeringsvoorschriften voor enkele bepalingen van verordening (EU) nr. 952/2013 van het Europees Parlement en de Raad tot vaststelling van het douanewetboek van de Unie aldus worden uitgelegd dat de douaneautoriteiten van de aanvrager kunnen verlangen dat hij de door het Duitse Bundeszentralamt für Steuern met het oog op de heffing van inkomstenbelasting toegekende fiscale identificatienummers en de voor de aanslag in de inkomstenbelasting bevoegde belastingdiensten meedeelt zowel voor de leden van zijn raad van commissarissen en de algemeen directeuren, de afdelingshoofden, het hoofd van de boekhouding en het hoofd van de afdeling douanezaken die daarbij werkzaam zijn, als voor de voor douanezaken verantwoordelijke personen en de personen die douanezaken behandelen?”

    28.

    Deutsche Post, het Hauptzollamt, de Spaanse, de Hongaarse en de Italiaanse regering alsook de Commissie hebben schriftelijke opmerkingen ingediend. Op de terechtzitting, die op 5 juli 2018 werd gehouden, verschenen Deutsche Post, het Hauptzollamt en de Commissie.

    III. Beantwoording van de prejudiciële vraag

    29.

    Voorafgaand aan de beoordeling ten gronde moet worden vastgesteld welke regelingen van de Unie inzake de bescherming van persoonsgegevens in casu van toepassing zijn.

    30.

    Het verzoek om mededeling van de gegevens werd aan Deutsche Post verzonden op 19 april 2017, en dus vóór de datum van inwerkingtreding (25 mei 2018) van de gegevensbeschermingsverordening. Op dat moment was richtlijn 95/46/EG ( 8 ) van toepassing; desalniettemin gaan zowel de verwijzende rechterlijke instantie als de interveniënten in de prejudiciële procedure, met uitzondering van de Commissie, er zonder meer van uit dat bovengenoemde verordening van toepassing is.

    31.

    De verklaring voor deze schijnbare anomalie kan worden gevonden in de aard van de oorspronkelijke nationale procedure. Zoals ter terechtzitting is verklaard, zou Deutsche Post geen verzoek om nietigverklaring (Anfechtungsklage) hebben ingediend, die de rechter zou moeten beoordelen in het licht van de op het moment van de feiten vigerende regeling, maar een vordering tot verkrijging van een verklaring voor recht (Feststellungsklage) ( 9 ) waarop een beslissing moet worden gegeven op grond van de juridische situatie die op het moment van de terechtzitting en de uitspraak van toepassing was.

    32.

    Het staat aan de verwijzende rechterlijke instantie om haar nationale procesrecht uit te leggen, ter zake waarvan het Hof zich niet uitspreekt. Indien die instantie op grond van het nationale recht vaststelt dat het geschil ratione temporis aan de hand van de gegevensbeschermingsverordening en niet aan de hand van richtlijn 95/46 dient te worden beslecht, moet het Hof haar dan ook uitlegging van de gegevensbeschermingsverordening en niet van die richtlijn verstrekken. ( 10 )

    33.

    De prejudiciële vraag strekt tot de uitlegging, en niet tot de eventuele ongeldigheidsverklaring, van artikel 24, lid 1, van de uitvoeringsverordening, die dient te geschieden in het licht van de gegevensbeschermingsverordening en de artikelen 7 en 8 van het Handvest. ( 11 ) De verwijzende rechterlijke instantie heeft, nogmaals, niet verzocht om opheldering inzake de mogelijke ongeldigheid van dat artikel, waarin slechts de voorwaarden voor de toekenning van de status van AEO zijn neergelegd, en dat op zichzelf noch de doorgifte, noch de verwerking van persoonsgegevens door een derde vereist.

    A.   Uitlegging van artikel 24 van de uitvoeringsverordening

    34.

    De status van AEO biedt voordelen ( 12 ) aan marktdeelnemers die, in het kader van hun douaneverrichtingen, betrouwbaar worden geacht op het hele grondgebied van de Unie (artikel 5, lid 5, van het douanewetboek). Een van de belangrijkste van die voordelen is, overeenkomstig artikel 38, lid 6, van datzelfde wetboek, een gunstiger behandeling dan andere marktdeelnemers op het gebied van douanecontroles. Naargelang van het type vergunning dat is verleend, wordt de AEO aan minder fysieke en op documenten gebaseerde controles onderworpen.

    35.

    Omdat AEO’s een gebleken betrouwbaarheid en reputatie moeten hebben, is de toekenning van deze status afhankelijk van de voorwaarden die zijn neergelegd in artikel 39 van het douanewetboek ( 13 ), te weten:

    naleving van de douanewetgeving en de belastingvoorschriften, en in het bijzonder geen strafblad met zware misdrijven in verband met de economische activiteit van de aanvrager [hebben gehad];

    de aanvrager kan aantonen dat hij zijn handelingen en de goederenstroom goed onder controle heeft dankzij een handels‑ en, in voorkomend geval, vervoersadministratie die passende douanecontroles mogelijk maakt;

    aangetoonde financiële solvabiliteit; en

    afhankelijk van het type AEO-status, de praktische vakbekwaamheid of beroepskwalificaties die rechtstreeks samenhangen met de verrichte activiteit [geautoriseerde marktdeelnemer voor douanevereenvoudigingen (AEOC)], of passende veiligheidsnormen [geautoriseerde marktdeelnemer voor veiligheid (AEOS)].

    36.

    Deze voorwaarden kunnen worden gesteld aan alle marktdeelnemers die de status van AEO aanvragen, zowel rechtspersonen als natuurlijke personen. In casu strekt het vereiste van het geen ernstige of herhaalde overtredingen van de douanewetgeving en belastingvoorschriften hebben begaan en geen strafblad met zware misdrijven in verband met de economische activiteit van de aanvrager hebben gehad, zich uit – aangezien Deutsche Post een rechtspersoon is – tot enkele van haar werknemers (die met de meer relevante functies, die hieronder worden vermeld). ( 14 ) Aldus wordt het geformuleerd in artikel 24 van de uitvoeringsverordening, welk voorschrift artikel 39, onder a), van het douanewetboek ontwikkelt. ( 15 )

    37.

