1. 

De Duitse douanedienst verlangt bepaalde persoonsgegevens van bestuurders en werknemers van ondernemingen die de status van geautoriseerde marktdeelnemer (Authorised Economic Operator, hierna: „AEO”) willen verkrijgen of behouden, op grond waarvan zij een gunstiger behandeling genieten dan de andere importeurs of exporteurs.

2. 

De prejudiciële vraag betreft de beperkingen die het Unierecht oplegt aan deze vereisten, hetzij strikt binnen het douanedomein, hetzij in het kader van de bescherming van persoonsgegevens.

3.

In artikel 38 van verordening nr. 952/2013 ( 2 ) wordt bepaald:

„1.   Een marktdeelnemer die in het douanegebied van de Unie is gevestigd en aan de in artikel 39 gestelde criteria voldoet, kan de status van geautoriseerde marktdeelnemer aanvragen.

[...]

2.   De status van geautoriseerde marktdeelnemer bestaat uit de volgende soorten vergunningen:

[...]”

4.

Artikel 39, onder a):

„De criteria voor de toekenning van de status van ‚geautoriseerde marktdeelnemer’ zijn de volgende:

[...]”

5.

Artikel 24, lid 1:

„[...]

Wanneer de aanvrager geen natuurlijke persoon is, wordt geacht aan het criterium in artikel 39, onder a), van het wetboek te zijn voldaan wanneer geen van de volgende personen gedurende de afgelopen drie jaar ernstige of herhaalde overtredingen op de douanewetgeving en belastingvoorschriften hebben begaan of een strafblad met zware misdrijven in verband met de economische activiteit hebben gehad:

6.

Artikel 1 luidt:

„1.   Bij deze verordening worden overgangsmaatregelen vastgesteld betreffende de middelen voor de uitwisseling en de opslag van gegevens zoals bedoeld in artikel 278 van het wetboek totdat de voor de toepassing van de bepalingen van het wetboek benodigde elektronische systemen operationeel zijn.

2.   De gegevensvereisten, -formaten en ‑codes die moeten worden toegepast tijdens de overgangsperioden die zijn vastgesteld in deze verordening, gedelegeerde verordening (EU) 2015/2446 en uitvoeringsverordening (EU) 2015/2447 zijn vastgesteld in de bijlagen bij deze verordening.”

7.

Artikel 5:

„1.   Tot de datum van de upgrade van het AEO-systeem zoals bedoeld in de bijlage bij uitvoeringsbesluit 2014/255/EU kunnen de douaneautoriteiten toestaan dat andere middelen dan elektronische gegevensverwerkingstechnieken worden gebruikt voor aanvragen en beschikkingen in het kader van een AEO of elke latere gebeurtenis met eventuele invloed op de oorspronkelijke aanvraag of beschikking.

2.   In de in lid 1 van dit artikel bedoelde gevallen geldt dat:

8.

Punt 19 van de toelichting in bijlage VI heeft betrekking op de inhoud van het formulier voor het aanvragen van de status van geautoriseerde marktdeelnemer:

„Naam, datum en handtekening van de aanvrager:

Handtekening: de ondertekenaar dient ook zijn hoedanigheid te vermelden. Hij moet altijd degene zijn die de aanvrager in zijn geheel vertegenwoordigt.

Naam: naam en stempel van de aanvrager.

[...]

[...]”

9.

Artikel 4:

„Voor de toepassing van deze verordening wordt verstaan onder:

[...]”

10.

Artikel 5:

„Persoonsgegevens moeten:

[...]”

11.

Artikel 6:

„1.   De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

[...]

[...]

[...]

2.   De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX.

3.   De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:

Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. [...] Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.

4.   Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

12.

Artikel 23, lid 1, onder e):

„De reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 22 en artikel 34, alsmede in artikel 5 kan, voor zover de bepalingen van die artikelen overeenstemmen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met [22], worden beperkt door middel van Unierechtelijke of lidstaatrechtelijke bepalingen die op de verwerkingsverantwoordelijke of de verwerker van toepassing zijn, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:

[...]

13.

In de versie die van toepassing is op de feiten, wordt in § 139a, lid 1, bepaald:

„Met het oog op de ondubbelzinnige identificatie van belastingplichtigen in het kader van belastingheffing kent het Bundeszentralamt für Steuern [(federale centrale belastingkantoor)] een eenvormig en onveranderlijk kenmerk (identificatiekenmerk) toe aan elke belastingplichtige. Dit identificatiekenmerk dient door de belastingplichtige en door derden die gehouden zijn gegevens betreffende de belastingplichtige door te geven aan de belastingdienst, te worden aangegeven in tot de belastingdienst gerichte verzoeken, aangiften en kennisgevingen. Het identificatiekenmerk is samengesteld uit een reeks cijfers die niet mag zijn gevormd uit of afgeleid van andere gegevens betreffende de belastingplichtige. Het laatste cijfer is een controlecijfer [...].”

