Am 16.01.2019 verkündete der Europäische Gerichtshof (EuGH) sein Urteil in der Rechtssache C‑496/17 (Deutsche Post). In diesem Vorabentscheidungsverfahren war dem EuGH durch das Finanzgericht (FG) Düsseldorf im August 2017 (Beschluss vom 09.08.2017, Az. 4 K 1404/ 17Z)  eine Frage zur Auslegung der Durchführungsverordnung (EU) 2015/2447 (UZK-DVO) zur Umsetzung der Bestimmungen des Unionszollkodex (UZK) und deren Verhältnis zur Datenschutzgrundverordnung (DSGVO) vorgelegt worden.

Hintergrund der Entscheidung

Seit Inkrafttreten des Unionszollkodex zum 01.06.2016 können ein- oder ausführende Unternehmen den Status eines „zugelassenen Wirtschaftsbeteiligten“ (AEO – Authorised Economic Operator) beantragen, um Vergünstigungen bei sicherheitsrelevanten Zollkontrollen zu erlangen und die Anwendung von Zollvorschriften zu vereinfachen.

Nachdem Unternehmen mit AEO-Status als besonders zuverlässig und vertrauenswürdig gelten, prüfen die Zollbehörden vor Verleihung des Status, ob das Unternehmen die entsprechenden Voraussetzungen erfüllt.

Insbesondere darf der Antragsteller gemäß Art. 39 Unionszollkodex (UZK) keine schwerwiegenden oder wiederholten Verstöße gegen zoll- oder steuerrechtliche Vorschriften sowie keine schweren Straftaten im Rahmen seiner Wirtschaftstätigkeit begangen haben.

Das zuständige Hauptzollamt hatte in dem der Entscheidung zugrundeliegenden Fall zur Ermittlung des Sachverhalts einen umfangreichen Fragenkatalog eingesetzt.

Im Fragenkatalog wurden unter anderem Vorname, Name, Geburtsdatum, Steueridentifikationsnummer und zuständiges Finanzamt von Mitgliedern von Beiräten und Aufsichtsräten, wichtigen Führungskräften, wie beispielsweise von geschäftsführenden Direktoren/innen, Abteilungsleiter/innen, des/r Leiters/in der Buchhaltung sowie des/r Leiters/in der Zollabteilung, aber auch von zollverantwortlichen Mitarbeitern auf Sachbearbeiterebene abgefragt. Zudem stellte die Behörde für den Fall der fehlenden Mitwirkung in Aussicht, die begehrte Bewilligung des AEO-Status zu versagen sowie bereits erteilte Bewilligungen zu widerrufen.

Nachdem Teile des im Unternehmen betroffenen Personenkreises nicht bereit waren, der Übermittlung der sie betreffenden Daten zuzustimmen, sah sich das klagende Unternehmen aus datenschutzrechtlichen Gründen nicht in der Lage entsprechende Auskünfte zu erteilen.

Das mit dem Rechtsstreit befasste FG Düsseldorf hegte im Hinblick auf Art. 8 der Grundrechtecharta sowie auf die Bestimmungen der DSGVO Zweifel an der unionsrechtlichen Zulässigkeit der Datenerhebung durch die Zollbehörde und legte die Sache dem EuGH vor.

Nachdem der Generalanwalt am EuGH sich im Oktober 2018 in seinen Schlussanträgen positioniert hatte, fällte der Gerichtshof nunmehr sein Urteil.

Inhalt der Entscheidung

Zwar hat der EuGH nicht den Rechtsstreit an sich entschieden – dies obliegt weiterhin dem FG Düsseldorf – jedoch ist durch das Urteil nunmehr geklärt, wie Art. 24 der UZK-DVO im Lichte des Datenschutzgrundrechts in Art. 8 der Grundrechtecharta im Hinblick auf die Regelungen der DSGVO unionrechtskonform auszulegen und anzuwenden ist. Der Gerichtshof erteilte einer ausufernden Erhebungspraxis der beklagten Zollbehörde eine klare Absage.