    Deze verwijtbare handelingen mogen, ingevolge artikel 24 van de uitvoeringsverordening, niet zijn gepleegd door „de persoon die verantwoordelijk is voor de aanvrager of die zeggenschap heeft over de leiding van het bedrijf” en „de werknemer die verantwoordelijk is voor de douanezaken van de aanvrager”. ( 16 )

    38.

    Artikel 24 van de uitvoeringsverordening bepaalt de grenzen die de douaneautoriteiten niet mogen overschrijden in hun verzoeken om informatie betreffende de kring van te onderzoeken personen. Ook moeten zij dit artikel eerbiedigen in verband met het doel van de verzameling van de persoonsgegevens van genoemde personen.

    1. Voorafgaand aan de toekenning van de status van AEO aan een rechtspersoon te onderzoeken natuurlijke personen

    39.

    De logica van artikel 24 van de uitvoeringsverordening is dat, om de status van AEO toe te kennen ( 17 ), de douaneautoriteiten moeten beschikken over bepaalde gegevens van de hoofdverantwoordelijken van de onderneming en van de natuurlijke personen die leiding geven aan haar douanegerelateerde activiteiten. ( 18 )

    40.

    De strekking van artikel 24 van de uitvoeringsverordening is beperkend: in het artikel wordt uitsluitend verwezen naar de persoon die verantwoordelijk is (voor de aanvrager van de status van AEO) of die zeggenschap heeft over de leiding van het bedrijf en de werknemer die verantwoordelijk is voor de douanezaken. In het voorschrift wordt het enkelvoud gebruikt, wat een strikte uitlegging noodzakelijk maakt, mede steunend op het feit dat de mee te delen gegevens persoonsgegevens zijn. Een afgeleide rechtsregeling die juridisch ondergeschikt is aan artikel 24 van de uitvoeringsverordening, zoals bijlage 6 van gedelegeerde uitvoeringsverordening 2016/341, kan de subjectieve draagwijdte daarvan niet verruimen.

    41.

    De douaneautoriteiten mogen dus alleen persoonsgegevens verkrijgen van:

    de verantwoordelijke persoon van het bedrijf dat de status van AEO aanvraagt, die gewoonlijk de persoon met de uitvoerende leidinggevende bevoegdheden zal zijn. ( 19 )

    de werknemer die verantwoordelijk is voor de douanezaken van de desbetreffende onderneming. Hier is dezelfde strikte uitlegging van toepassing, die inhoudt dat alleen de persoonsgegevens van de persoon die uiteindelijk verantwoordelijk is voor de douanezaken van de onderneming kunnen worden opgevraagd.

    42.

    Uitgaande van deze premisse, deel ik de opvatting van de verwijzende rechterlijke instantie dat het verzoek om persoonsgegevens van de leden van de raad van commissarissen of de raad van advies van een onderneming geen grond vindt in artikel 24 van de uitvoeringsverordening. In dezelfde zin bevat dit voorschrift ook geen grond om persoonsgegevens van hoofden van andere afdelingen en van het hoofd van de boekhouding op te vragen, behoudens indien deze personen daarnaast de uiteindelijke besluitmacht hebben in de onderneming of zich bezighouden met de douanezaken van de onderneming.

    2. Informatie en gegevens die de douaneautoriteiten kunnen eisen

    43.

    Overeenkomstig artikel 24 van de uitvoeringsverordening kan, zoals ik reeds heb opgemerkt, slechts de onontbeerlijke informatie worden verkregen om de afwezigheid van „ernstige of herhaalde overtredingen van de douanewetgeving en belastingvoorschriften” en een strafblad met „zware misdrijven in verband met de economische activiteit” te verifiëren.

    44.

    Dat is derhalve het enige doel waaraan de verzameling van informatie door de douaneautoriteiten moet beantwoorden. In het voorschrift wordt niet gespecificeerd welk soort gegevens toereikend is om dit doel te verwezenlijken: het staat aan de lidstaten om die te bepalen, met dien verstande dat deze gegevens uitsluitend de gegevens moeten zijn die onontbeerlijk zijn om zich te vergewissen van het (niet) bestaan van gedragingen die de betrouwbaarheid van de hoofdverantwoordelijken van het bedrijf aantasten.

    45.

    Om na te gaan of de hierboven bedoelde werknemers van de onderneming die kandidaat is voor het verkrijgen van de status van AEO de benodigde integriteit missen om het vertrouwen van de douane te genieten, worden in artikel 24 drie categorieën wetsovertredingen genoemd:

    „ernstige of herhaalde overtredingen van de douanewetgeving”, waarbij [het begrip] „douanewetgeving” wordt opgevat zoals gedefinieerd in artikel 5, punt 2, van het douanewetboek. ( 20 ) Omdat het juist de douane is die de toepassing van deze regeling beheert, is de douane in beginsel reeds in het bezit van voldoende gegevens. Het Hauptzollamt erkent dat het directe toegang heeft tot de federale gegevensbanken met informatie over overtredingen van de douanewetgeving of met betrekking tot de economische activiteit van de onderneming;

    „ernstige of herhaalde overtredingen van de belastingvoorschriften”, welk laatste begrip, zoals de Commissie opmerkt, een brede waaier aan belastingen omvat. ( 21 ) Wat deze tweede categorie betreft, moeten de douaneautoriteiten zich wenden tot derden voor het verkrijgen van de informatie die onontbeerlijk is om zich ervan te verzekeren dat de werknemers van de onderneming die kandidaat is voor het verkrijgen van de status van AEO niet voor dergelijke illegale handelingen zijn veroordeeld;

    „zware misdrijven in verband met de economische activiteit”, welk begrip, zoals de Commissie stelt, mede betrekking heeft op misdrijven van deze aard die, begaan door voorname medewerkers van de onderneming, de goede naam en de beroepseer van de onderneming op het gebied van douanegerelateerde zaken ernstig beschadigen. ( 22 ) Opnieuw betreft het overtredingen die gewoonlijk niet zullen zijn geregistreerd in de eigen archieven van de douaneautoriteiten.