14.

§ 139b:

„(1)   Aan elke natuurlijke persoon mag niet meer dan één identificatienummer worden toegekend. [...]

(2)   De belastingdienst is alleen gerechtigd het identificatienummer op te vragen en te gebruiken voor zover dit noodzakelijk is om zijn wettelijke taken te kunnen vervullen of dit uitdrukkelijk is toegestaan of voorgeschreven bij een wettelijke bepaling. Andere overheidsinstanties en particuliere partijen mogen:

[...]

(3)   Het Bundeszentralamt für Steuern slaat met betrekking tot natuurlijke personen de volgende gegevens op:

[...]

[...]

(4)   De in lid 3 opgesomde gegevens worden opgeslagen om:

15.

§ 38, leden 1 en 3, in de versie die op het moment van de feiten van toepassing was, schrijft voor:

„(1)   Bij inkomsten uit arbeid in loondienst wordt inkomstenbelasting geheven door middel van inhouding op het arbeidsloon (loonbelasting) wanneer het arbeidsloon door een werkgever wordt uitbetaald [...].

[...]

(3)   De werkgever houdt de loonbelasting voor rekening van de werknemer in bij iedere uitbetaling van loon [...].”

16.

§ 39, leden 1 en 4:

„(1)   Voor de uitvoering van de inhouding van loonbelasting worden op verzoek van de werknemer inhoudingskenmerken aangemaakt [...].

[...]

(4)   De volgende inhoudingskenmerken zijn van toepassing:

[...]”

17.

§ 39e:

„(1)   Het Bundeszentralamt für Steuern maakt in beginsel voor elke werknemer automatisch de belastinggroep aan alsook, bij de belastinggroepen I tot en met IV, het aantal kinderaftrekbedragen voor de in aanmerking te nemen kinderen (§ 39, lid 4, eerste volzin, punten 1 en 2) [...]. Voor zover de belastingdienst inhoudingskenmerken als bedoeld in § 39 aanmaakt, deelt hij deze mee aan het Bundeszentralamt für Steuern met het oog op de beschikbaarstelling ervan ten behoeve van de geautomatiseerde opvraging ervan door de werkgever [...].

(2)   Het Bundeszentralamt für Steuern slaat de inhoudingskenmerken met het oog op de beschikbaarstelling ervan ten behoeve van de geautomatiseerde opvraging ervan door de werkgever op met vermelding van het identificatienummer en voegt aan de in § 139b, lid 3, van de Abgabenordnung bedoelde gegevens voor elke belastingplichtige de volgende gegevens toe:

[...]

(4)   De werknemer deelt elke werkgever bij indiensttreding met het oog op opvraging van de inhoudingskenmerken het volgende mee:

[...]

De werkgever vraagt bij indiensttreding de elektronische inhoudingskenmerken voor de werknemer langs elektronische weg op bij het Bundeszentralamt für Steuern en neemt deze op in de loonadministratie. [...]

[...]”

18.

Deutsche Post was houder van douanevergunningen die waren verleend krachtens verordening (EEG) nr. 2913/92 ( 6 ) en verordening (EEG) nr. 2454/93 ( 7 ), inzonderheid als erkende geadresseerde en als erkende afzender. Ook geniet Deutsche Post een algemene garantie om de regeling Uniedouanevervoer of het gemeenschappelijk douanevervoer te vergemakkelijken en, sinds het nieuwe douanewetboek volledig van toepassing is, een vergunning voor het hebben van een ruimte voor tijdelijke opslag.

19.

Het Hauptzollamt (douanehoofdkantoor) verzocht Deutsche Post bij brief van 19 april 2017 om het ingevulde deel 1 („Bedrijfsinformatie”) van de via het internet beschikbare vragenlijst voor zelfbeoordeling op uiterlijk 19 mei 2017 in te dienen. Dit formulier bevatte, onder meer, de volgende verzoeken:

„1.1.2 Vermeld de volgende gegevens, voor zover van toepassing op de rechtsvorm van uw bedrijf:

[...]

1.1.6 Vermeld de voornaamste leidinggevenden (algemeen directeuren, afdelingshoofden, hoofd van de boekhouding, hoofd van de afdeling douanezaken, enz.) van het bedrijf en beschrijf de desbetreffende vertegenwoordigingsregelingen. De gegevens moeten ten minste de volledige naam, de geboortedatum, het fiscaal identificatienummer en het bevoegde belastingkantoor omvatten.

[...]