Sofern von einem Unternehmen ein AEO-Status angestrebt wird, dürfen Zollbehörden im Ergebnis nur noch bestimmte Steuerdaten eines sehr eng begrenzten Kreises an betroffenen Funktionsträgern und Angestellten des Unternehmens erheben.

Zu diesem Personenkreis gehören gemäß Art. 24 Abs. 1 Unterabs. 2 der Durchführungsverordnung 2015/2447 alle Personen, die in der Organisation des antragstellenden Unternehmens für dieses verantwortlich sind oder die Kontrolle über seine Leitung ausüben, sowie alle für dessen Zollangelegenheiten in leitender Position zuständigen Personen.

Art. 24 der Verordnung ist nach Auffassung des EuGH hinsichtlich des genannten Personenkreises abschließend. Die Zollbehörden dürfen daher nur von den vorgenannten Personen die Steueridentifikationsnummer und das zuständige Finanzamt erheben.

Mitglieder von Beiräten und Aufsichtsräten einer juristischen Person, Abteilungsleiter/innen, Leiter/innen der Buchhaltung und (untergeordnete, nichtleitende) Zollsachbearbeiter/innen gehören nicht zum erfassten Personenkreis. (vgl. Rn. 43 des Urteils). Deren Daten dürfen daher von Zollbehörden im Rahmen von AEO-Verfahren nicht erhoben werden.

Auswirkung der Entscheidung

Unternehmen müssen und dürfen Steuerdaten von Personen, die nicht von Art. 24 der Durchführungsverordnung erfasst werden, also nicht auf Grundlage von Art. 6 Abs. 1 lit. c) DSGVO an Zollbehörden übermitteln.

Bei der Ermittlung des relevanten Personenkreises ist auch nach der Entscheidung des EuGH weiterhin Vorsicht geboten. In jedem Fall ist Unternehmen vor der Übermittlung zu einer genauen Prüfung zu raten.

Im zugrundeliegenden Verfahren hatte die Behörde nach Auffassung des EuGH in zulässiger Weise neben Vornamen, Name und Geburtsdatum, die Steueridentifikationsnummer und das zuständige Finanzamt abgefragt.

Die künftige Erhebung weiterer personenbezogener Daten durch die Zollbehörden ist durch den Gerichtshof zwar nicht ausgeschlossen worden. Allerdings zeigt der EuGH den Behörden insoweit Grenzen auf:

„Die von den Zollbehörden auf diese Weise erhobenen personenbezogenen Daten sind auch auf das zur Erreichung des Zwecks von Art. 24 Abs. 1 Unterabs. 2 der Durchführungsverordnung 2015/2447 notwendige Maß beschränkt, da sie begrenzten Umfang haben und für sich genommen den Zollbehörden keine sensiblen Informationen über die persönliche Situation – etwa den Familienstand oder die Religionszugehörigkeit – oder die Einkünfte der betroffenen natürlichen Personen verschaffen.“ (Rn. 66 des Urteils).

Fordern die Zollbehörden zur Erlangung des AEO-Status oder im Rahmen der Neubewertung bestehender zollrechtlicher Bewilligungen also neben der Steueridentifikationsnummer und dem zuständigen Finanzamt sensible Daten der betroffenen Personen an, wäre eine Übermittlung unzulässig. Auch insoweit sollten Unternehmen also stets prüfen, ob und welche personenbezogenen Daten sie an die Behörden weitergeben.

Schließlich weist der Gerichtshof ausdrücklich auch daraufhin, dass die betroffenen Personen über die Datenverarbeitung zu informieren sind. Die Informationspflicht trifft dabei zum einen die Zollbehörden bei der Erhebung, zum anderen jedoch ebenso die Unternehmen bei der Übermittlung der abgefragten Steuerdaten.

Der vorliegende Artikel ist ein Folgeartikel zu „Kampf der Giganten – Datenschutz versus Sicherheit“ von Dominik Bleckmann vom 15.01.2018 (https://www.datenschutz-notizen.de/kampf-der-giganten-datenschutz-versus-sicherheit-3919831/)