    46.

    Welke gegevens kunnen de douaneautoriteiten, overeenkomstig artikel 24 van de uitvoeringsverordening, verkrijgen om de aanwezigheid van deze overtredingen op te sporen met het oog op de toekenning van de status van AEO?

    47.

    Volgens het Hauptzollamt moet het de beschikking hebben over de FIN’s en de gegevens van de belastingkantoren van de bestuurders en de werknemers van Deutsche Post die zeggenschap uitoefenen over haar douanezaken. Alleen op die manier, zo stelt het Hauptzollamt, kan het vaststellen of deze personen ernstige of herhaalde overtredingen van de douanewetgeving en belastingvoorschriften hebben begaan, aangezien in Duitsland veel belastingen worden beheerd door de regionale autoriteiten. Het FIN zou het geëigende gegeven zijn om met precisie de over de bedoelde personen benodigde informatie op te vragen bij die autoriteiten.

    48.

    Deutsche Post beweert daarentegen dat de situatie van haar werknemers in verband met de inkomstenbelasting irrelevant is voor de beoordeling of er ernstige of herhaalde overtredingen van de belastingvoorschriften zijn begaan. De mededeling van hun FIN’s zou daarom noodzakelijk noch geschikt zijn voor de beoordeling van de douanerechtelijke betrouwbaarheid.

    49.

    Uit de schriftelijke opmerkingen en de ter terechtzitting verstrekte toelichtingen kan worden opgemaakt dat het FIN een persoonlijk identificatienummer is dat voor diverse doeleinden wordt gebruikt in de betrekkingen tussen natuurlijke personen en de Duitse belastingdienst. Er bestaat consensus over het feit dat de voornaamste toepassing van het FIN het beheer van de inkomstenbelasting is, hetgeen het verband ervan, in het hoofdgeding, met de gegevens van de voor de heffing van de inkomstenbelasting bevoegde belastingkantoren verklaart.

    50.

    De uitlegging van het Duitse recht behoort niet tot de bevoegdheden van het Hof, maar staat aan de verwijzende rechterlijke instantie. Deze laatste verzekert dat door het Bundeszentralamt für Steuern aan de werknemers van Deutsche Post toegekende FIN’s (§ 139a, lid 1, eerste volzin, van de Abgabeordnung) slechts kunnen worden verkregen en opgeslagen voor de heffing van de inkomstenbelasting, door de inhouding van deze belasting op de salarissen (§ 39 sexies, lid 4, eerste volzin, punt 1, van het Einkommensteuergesetz).

    51.

    De persoonsgegevens van de werknemers van Deutsche Post, die worden verzameld voor het reeds uiteengezette doel, zouden volgens de verwijzende rechterlijke instantie een rechtstreeks verband met de economische activiteit van die onderneming ontberen en daarom niet relevant zijn voor de beoordeling van de douanerechtelijke betrouwbaarheid van de onderneming. ( 23 )

    52.

    Mijns inziens staat, vanuit het perspectief van de douanewetgeving, evenwel niets de Duitse douane in de weg om te verzoeken om het FIN (en de gegevens van het kantoor dat bevoegd is voor de heffing van de inkomstenbelasting) van de bestuurder en van de persoon die verantwoordelijk is voor de douanezaken van de onderneming die de status van AEO wenst te verkrijgen. Onverminderd hetgeen ik hieronder zal uiteenzetten over de bescherming van persoonsgegevens, kan de verificatie van de gegevens dienen om het niet-bestaan van door die personen begane overtredingen te verifiëren.

    53.

    Het argument van de verwijzende rechter zou relevant kunnen zijn indien er (waarop hij lijkt te zinspelen) daadwerkelijk geen verband bestaat tussen de op basis van het FIN te verkrijgen gegevens, die noodzakelijkerwijs betrekking hebben op elke individuele natuurlijke persoon, en de activiteit van de onderneming. De verificatie heeft echter juist ten doel om na te gaan of de twee natuurlijke personen die in de onderneming die de status van AEO wenst te verkrijgen de relevante functies uitoefenen, gedurende de voorgaande drie jaar door hun eigen gedrag (en dus niet dat van de onderneming) hun betrouwbaarheid hebben ondergraven, en door hun gebrek aan integriteit – indien zij in het verleden feitelijk zijn veroordeeld – de entiteit die zij in algemene zin besturen of voor de douanezaken waarvan zij verantwoordelijk zijn, als het ware besmetten.

    B.   Artikel 24 van de uitvoeringsverordening en de regeling van de Unie inzake de bescherming van persoonsgegevens

    54.

    Net als andere gegevens met een fiscaal karakter die aldus door het Hof zijn aangemerkt ( 24 ), is het FIN een persoonsgegeven in de zin van artikel 4, punt 1, van de gegevensbeschermingsverordening, aangezien het gaat om informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. ( 25 )

    55.

    Uit de verwijzingsbeslissing blijkt dat er een nauw verband bestaat tussen de aanduiding van [het belastingkantoor dat] bevoegd [is] voor de heffing van de inkomstenbelasting van een bepaalde persoon en het FIN, welk verband voortvloeit uit de federale structuur van het Duitse belastingstelsel. In deze context kan die aanduiding in zekere mate als een extra fiscaal gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon worden aangemerkt.

    56.

    Zoals de verwijzende rechter benadrukt, staat de geautomatiseerde raadpleging van het FIN het toe om inzage te verkrijgen in bijzonder gevoelige gegevens. ( 26 ) Het FIN is derhalve een instrument om de betrokkene te identificeren en bepaalde informatie over het privé‑ en gezinsleven van die persoon, die in het bezit is van de douane, te verkrijgen.

    57.