1.3.1 Vermeld de persoon/personen die binnen uw organisatie verantwoordelijk is/zijn voor de douanezaken of douanezaken behandelt/behandelen (zoals medewerker(s) douanezaken of het hoofd van de afdeling douanezaken), alsook hun voor‑ en achternaam, hun geboortedatum, hun fiscaal identificatienummer, de bevoegde belastingkantoor en hun functie binnen de organisatie.”

20.

Het Hauptzollamt wees Deutsche Post erop dat het in geval van niet-medewerking niet mogelijk zou zijn om te beoordelen of de in het douanewetboek gestelde vergunningsvoorwaarden waren vervuld. Ook waarschuwde het Hauptzollamt Deutsche Post dat het de permanente vergunningen zou intrekken indien Deutsche Post niet zou meewerken en niet zou voldoen aan alle vereisten.

21.

Deutsche Post stelde een vordering in bij de verwijzende rechterlijke instantie, die ertoe strekte dat zij zich verzette tegen de verplichting om op de vragenlijst voor zelfbeoordeling de fiscale identificatienummers (hierna: „FIN’s”) van genoemde personen, alsook de gegevens van de ten aanzien van deze personen bevoegde belastingkantoren, aan het Hauptzollamt te verstrekken. Deutsche Post verzocht de rechter te verklaren dat zij niet verplicht was om dat deel van het formulier in te vullen.

22.

Ter onderbouwing van haar vordering voerde Deutsche Post aan dat:

23.

Het Hauptzollamt verweerde zich tegen de argumenten van Deutsche Post door te betogen dat het verzoek om de FIN’s onontbeerlijk was voor een behoorlijke identificatie van de desbetreffende personen bij een raadpleging van de belastingdienst. Een uitwisseling van gegevens wordt slechts voorzien wanneer de belastingdienst ernstige of herhaalde overtredingen van de belastingvoorschriften ter kennis komen. Beëindigde strafrechtelijke of boeteprocedures zijn in dit verband niet relevant. Herhaalde overtredingen van belastingvoorschriften worden alleen in aanmerking genomen wanneer de frequentie van de overtredingen niet meer in verhouding staat tot de aard en de omvang van de bedrijfsactiviteiten van de aanvrager.

24.

Volgens het Hauptzollamt is de groep van personen waarop de vragen betrekking hebben in overeenstemming met artikel 24, lid 1, tweede alinea, van de uitvoeringsverordening en met de richtsnoeren van de Commissie inzake geautoriseerde marktdeelnemers. Het douanehoofdkantoor bepaalt aan de hand van het risico per geval voor welke personen concreet gegevens worden uitgewisseld met de belastingdienst. Wat betreft de personen die douanezaken behandelen, beperkt het opvragen van gegevens zich bij grotere douaneafdelingen tot directeuren en leidinggevend personeel.

25.

Het Finanzgericht Düsseldorf (belastingrechter in eerste aanleg Düsseldorf, Duitsland) vraagt zich af of raadpleging van de gevraagde persoonsgegevens (de FIN’s en de belastingkantoren die bevoegd zijn voor de heffing van de inkomstenbelasting van de in de punten 1.1.2, onder c), 1.1.6 en 1.3.1 van het formulier bedoelde personen) een rechtmatige behandeling van die gegevens overeenkomstig de gegevensbeschermingsverordening en artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”) inhoudt.

26.

Het Finanzgericht Düsseldorf twijfelt voorts aan de noodzaak om de persoonsgegevens van werknemers en leden van de raad van commissarissen van verzoekster, die worden verzameld met het oog op de heffing van de inkomstenbelasting, op te vragen, aangezien er geen rechtstreeks verband bestaat tussen die gegevens en de beoordeling van de douanerechtelijke betrouwbaarheid of de economische activiteit van Deutsche Post.

27.

In dit verband heeft deze rechterlijke instantie besloten het Hof de volgende prejudiciële vraag voor te leggen:

„Moet artikel 24, lid 1, tweede alinea, van uitvoeringsverordening (EU) 2015/2447 van de Commissie van 24 november 2015 houdende nadere uitvoeringsvoorschriften voor enkele bepalingen van verordening (EU) nr. 952/2013 van het Europees Parlement en de Raad tot vaststelling van het douanewetboek van de Unie aldus worden uitgelegd dat de douaneautoriteiten van de aanvrager kunnen verlangen dat hij de door het Duitse Bundeszentralamt für Steuern met het oog op de heffing van inkomstenbelasting toegekende fiscale identificatienummers en de voor de aanslag in de inkomstenbelasting bevoegde belastingdiensten meedeelt zowel voor de leden van zijn raad van commissarissen en de algemeen directeuren, de afdelingshoofden, het hoofd van de boekhouding en het hoofd van de afdeling douanezaken die daarbij werkzaam zijn, als voor de voor douanezaken verantwoordelijke personen en de personen die douanezaken behandelen?”

28.

Deutsche Post, het Hauptzollamt, de Spaanse, de Hongaarse en de Italiaanse regering alsook de Commissie hebben schriftelijke opmerkingen ingediend. Op de terechtzitting, die op 5 juli 2018 werd gehouden, verschenen Deutsche Post, het Hauptzollamt en de Commissie.

29.

Voorafgaand aan de beoordeling ten gronde moet worden vastgesteld welke regelingen van de Unie inzake de bescherming van persoonsgegevens in casu van toepassing zijn.

30.

Het verzoek om mededeling van de gegevens werd aan Deutsche Post verzonden op 19 april 2017, en dus vóór de datum van inwerkingtreding (25 mei 2018) van de gegevensbeschermingsverordening. Op dat moment was richtlijn 95/46/EG ( 8 ) van toepassing; desalniettemin gaan zowel de verwijzende rechterlijke instantie als de interveniënten in de prejudiciële procedure, met uitzondering van de Commissie, er zonder meer van uit dat bovengenoemde verordening van toepassing is.

31.

De verklaring voor deze schijnbare anomalie kan worden gevonden in de aard van de oorspronkelijke nationale procedure. Zoals ter terechtzitting is verklaard, zou Deutsche Post geen verzoek om nietigverklaring (Anfechtungsklage) hebben ingediend, die de rechter zou moeten beoordelen in het licht van de op het moment van de feiten vigerende regeling, maar een vordering tot verkrijging van een verklaring voor recht (Feststellungsklage) ( 9 ) waarop een beslissing moet worden gegeven op grond van de juridische situatie die op het moment van de terechtzitting en de uitspraak van toepassing was.

32.

Het staat aan de verwijzende rechterlijke instantie om haar nationale procesrecht uit te leggen, ter zake waarvan het Hof zich niet uitspreekt. Indien die instantie op grond van het nationale recht vaststelt dat het geschil ratione temporis aan de hand van de gegevensbeschermingsverordening en niet aan de hand van richtlijn 95/46 dient te worden beslecht, moet het Hof haar dan ook uitlegging van de gegevensbeschermingsverordening en niet van die richtlijn verstrekken. ( 10 )

33.

De prejudiciële vraag strekt tot de uitlegging, en niet tot de eventuele ongeldigheidsverklaring, van artikel 24, lid 1, van de uitvoeringsverordening, die dient te geschieden in het licht van de gegevensbeschermingsverordening en de artikelen 7 en 8 van het Handvest. ( 11 ) De verwijzende rechterlijke instantie heeft, nogmaals, niet verzocht om opheldering inzake de mogelijke ongeldigheid van dat artikel, waarin slechts de voorwaarden voor de toekenning van de status van AEO zijn neergelegd, en dat op zichzelf noch de doorgifte, noch de verwerking van persoonsgegevens door een derde vereist.

34.

De status van AEO biedt voordelen ( 12 ) aan marktdeelnemers die, in het kader van hun douaneverrichtingen, betrouwbaar worden geacht op het hele grondgebied van de Unie (artikel 5, lid 5, van het douanewetboek). Een van de belangrijkste van die voordelen is, overeenkomstig artikel 38, lid 6, van datzelfde wetboek, een gunstiger behandeling dan andere marktdeelnemers op het gebied van douanecontroles. Naargelang van het type vergunning dat is verleend, wordt de AEO aan minder fysieke en op documenten gebaseerde controles onderworpen.

35.

Omdat AEO’s een gebleken betrouwbaarheid en reputatie moeten hebben, is de toekenning van deze status afhankelijk van de voorwaarden die zijn neergelegd in artikel 39 van het douanewetboek ( 13 ), te weten:

36.

Deze voorwaarden kunnen worden gesteld aan alle marktdeelnemers die de status van AEO aanvragen, zowel rechtspersonen als natuurlijke personen. In casu strekt het vereiste van het geen ernstige of herhaalde overtredingen van de douanewetgeving en belastingvoorschriften hebben begaan en geen strafblad met zware misdrijven in verband met de economische activiteit van de aanvrager hebben gehad, zich uit – aangezien Deutsche Post een rechtspersoon is – tot enkele van haar werknemers (die met de meer relevante functies, die hieronder worden vermeld). ( 14 ) Aldus wordt het geformuleerd in artikel 24 van de uitvoeringsverordening, welk voorschrift artikel 39, onder a), van het douanewetboek ontwikkelt. ( 15 )

37.

Deze verwijtbare handelingen mogen, ingevolge artikel 24 van de uitvoeringsverordening, niet zijn gepleegd door „de persoon die verantwoordelijk is voor de aanvrager of die zeggenschap heeft over de leiding van het bedrijf” en „de werknemer die verantwoordelijk is voor de douanezaken van de aanvrager”. ( 16 )

38.