    De activiteit die rond het FIN wordt ontplooid in de betrekkingen van de douane met de kandidaten voor de status van AEO kan worden aangemerkt als [het] verzamelen of verstrekken door middel van doorzending [van gegevens]. In beide gevallen vindt er verwerking van gegevens plaats in de zin van artikel 4, punt 2, van de gegevensbeschermingsverordening. De Duitse douane vraagt om FIN’s en structureert en gebruikt deze om de bevoegde belastingkantoren te verzoeken om informatie over mogelijke door die personen begane ernstige of herhaalde overtredingen van de belastingvoorschriften. De simpele verkrijging van deze gegevens vormt reeds een verwerking, en de structurering en daaropvolgende aanwending om informatie over die personen te verkrijgen, is dat in hogere mate. ( 27 )

    58.

    Het Hof heeft tevens geoordeeld dat de overdracht van gegevens van een overheidsinstantie aan een andere overheidsinstantie een verwerking van persoonsgegevens vormt ( 28 ) en dat er eveneens sprake is van een verwerking van persoonsgegevens wanneer een werkgever persoonsgegevens aan een nationale autoriteit verstuurt. ( 29 ) Bijgevolg is de doorgifte van persoonsgegevens van bestuurders en werknemers door Deutsche Post aan het Hauptzollamt een „verwerking van persoonsgegevens” voor de doeleinden van de gegevensbeschermingsverordening.

    59.

    In artikel 5, lid 1, onder b), van de gegevensbeschermingsverordening wordt het beginsel van doelbinding aangemerkt als leidend beginsel voor de verwerking van persoonsgegevens, volgens welk beginsel persoonsgegevens „voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden [moeten] worden verzameld en [...] vervolgens niet verder op een met die doeleinden onverenigbare wijze [mogen] worden verwerkt”. ( 30 )

    60.

    Onderzocht moet derhalve worden of het gebruik van de FIN’s van de bestuurders en met douanezaken belaste werknemers van Deutsche Post door de douaneautoriteiten, die deze gegevens bij Deutsche Post opvragen, verenigbaar is met het doel dat door de nationale wetgeving wordt toegeschreven aan de verzameling van die persoonsgegevens.

    61.

    De verwijzende rechter geeft uiting aan zijn twijfels dienaangaande ( 31 ) en is van oordeel dat er geen rechtstreeks verband bestaat tussen de FIN’s en de belastingkantoren die bevoegd zijn voor de heffing van de inkomstenbelasting van bestuurders en met douanezaken belaste werknemers van Deutsche Post. Zoals tijdens de terechtzitting is gebleken en zoals ik reeds heb uitgelegd, voorziet het Duitse recht in het voornamelijke, maar niet exclusieve, gebruik van deze fiscale gegevens in het kader van de arbeidsbetrekking tussen de werkgever en de werknemer met het oog op de heffing van de inkomstenbelasting.

    62.

    De FIN’s (en, als bijkomende informatie, de vermelding van de belastingkantoren die bevoegd zijn voor de heffing van de inkomstenbelasting) zijn derhalve persoonsgegevens die niet zijn geconcipieerd voor het gebruik ervan in het kader van de betrekking tussen een onderneming en de Duitse douane met het oog op het verkrijgen of behouden van de status van AEO. Het betreft hier dus een verwerking van persoonsgegevens die, in beginsel, niet beantwoordt aan het doel waarvoor ze zijn verzameld, hetgeen niet strookt met artikel 5, lid 1, onder b), van de gegevensbeschermingsverordening.

    63.

    Een verwerking van persoonsgegevens van deze aard zou evenwel gerechtvaardigd kunnen zijn. Daarvoor zou het volstaan dat, bijvoorbeeld, de betrokken natuurlijke personen toestemming hebben gegeven overeenkomstig artikel 6, lid 1, onder a), van de gegevensbeschermingsverordening. Blijkens het dossier verzetten de werknemers van Deutsche Post zich daar echter tegen, waardoor deze oplossing is uitgesloten.

    64.

    Andere rechtvaardigingen zouden kunnen worden gevonden in artikel 6, lid 1 ( 32 ), dat ertoe strekt dat de verwerking van gegevens rechtmatig is wanneer die noodzakelijk is „om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust” [onder c)] of „voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen” [onder e)]. ( 33 ) In beide gevallen schrijft artikel 6, lid 3, van de gegevensbeschermingsverordening voor dat de rechtsgrond voor de verwerking moet worden vastgesteld bij Unierecht of lidstatelijk recht dat van toepassing is op de verwerkingsverantwoordelijke.

    65.

    De rechtmatigheid van het verzoek van de douane aan Deutsche Post, en van de verwerking van de persoonsgegevens, vindt haar grond in de wettelijke verplichting ( 34 ) voor deze dienst om te controleren dat de status van AEO slechts wordt toegekend aan ondernemingen waarvan de bestuurders en de voor douanezaken verantwoordelijke werknemers geen van de bovengenoemde overtredingen hebben begaan. Deze verplichting vloeit, in laatste instantie, voort uit artikel 24 van de uitvoeringsverordening. Ik stel dan ook vast dat de rechtvaardigingsgrond van artikel 6, lid 1, onder c), van de gegevensbeschermingsverordening in casu van toepassing is.

    66.

    De rechtmatigheid van de verwerking van de FIN’s van de bestuurder en de voor douanezaken verantwoordelijke werknemer van een onderneming, met het oog op de toekenning van de status van AEO, kan eveneens worden gegrond op de „vervulling [...] van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen” [artikel 6, lid 1, onder e), van de gegevensbeschermingsverordening] ( 35 ), aangezien de douane het openbaar gezag dat aan haar is verleend om ondernemingen met de status van AEO te controleren onontkoombaar dient uit te oefenen. Deze status veronderstelt een bepaalde delegatie van douanecontrolefuncties ten gunste van de geautoriseerde marktdeelnemers, die contrasteert met een ruime bevoegdheid van de douane om hun betrouwbaarheid te controleren en te bewaken.

    67.

    Het verzoek om en de verwerking van de litigieuze gegevens, die rechtmatig zijn omdat ze steun vinden in artikel 6, lid 1, onder c) en e), kunnen ertoe leiden dat er enkele beperkingen worden opgelegd aan de rechten die bij de artikelen 12 tot en met 22 van de gegevensbeschermingsverordening worden verleend aan de houders van die persoonsgegevens. Het staat aan de verwijzende rechterlijke instantie om na te gaan of het Hauptzollamt bij de verwerking van die gegevens enige van die rechten van de betrokkenen inperkt, zoals bijvoorbeeld het recht van inzage, rectificatie, wissing of bezwaar.