Artikel 24 van de uitvoeringsverordening bepaalt de grenzen die de douaneautoriteiten niet mogen overschrijden in hun verzoeken om informatie betreffende de kring van te onderzoeken personen. Ook moeten zij dit artikel eerbiedigen in verband met het doel van de verzameling van de persoonsgegevens van genoemde personen.

39.

De logica van artikel 24 van de uitvoeringsverordening is dat, om de status van AEO toe te kennen ( 17 ), de douaneautoriteiten moeten beschikken over bepaalde gegevens van de hoofdverantwoordelijken van de onderneming en van de natuurlijke personen die leiding geven aan haar douanegerelateerde activiteiten. ( 18 )

40.

De strekking van artikel 24 van de uitvoeringsverordening is beperkend: in het artikel wordt uitsluitend verwezen naar de persoon die verantwoordelijk is (voor de aanvrager van de status van AEO) of die zeggenschap heeft over de leiding van het bedrijf en de werknemer die verantwoordelijk is voor de douanezaken. In het voorschrift wordt het enkelvoud gebruikt, wat een strikte uitlegging noodzakelijk maakt, mede steunend op het feit dat de mee te delen gegevens persoonsgegevens zijn. Een afgeleide rechtsregeling die juridisch ondergeschikt is aan artikel 24 van de uitvoeringsverordening, zoals bijlage 6 van gedelegeerde uitvoeringsverordening 2016/341, kan de subjectieve draagwijdte daarvan niet verruimen.

41.

De douaneautoriteiten mogen dus alleen persoonsgegevens verkrijgen van:

42.

Uitgaande van deze premisse, deel ik de opvatting van de verwijzende rechterlijke instantie dat het verzoek om persoonsgegevens van de leden van de raad van commissarissen of de raad van advies van een onderneming geen grond vindt in artikel 24 van de uitvoeringsverordening. In dezelfde zin bevat dit voorschrift ook geen grond om persoonsgegevens van hoofden van andere afdelingen en van het hoofd van de boekhouding op te vragen, behoudens indien deze personen daarnaast de uiteindelijke besluitmacht hebben in de onderneming of zich bezighouden met de douanezaken van de onderneming.

43.

Overeenkomstig artikel 24 van de uitvoeringsverordening kan, zoals ik reeds heb opgemerkt, slechts de onontbeerlijke informatie worden verkregen om de afwezigheid van „ernstige of herhaalde overtredingen van de douanewetgeving en belastingvoorschriften” en een strafblad met „zware misdrijven in verband met de economische activiteit” te verifiëren.

44.

Dat is derhalve het enige doel waaraan de verzameling van informatie door de douaneautoriteiten moet beantwoorden. In het voorschrift wordt niet gespecificeerd welk soort gegevens toereikend is om dit doel te verwezenlijken: het staat aan de lidstaten om die te bepalen, met dien verstande dat deze gegevens uitsluitend de gegevens moeten zijn die onontbeerlijk zijn om zich te vergewissen van het (niet) bestaan van gedragingen die de betrouwbaarheid van de hoofdverantwoordelijken van het bedrijf aantasten.

45.

Om na te gaan of de hierboven bedoelde werknemers van de onderneming die kandidaat is voor het verkrijgen van de status van AEO de benodigde integriteit missen om het vertrouwen van de douane te genieten, worden in artikel 24 drie categorieën wetsovertredingen genoemd:

46.

Welke gegevens kunnen de douaneautoriteiten, overeenkomstig artikel 24 van de uitvoeringsverordening, verkrijgen om de aanwezigheid van deze overtredingen op te sporen met het oog op de toekenning van de status van AEO?

47.

Volgens het Hauptzollamt moet het de beschikking hebben over de FIN’s en de gegevens van de belastingkantoren van de bestuurders en de werknemers van Deutsche Post die zeggenschap uitoefenen over haar douanezaken. Alleen op die manier, zo stelt het Hauptzollamt, kan het vaststellen of deze personen ernstige of herhaalde overtredingen van de douanewetgeving en belastingvoorschriften hebben begaan, aangezien in Duitsland veel belastingen worden beheerd door de regionale autoriteiten. Het FIN zou het geëigende gegeven zijn om met precisie de over de bedoelde personen benodigde informatie op te vragen bij die autoriteiten.

48.

Deutsche Post beweert daarentegen dat de situatie van haar werknemers in verband met de inkomstenbelasting irrelevant is voor de beoordeling of er ernstige of herhaalde overtredingen van de belastingvoorschriften zijn begaan. De mededeling van hun FIN’s zou daarom noodzakelijk noch geschikt zijn voor de beoordeling van de douanerechtelijke betrouwbaarheid.