    68.

    Deze beperkingen, indien zij zouden bestaan, zouden kunnen worden gerechtvaardigd door enkele van de „belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid” [artikel 23, lid 1, onder c), van de gegevensbeschermingsverordening]. De maatregel die dergelijke beperkingen oplegt, zou daarenboven „de wezenlijke inhoud van die rechten en vrijheden [moeten] eerbiedigen” en „in een democratische samenleving een noodzakelijke en evenredige maatregel” moeten zijn. ( 36 )

    69.

    Het schijnt mij toe dat het oogmerk om zich te vergewissen van de douanerechtelijke betrouwbaarheid van de bestuurder en de voor douanezaken verantwoordelijke werknemer van een onderneming, met het oog op de toekenning van de status van AEO, beantwoordt aan een doelstelling van algemeen belang van de Unie of van de Duitse staat vanuit monetair, budgettair en fiscaal oogpunt. De controle van de douanerechtelijke betrouwbaarheid van AEO’s komt ten goede aan de heffing van douanerechten, een eigen middel van de Unie, die door de lidstaten worden geïnd en overgedragen aan de begroting van de Unie na aftrek van een percentage voor het administratieve beheer.

    70.

    Een tekortschietende integriteit van de bestuurder en de voor douanezaken verantwoordelijke werknemer van een onderneming kunnen de douanerechtelijke betrouwbaarheid van die onderneming aantasten, met rechtstreekse gevolgen voor de toekenning van de status van AEO. ( 37 ) Zoals ik reeds heb opgemerkt in mijn conclusie in de zaak Impresa di Costruzioni Ing. E. Mantovani en Guerrato ( 38 ), is het logisch dat het gebrek aan geloofwaardigheid van de onderneming wordt beoordeeld vanuit het perspectief van de strafbare gedragingen van degenen die zijn belast met de leiding ervan.

    71.

    Deze omstandigheid rechtvaardigt dat de douane de fiscale antecedenten van die bestuurders kan onderzoeken, met inbegrip van die met betrekking tot de inkomstenbelasting. Indien de bestuurder of de voor douanezaken verantwoordelijke werknemer overtredingen heeft begaan in verband met de heffing van deze belasting, of enige andere overtreding, stel ik vast dat de douane daarover informatie dient te verkrijgen.

    72.

    In diezelfde lijn zijn de verzameling en het gebruik van deze gegevens evenredige middelen om het in artikel 24, lid 1, van de uitvoeringsverordening bedoelde doel te verwezenlijken. ( 39 ) Volgens het Hauptzollamt, zoals naar voren gebracht ter terechtzitting, bestaan er in het Duitse recht geen alternatieve middelen die minder restrictief zijn, daar de federale structuur van de Duitse staat met zich meebrengt dat enkele belastingen, zoals de inkomstenbelasting, worden beheerd door de regionale overheden. Het FIN vormt voor de (federale) douane het meest geschikte middel voor het opvragen en verkrijgen van de fiscale informatie die in het bezit is van de diverse regionale overheden. ( 40 )

    73.

    Twee laatste preciseringen zijn hier op hun plaats:

    Ingevolge de artikelen 13 en 14 van de gegevensbeschermingsverordening is de douane verplicht om de bestuurder en de voor douanezaken verantwoordelijke werknemer van een onderneming met de status van AEO informatie te verstrekken over de verwerking van hun persoonsgegevens (FIN’s en belastingkantoor) opdat zij alle hun door de artikelen 15 tot en met 22 van de gegevensbeschermingsverordening verleende rechten kunnen uitoefenen.

    Het Hof heeft geoordeeld dat het vereiste van eerlijke verwerking van de persoonsgegevens een overheidsinstantie verplicht om de betrokkenen te informeren over de overdracht van deze gegevens aan een andere overheidsinstantie met het oog op de verwerking ervan door bedoelde instantie, als adressaat van deze gegevens. ( 41 )

    IV. Conclusie

    74.

    Op grond van het voorgaande geef ik het Hof in overweging om het Finanzgericht Düsseldorf (belastingrechter in eerste aanleg Düsseldorf, Duitsland) als volgt te antwoorden:

    „1)

    Artikel 24, lid 1, tweede alinea, van uitvoeringsverordening (UE) 2015/2447 van de Commissie van 24 november 2015 houdende nadere uitvoeringsvoorschriften voor enkele bepalingen van verordening (EU) nr. 952/2013 van het Europees Parlement en de Raad tot vaststelling van het douanewetboek van de Unie, dient aldus te worden uitgelegd dat:

    het de douane toestaat om van een onderneming die de status van geautoriseerde marktdeelnemer wenst te verkrijgen, te verlangen dat zij het fiscaal identificatienummer met betrekking tot, uitsluitend, ‚de persoon die verantwoordelijk is voor de aanvrager of die zeggenschap heeft over de leiding van het bedrijf en de werknemer die verantwoordelijk is voor de douanezaken van de aanvrager’, verstrekt, alsook de gegevens van het belastingkantoor dat bevoegd is voor de heffing van de inkomstenbelasting van deze personen;

    het niet toestaat om die gegevens uit te strekken tot de leden van de raad van commissarissen van verzoekster, noch tot haar bestuurders en werknemers.

    2)

    Artikel 6, lid 1, onder c) en e), van verordening (UE) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG, verleent een douanedienst de bevoegdheid om persoonsgegevens te verzamelen en te verwerken, zoals het fiscaal identificatienummer en de gegevens van het belastingkantoor dat bevoegd is voor de heffing van de inkomstenbelasting van de verantwoordelijke bestuurder en de werknemer die verantwoordelijk is voor de douanezaken van een onderneming die de status van geautoriseerde marktdeelnemer wenst te verkrijgen, ook als die daar geen toestemming voor hebben verleend, teneinde te voldoen aan de wettelijke verplichting om de douanerechtelijke betrouwbaarheid van die onderneming te controleren overeenkomstig artikel 24, lid 1, tweede alinea, van uitvoeringsverordening nr. 2015/2447.”