49.

Uit de schriftelijke opmerkingen en de ter terechtzitting verstrekte toelichtingen kan worden opgemaakt dat het FIN een persoonlijk identificatienummer is dat voor diverse doeleinden wordt gebruikt in de betrekkingen tussen natuurlijke personen en de Duitse belastingdienst. Er bestaat consensus over het feit dat de voornaamste toepassing van het FIN het beheer van de inkomstenbelasting is, hetgeen het verband ervan, in het hoofdgeding, met de gegevens van de voor de heffing van de inkomstenbelasting bevoegde belastingkantoren verklaart.

50.

De uitlegging van het Duitse recht behoort niet tot de bevoegdheden van het Hof, maar staat aan de verwijzende rechterlijke instantie. Deze laatste verzekert dat door het Bundeszentralamt für Steuern aan de werknemers van Deutsche Post toegekende FIN’s (§ 139a, lid 1, eerste volzin, van de Abgabeordnung) slechts kunnen worden verkregen en opgeslagen voor de heffing van de inkomstenbelasting, door de inhouding van deze belasting op de salarissen (§ 39 sexies, lid 4, eerste volzin, punt 1, van het Einkommensteuergesetz).

51.

De persoonsgegevens van de werknemers van Deutsche Post, die worden verzameld voor het reeds uiteengezette doel, zouden volgens de verwijzende rechterlijke instantie een rechtstreeks verband met de economische activiteit van die onderneming ontberen en daarom niet relevant zijn voor de beoordeling van de douanerechtelijke betrouwbaarheid van de onderneming. ( 23 )

52.

Mijns inziens staat, vanuit het perspectief van de douanewetgeving, evenwel niets de Duitse douane in de weg om te verzoeken om het FIN (en de gegevens van het kantoor dat bevoegd is voor de heffing van de inkomstenbelasting) van de bestuurder en van de persoon die verantwoordelijk is voor de douanezaken van de onderneming die de status van AEO wenst te verkrijgen. Onverminderd hetgeen ik hieronder zal uiteenzetten over de bescherming van persoonsgegevens, kan de verificatie van de gegevens dienen om het niet-bestaan van door die personen begane overtredingen te verifiëren.

53.

Het argument van de verwijzende rechter zou relevant kunnen zijn indien er (waarop hij lijkt te zinspelen) daadwerkelijk geen verband bestaat tussen de op basis van het FIN te verkrijgen gegevens, die noodzakelijkerwijs betrekking hebben op elke individuele natuurlijke persoon, en de activiteit van de onderneming. De verificatie heeft echter juist ten doel om na te gaan of de twee natuurlijke personen die in de onderneming die de status van AEO wenst te verkrijgen de relevante functies uitoefenen, gedurende de voorgaande drie jaar door hun eigen gedrag (en dus niet dat van de onderneming) hun betrouwbaarheid hebben ondergraven, en door hun gebrek aan integriteit – indien zij in het verleden feitelijk zijn veroordeeld – de entiteit die zij in algemene zin besturen of voor de douanezaken waarvan zij verantwoordelijk zijn, als het ware besmetten.

54.

Net als andere gegevens met een fiscaal karakter die aldus door het Hof zijn aangemerkt ( 24 ), is het FIN een persoonsgegeven in de zin van artikel 4, punt 1, van de gegevensbeschermingsverordening, aangezien het gaat om informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. ( 25 )

55.

Uit de verwijzingsbeslissing blijkt dat er een nauw verband bestaat tussen de aanduiding van [het belastingkantoor dat] bevoegd [is] voor de heffing van de inkomstenbelasting van een bepaalde persoon en het FIN, welk verband voortvloeit uit de federale structuur van het Duitse belastingstelsel. In deze context kan die aanduiding in zekere mate als een extra fiscaal gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon worden aangemerkt.

56.

Zoals de verwijzende rechter benadrukt, staat de geautomatiseerde raadpleging van het FIN het toe om inzage te verkrijgen in bijzonder gevoelige gegevens. ( 26 ) Het FIN is derhalve een instrument om de betrokkene te identificeren en bepaalde informatie over het privé‑ en gezinsleven van die persoon, die in het bezit is van de douane, te verkrijgen.

57.

De activiteit die rond het FIN wordt ontplooid in de betrekkingen van de douane met de kandidaten voor de status van AEO kan worden aangemerkt als [het] verzamelen of verstrekken door middel van doorzending [van gegevens]. In beide gevallen vindt er verwerking van gegevens plaats in de zin van artikel 4, punt 2, van de gegevensbeschermingsverordening. De Duitse douane vraagt om FIN’s en structureert en gebruikt deze om de bevoegde belastingkantoren te verzoeken om informatie over mogelijke door die personen begane ernstige of herhaalde overtredingen van de belastingvoorschriften. De simpele verkrijging van deze gegevens vormt reeds een verwerking, en de structurering en daaropvolgende aanwending om informatie over die personen te verkrijgen, is dat in hogere mate. ( 27 )

58.