    ( 1 ) Oorspronkelijke taal: Spaans.

    ( 2 ) Verordening (UE) van het Europees Parlement en de Raad van 9 oktober 2013 tot vaststelling van het douanewetboek van de Unie (PB 2013, L 269, blz. 1; hierna: „douanewetboek”).

    ( 3 ) Verordening van de Commissie van 24 november 2015 houdende nadere uitvoeringsvoorschriften voor enkele bepalingen van verordening (EU) nr. 952/2013 van het Europees Parlement en de Raad tot vaststelling van het douanewetboek van de Unie (PB 2015, L 343, blz. 558; hierna: de „uitvoeringsverordening”).

    ( 4 ) Verordening van de Commissie van 17 december 2015 tot aanvulling van verordening (EU) nr. 952/2013 van het Europees Parlement en van de Raad met overgangsregels voor enkele bepalingen van het douanewetboek van de Unie voor de gevallen waarin de relevante elektronische systemen nog niet operationeel zijn, en tot wijziging van gedelegeerde verordening (EU) 2015/2446 (PB 2016, L 69, blz. 1).

    ( 5 ) Verordening van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 2016, L 119, blz. 1; hierna: „gegevensbeschermingsverordening”).

    ( 6 ) Verordening van de Raad van 12 oktober 1992 tot vaststelling van het douanewetboek van de Unie (PB 1992, L 302, blz. 1).

    ( 7 ) Verordening van de Commissie van 2 juli 1993 houdende vaststelling van enkele bepalingen ter uitvoering van verordening (EEG) nr. 2913/92 (PB 1993, L 253, blz. 1).

    ( 8 ) Richtlijn van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31).

    ( 9 ) Overeenkomstig punt 5 van de verwijzingsbeslissing: „verzoekt verzoekster dat wordt verklaard dat [...]”.

    ( 10 ) Hoe dan ook zouden de oplossingen bij toepassing van elk van deze regelingen niet substantieel van elkaar verschillen, aangezien een groot deel van de inhoud van richtlijn 95/46 is overgenomen in de gegevensbeschermingsverordening, die de richtlijn vervangt.

    ( 11 ) Het Hof heeft reeds geoordeeld „dat richtlijn 95/46, doordat zij een regeling treft in verband met de verwerking van persoonsgegevens die afbreuk kan doen aan de fundamentele vrijheden, en inzonderheid aan het recht op eerbiediging van het privéleven, noodzakelijkerwijs moet worden uitgelegd op basis van de grondrechten die door het Handvest van de grondrechten van de Europese Unie worden gewaarborgd” (arresten van 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 38, en 9 maart 2017, Manni, C‑398/15, EU:C:2017:197, punt 39).

    ( 12 ) Waaronder de volgende: gemakkelijkere toegang tot vereenvoudigde douaneprocedures, voorafgaande kennisgeving van een douanecontrole, minder fysieke en op documenten gebaseerde controles dan andere marktdeelnemers, prioritaire afhandeling van voor inspectie geselecteerde zendingen, de mogelijkheid om de plaats van de inspectie te kiezen, en „indirecte” voordelen die niet rechtstreeks worden weerspiegeld in het douanewetboek, maar een zeer positief effect kunnen uitoefenen op de algemene handelstransacties van de AEO. Dat een AEO de criteria van bescherming en veiligheid vervult, betekent dat hij de veiligheid en bescherming in de toeleveringsketen waarborgt.

    ( 13 ) Volgens artikel 38, lid 4, van het douanewetboek wordt de status van geautoriseerde marktdeelnemer erkend door de douaneautoriteiten in alle lidstaten.

    ( 14 ) Ik stel bovendien vast dat behalve haar werknemers, ook de aanvragende onderneming zelf aan deze vereisten moet voldoen.

    ( 15 ) In artikel 41, eerste alinea, van het douanewetboek wordt bepaald: „De Commissie stelt door middel van uitvoeringshandelingen de nadere bepalingen vast voor de toepassing van de in artikel 39 bedoelde criteria”.

    ( 16 ) Artikel 5 van gedelegeerde verordening 2016/341 voorziet erin dat aanvragen voor de AEO-status gebeuren volgens het formaat van het formulier in bijlage 6. In die bijlage wordt in punt 19 van de toelichting bepaald dat de handtekening van degene die de aanvrager in zijn geheel vertegenwoordigt, moet worden opgenomen, met vermelding van zijn of haar functie, volledige naam, en stempel. Daarnaast moet de aanvrager onder andere de volgende gegevens verstrekken: „De naam van de voornaamste medewerkers (directeuren, afdelingschefs, hoofd van de boekhouding, hoofd van de afdeling douanezaken enz.). Vermeld hoe normaal te werk wordt gegaan wanneer de verantwoordelijke medewerker, al dan niet tijdelijk, afwezig is.”

    ( 17 ) Ten behoeve van de eenvoud vermeld ik hierna uitsluitend de toekenning van de status van AEO, maar de redeneringen zijn uitstrekbaar tot het behoud van die status.

    ( 18 ) Zie de richtsnoeren van de Europese Commissie voor geautoriseerde marktdeelnemers, TAXUD/B2/047/2011‑REV6, van 11 maart 2016, blz. 123‑143 [(Nederlandse versie)], met de vragenlijst voor zelfbeoordeling van de status van AEO.

    ( 19 ) Indien deze functie gezamenlijk wordt uitgeoefend door verschillende personen, zou het verzoek om gegevens zich logischerwijs kunnen uitstrekken tot al diegenen die de functie gezamenlijk uitoefenen.

    ( 20 ) Onder douanewetgeving wordt verstaan: „het geheel van wetgeving bestaande uit de volgende elementen: a) het wetboek en de op niveau van de Unie of op nationaal niveau vastgestelde bepalingen ter aanvulling of uitvoering ervan; b) het gemeenschappelijk douanetarief; c) de wetgeving betreffende de instelling van een Unieregeling inzake douanevrijstellingen; en d) internationale overeenkomsten houdende douanevoorschriften, voor zover deze van toepassing zijn in de Unie”.