Het Hof heeft tevens geoordeeld dat de overdracht van gegevens van een overheidsinstantie aan een andere overheidsinstantie een verwerking van persoonsgegevens vormt ( 28 ) en dat er eveneens sprake is van een verwerking van persoonsgegevens wanneer een werkgever persoonsgegevens aan een nationale autoriteit verstuurt. ( 29 ) Bijgevolg is de doorgifte van persoonsgegevens van bestuurders en werknemers door Deutsche Post aan het Hauptzollamt een „verwerking van persoonsgegevens” voor de doeleinden van de gegevensbeschermingsverordening.

59.

In artikel 5, lid 1, onder b), van de gegevensbeschermingsverordening wordt het beginsel van doelbinding aangemerkt als leidend beginsel voor de verwerking van persoonsgegevens, volgens welk beginsel persoonsgegevens „voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden [moeten] worden verzameld en [...] vervolgens niet verder op een met die doeleinden onverenigbare wijze [mogen] worden verwerkt”. ( 30 )

60.

Onderzocht moet derhalve worden of het gebruik van de FIN’s van de bestuurders en met douanezaken belaste werknemers van Deutsche Post door de douaneautoriteiten, die deze gegevens bij Deutsche Post opvragen, verenigbaar is met het doel dat door de nationale wetgeving wordt toegeschreven aan de verzameling van die persoonsgegevens.

61.

De verwijzende rechter geeft uiting aan zijn twijfels dienaangaande ( 31 ) en is van oordeel dat er geen rechtstreeks verband bestaat tussen de FIN’s en de belastingkantoren die bevoegd zijn voor de heffing van de inkomstenbelasting van bestuurders en met douanezaken belaste werknemers van Deutsche Post. Zoals tijdens de terechtzitting is gebleken en zoals ik reeds heb uitgelegd, voorziet het Duitse recht in het voornamelijke, maar niet exclusieve, gebruik van deze fiscale gegevens in het kader van de arbeidsbetrekking tussen de werkgever en de werknemer met het oog op de heffing van de inkomstenbelasting.

62.

De FIN’s (en, als bijkomende informatie, de vermelding van de belastingkantoren die bevoegd zijn voor de heffing van de inkomstenbelasting) zijn derhalve persoonsgegevens die niet zijn geconcipieerd voor het gebruik ervan in het kader van de betrekking tussen een onderneming en de Duitse douane met het oog op het verkrijgen of behouden van de status van AEO. Het betreft hier dus een verwerking van persoonsgegevens die, in beginsel, niet beantwoordt aan het doel waarvoor ze zijn verzameld, hetgeen niet strookt met artikel 5, lid 1, onder b), van de gegevensbeschermingsverordening.

63.

Een verwerking van persoonsgegevens van deze aard zou evenwel gerechtvaardigd kunnen zijn. Daarvoor zou het volstaan dat, bijvoorbeeld, de betrokken natuurlijke personen toestemming hebben gegeven overeenkomstig artikel 6, lid 1, onder a), van de gegevensbeschermingsverordening. Blijkens het dossier verzetten de werknemers van Deutsche Post zich daar echter tegen, waardoor deze oplossing is uitgesloten.

64.

Andere rechtvaardigingen zouden kunnen worden gevonden in artikel 6, lid 1 ( 32 ), dat ertoe strekt dat de verwerking van gegevens rechtmatig is wanneer die noodzakelijk is „om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust” [onder c)] of „voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen” [onder e)]. ( 33 ) In beide gevallen schrijft artikel 6, lid 3, van de gegevensbeschermingsverordening voor dat de rechtsgrond voor de verwerking moet worden vastgesteld bij Unierecht of lidstatelijk recht dat van toepassing is op de verwerkingsverantwoordelijke.

65.

De rechtmatigheid van het verzoek van de douane aan Deutsche Post, en van de verwerking van de persoonsgegevens, vindt haar grond in de wettelijke verplichting ( 34 ) voor deze dienst om te controleren dat de status van AEO slechts wordt toegekend aan ondernemingen waarvan de bestuurders en de voor douanezaken verantwoordelijke werknemers geen van de bovengenoemde overtredingen hebben begaan. Deze verplichting vloeit, in laatste instantie, voort uit artikel 24 van de uitvoeringsverordening. Ik stel dan ook vast dat de rechtvaardigingsgrond van artikel 6, lid 1, onder c), van de gegevensbeschermingsverordening in casu van toepassing is.