    ( 21 ) Onder meer de belastingen op het verkeer van goederen en diensten, die rechtstreeks verband houden met de economische activiteit van de aanvrager (zoals bijvoorbeeld de btw), bijzondere belastingen en de vennootschapsbelasting.

    ( 22 ) In de richtsnoeren van de Europese Commissie voor geautoriseerde marktdeelnemers, TAXUD/B2/047/2011‑REV6, van 11 maart 2016, blz. 35 [(Nederlandse versie)], worden onder meer de volgende inbreuken genoemd: faillissementsfraude (insolvabiliteit), overtredingen van gezondheidswetgeving, zoals het op de markt brengen van onveilige goederen, overtredingen van milieuwetgeving, zoals illegaal grensoverschrijdend verkeer van gevaarlijk afval, fraude met betrekking tot de verordening voor producten voor tweeërlei gebruik, deelneming aan een criminele organisatie, omkoperij en corruptie, cybercriminaliteit, witwassen van geld, directe of indirecte betrokkenheid bij terroristische activiteiten, en directe of indirecte betrokkenheid bij het bevorderen of ondersteunen van illegale migratie naar de EU.

    ( 23 ) Verwijzingsbeslissing, punt 16.

    ( 24 ) Arresten van 1 oktober 2015, Bara e.a. (C‑201/14, EU:C:2015:638), punt 29, en 27 september 2017, Puškár (C‑73/16, EU:C:2017:725), punt 41.

    ( 25 ) Volgens vaste rechtspraak betreft de eerbiediging van het recht op persoonlijke levenssfeer bij de verwerking van persoonsgegevens iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (arresten van 9 november 2010, Volker und Markus Schecke en Eifert, C‑92/09 en C‑93/09, EU:C:2010:662, punt 52, en 17 oktober 2013, Schwartz, C‑291/12, EU:C:2013:670, punt 26).

    ( 26 ) Onder meer, volgens de verwijzingsbeslissing, of een persoon wettelijk tot een belastingheffende religieuze gemeenschap behoort, met inbegrip van de datum van toe‑ en uittreding, de burgerlijke staat, inclusief de datum van aanvang en eventuele beëindiging daarvan, en eventueel het FIN van de echtgen(o)ot(e) en kinderen van de werknemer, in verband met fiscale gezinsaftrek.

    ( 27 ) In het arrest van 27 september 2017, Puškár (C‑73/16, EU:C:2017:725, punt 34), heeft het Hof geoordeeld dat de opneming in een lijst van een naam, een nationaal identificatienummer en het FIN van personen die fungeren als stroman voor het bezetten van leidinggevende functies „verwerking van persoonsgegevens” vormt. Deze lijst was opgesteld door het directoraat belastingen en de eenheid delicten van de belastingdienst van de Republiek Slowakije, en zowel de verzameling als het gebruik ervan door de diverse belastinginstanties vormt een verwerking van persoonsgegevens.

    ( 28 ) Arrest van 1 oktober 2015, Bara e.a.(C‑201/14, EU:C:2015:638, punt 29).

    ( 29 ) „Het verzamelen, vastleggen, ordenen, bewaren, raadplegen en gebruiken van dergelijke gegevens door een werkgever en de doorzending daarvan aan de nationale autoriteiten bevoegd voor het toezicht op de arbeidsvoorwaarden, vormen dus een ‚verwerking van persoonsgegevens’ in de zin van artikel 2, [onder b)], van richtlijn 95/46” (cursivering van mij) (arrest van 30 mei 2013, Worten, C‑342/12, EU:C:2013:355, punt 20).

    ( 30 ) Daar wordt in het artikel aan toegevoegd: „de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd (‚doelbinding’)”.

    ( 31 ) Volgens de verwijzende rechterlijke instantie zijn „de fiscale identificatienummers van de bij verzoekster werkzame personen, die door het Bundeszentralamt für Steuern overeenkomstig § 139a, lid 1, eerste volzin, van de Abgabenordnung zijn toegekend, [...] uitsluitend met het oog op heffing van inkomstenbelasting door middel van inhouding op het arbeidsloon verzameld en opgeslagen (§ 39e, lid 4, eerste volzin, punt 1[, van het Einkommensteuergesetz (wet inzake de inkomstenbelasting)]. De voor dit doel verzamelde persoonsgegevens van de werknemers van verzoekster houden daarom niet rechtstreeks verband met de beoordeling van de douanerechtelijke betrouwbaarheid op zich. In het bijzonder houden de persoonsgegevens van de werknemers van verzoekster, die zijn verzameld met het oog op heffing van inkomstenbelasting door middel van inhouding op het arbeidsloon, geen verband met de economische activiteit van verzoekster zelf.”

    ( 32 ) Ook zij in herinnering gebracht dat uit de met die richtlijn nagestreefde doelstelling om in alle lidstaten een gelijkwaardig niveau van bescherming te waarborgen, volgt dat artikel 7 van diezelfde richtlijn een uitputtende en limitatieve lijst bevat van de gevallen waarin verwerking van persoonsgegevens als rechtmatig kan worden beschouwd (arresten van 24 november 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 en C‑469/10, EU:C:2011:777, punt 30, en 27 september 2017, Puškár, C‑73/16, EU:C:2017:725, punt 105). Deze opvatting kan worden geëxtrapoleerd naar de lijst van artikel 6, lid 1, van de gegevensbeschermingsverordening.

    ( 33 ) Arresten van 20 mei 2003, Österreichischer Rundfunk e.a. (C‑465/00, C‑138/01 en C‑139/01, EU:C:2003:294, punt 64), en 30 mei 2013, Worten (C‑342/12, EU:C:2013:355, punt 36).

    ( 34 ) Volgens rechtspraak van het Hof „[houdt] het vereiste volgens hetwelk elke beperking op de uitoefening van grondrechten bij wet moet worden gesteld, [...] [in] dat de rechtsgrond die de inmenging in die rechten toestaat zelf de reikwijdte van de beperking op de uitoefening van het betrokken recht moet bepalen” (zie in dit verband advies 1/15 (overeenkomst tussen Canada en de Europese Unie inzake de doorgifte van gegevens van luchtreizigers) van 26 juli 2017 (EU:C:2017:592), punt 139, en het arrest van 17 december 2015, WebMindLicenses (C‑419/14, EU:C:2015:832, punt 81).

    ( 35 ) In het arrest van 27 september 2017, Puškár (C‑73/16, EU:C:2017:725, punten 106109), heeft het Hof geoordeeld dat een lijst van personen die door de directie Financiën van de Slowaakse Republiek worden beschouwd als stromannen, en die is opgesteld om de belastinginning te verbeteren en met het oog op de bestrijding van belastingfraude, binnen de werkingssfeer van artikel 7, onder e), van richtlijn 95/46 valt (welke bepaling is opgenomen in artikel 6, lid 1, onder e), van de gegevensbeschermingsverordening), omdat de nagestreefde doelstellingen zijn te beschouwen als taken van algemeen belang.

    ( 36 ) Overeenkomstig artikel 52, lid 1, tweede volzin, van het Handvest moeten beperkingen op de bescherming van persoonsgegevens, die door artikel 8, lid 1, van het Handvest wordt gewaarborgd, bij wet worden gesteld, met inachtneming van het evenredigheidsbeginsel en zolang zij binnen de grenzen van het strikt noodzakelijke blijven (arresten van 8 april 2014, Digital Rights Ireland e.a., C‑293/12, en C‑594/12, EU:C:2014:238, punt 52; 11 december 2014, Ryneš, C‑212/13, EU:C:2014:2428, punt 28, en 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 92).

    ( 37 ) In andere domeinen van het Unierecht zijn er ook omstandigheden waarin het gebrek aan eerlijkheid of integriteit van de bestuurders van een onderneming doorwerken op de geschiktheid van die onderneming om een economische activiteit uit te oefenen of een voorrecht te genieten. Zo wordt in artikel 23, lid 1, onder b), van richtlijn 2013/36/EU van het Europees Parlement en de Raad van 26 juni 2013 betreffende toegang tot het bedrijf van kredietinstellingen en het prudentieel toezicht op kredietinstellingen en beleggingsondernemingen, tot wijziging van richtlijn 2002/87/EG en tot intrekking van de richtlijnen 2006/48/EG en 2006/49/EG (PB 2013, L 176, blz. 338) opgemerkt, in verband met de verwerving van gekwalificeerde deelnemingen in kredietinstellingen, dat „de bevoegde autoriteiten, met het oog op de gezonde en prudente bedrijfsvoering van de kredietinstelling die het doelwit van de verwerving is, en rekening houdend met de waarschijnlijke invloed van de kandidaat-verwerver op die kredietinstelling, de geschiktheid van de kandidaat-verwerver en de financiële soliditeit van de voorgenomen verwerving [beoordelen] in overeenstemming met de volgende criteria: [...] b) de in artikel 91, lid 1, bedoelde reputatie, vaardigheden en ervaring van de leden van het leidinggevend orgaan en van de leden van de directie die als gevolg van de voorgenomen verwerving het bedrijf van de instelling zullen leiden”. Zie dienaangaande mijn conclusie van 27 juni 2018, Berlusconi en Fininvest, C‑219/17, EU:C:2018:502.

    ( 38 ) Zaak C‑178/16 (EU:C:2017:487, punt 54). In punt 34 van het in deze zaak gewezen arrest van 20 december 2017 (EU:C:2017:1000) heeft het Hof geoordeeld dat „het Unierecht niettemin [uitgaat] van de premisse dat rechtspersonen door tussenkomst van hun vertegenwoordigers handelen. Met de beroepsgedragsregels strijdig gedrag van deze laatsten kan dan ook een relevante factor zijn voor de beoordeling of een onderneming de beroepsgedragsregels eerbiedigt. De lidstaten kunnen dus zonder meer in het kader van de uitoefening van hun bevoegdheid, de voorwaarden voor de toepassing van de facultatieve uitsluitingsgronden te bepalen, onder de factoren die relevant zijn om de integriteit van de inschrijvende onderneming te beoordelen het eventuele bestaan van gedragingen van bestuurders die tegen de beroepsgedragsregels indruisen in de beschouwing betrekken.”

    ( 39 ) Wat de inachtneming van het evenredigheidsbeginsel betreft, vereist de bescherming van het grondrecht op eerbiediging van het privéleven op het niveau van de Unie, overeenkomstig vaste rechtspraak van het Hof, dat de uitzonderingen op de bescherming van persoonsgegevens en de beperkingen ervan binnen de grenzen van het strikt noodzakelijke blijven (arresten van 8 april 2014, Digital Rights Ireland e.a., C‑293/12 en C‑594/12, EU:C:2014:238, punten 51 en 52; 6 oktober 2015, Schrems, C‑362/14, EU:C:2015:650, punt 92; 21 december 2016, Tele2 Sverige en Watson e.a., C‑203/15 en C‑698/15, EU:C:2016:970, punt 96, en 27 september 2017, Puškár, C‑73/16, EU:C:2017:725, punt 112).

    ( 40 ) Ter terechtzitting werd gediscussieerd over de vraag of het aandragen, door de onderneming, van verklaringen inzake de naleving van fiscale verplichtingen van de bestuurder en de voor douanezaken verantwoordelijke werknemer van een onderneming een minder restrictieve mogelijkheid zou kunnen zijn. Zoals het Hauptzollamt betoogde, is dat niet het geval, omdat die verklaringen rechtstreeks door en voor rekening van deze personen moeten worden aangevraagd en bovendien meer informatie bevatten dan onontbeerlijk is voor de toekenning van de status van AEO. Het staat aan de verwijzende rechterlijk instantie om deze en andere beweringen over dit punt aan een beoordeling te onderwerpen.

    ( 41 ) Arrest van 1 oktober 2015, Bara e.a. (C‑201/14, EU:C:2015:638), punt 40.

    Top