66.

De rechtmatigheid van de verwerking van de FIN’s van de bestuurder en de voor douanezaken verantwoordelijke werknemer van een onderneming, met het oog op de toekenning van de status van AEO, kan eveneens worden gegrond op de „vervulling [...] van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen” [artikel 6, lid 1, onder e), van de gegevensbeschermingsverordening] ( 35 ), aangezien de douane het openbaar gezag dat aan haar is verleend om ondernemingen met de status van AEO te controleren onontkoombaar dient uit te oefenen. Deze status veronderstelt een bepaalde delegatie van douanecontrolefuncties ten gunste van de geautoriseerde marktdeelnemers, die contrasteert met een ruime bevoegdheid van de douane om hun betrouwbaarheid te controleren en te bewaken.

67.

Het verzoek om en de verwerking van de litigieuze gegevens, die rechtmatig zijn omdat ze steun vinden in artikel 6, lid 1, onder c) en e), kunnen ertoe leiden dat er enkele beperkingen worden opgelegd aan de rechten die bij de artikelen 12 tot en met 22 van de gegevensbeschermingsverordening worden verleend aan de houders van die persoonsgegevens. Het staat aan de verwijzende rechterlijke instantie om na te gaan of het Hauptzollamt bij de verwerking van die gegevens enige van die rechten van de betrokkenen inperkt, zoals bijvoorbeeld het recht van inzage, rectificatie, wissing of bezwaar.

68.

Deze beperkingen, indien zij zouden bestaan, zouden kunnen worden gerechtvaardigd door enkele van de „belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid” [artikel 23, lid 1, onder c), van de gegevensbeschermingsverordening]. De maatregel die dergelijke beperkingen oplegt, zou daarenboven „de wezenlijke inhoud van die rechten en vrijheden [moeten] eerbiedigen” en „in een democratische samenleving een noodzakelijke en evenredige maatregel” moeten zijn. ( 36 )

69.

Het schijnt mij toe dat het oogmerk om zich te vergewissen van de douanerechtelijke betrouwbaarheid van de bestuurder en de voor douanezaken verantwoordelijke werknemer van een onderneming, met het oog op de toekenning van de status van AEO, beantwoordt aan een doelstelling van algemeen belang van de Unie of van de Duitse staat vanuit monetair, budgettair en fiscaal oogpunt. De controle van de douanerechtelijke betrouwbaarheid van AEO’s komt ten goede aan de heffing van douanerechten, een eigen middel van de Unie, die door de lidstaten worden geïnd en overgedragen aan de begroting van de Unie na aftrek van een percentage voor het administratieve beheer.

70.

Een tekortschietende integriteit van de bestuurder en de voor douanezaken verantwoordelijke werknemer van een onderneming kunnen de douanerechtelijke betrouwbaarheid van die onderneming aantasten, met rechtstreekse gevolgen voor de toekenning van de status van AEO. ( 37 ) Zoals ik reeds heb opgemerkt in mijn conclusie in de zaak Impresa di Costruzioni Ing. E. Mantovani en Guerrato ( 38 ), is het logisch dat het gebrek aan geloofwaardigheid van de onderneming wordt beoordeeld vanuit het perspectief van de strafbare gedragingen van degenen die zijn belast met de leiding ervan.

71.

Deze omstandigheid rechtvaardigt dat de douane de fiscale antecedenten van die bestuurders kan onderzoeken, met inbegrip van die met betrekking tot de inkomstenbelasting. Indien de bestuurder of de voor douanezaken verantwoordelijke werknemer overtredingen heeft begaan in verband met de heffing van deze belasting, of enige andere overtreding, stel ik vast dat de douane daarover informatie dient te verkrijgen.

72.

In diezelfde lijn zijn de verzameling en het gebruik van deze gegevens evenredige middelen om het in artikel 24, lid 1, van de uitvoeringsverordening bedoelde doel te verwezenlijken. ( 39 ) Volgens het Hauptzollamt, zoals naar voren gebracht ter terechtzitting, bestaan er in het Duitse recht geen alternatieve middelen die minder restrictief zijn, daar de federale structuur van de Duitse staat met zich meebrengt dat enkele belastingen, zoals de inkomstenbelasting, worden beheerd door de regionale overheden. Het FIN vormt voor de (federale) douane het meest geschikte middel voor het opvragen en verkrijgen van de fiscale informatie die in het bezit is van de diverse regionale overheden. ( 40 )

73.

Twee laatste preciseringen zijn hier op hun plaats:

74.

Op grond van het voorgaande geef ik het Hof in overweging om het Finanzgericht Düsseldorf (belastingrechter in eerste aanleg Düsseldorf, Duitsland) als volgt te antwoorden: