Rechtsentwicklung vorgegeben. Dies bindet erhebliche Personalkapazitäten auch zu Lasten der Erfüllung anderer Aufgaben meiner Dienststelle. Bereits zum gegenwärtigen Zeitpunkt gibt es eine Vielzahl von gesetzlichen Prüfpflichten. Durch Landes-, Bundes- und EU-Gesetze kommen stetig neue hinzu. Erstmals in seiner Entscheidung zum Antiterrordateigesetz (ATDG) im Jahr 2013 hat das Bundesverfassungsgericht (BVerfG) ausdrücklich eine bestimmte Prüffrequenz für die Datenschutzbeauftragten gefordert (1 BvR 1215/07, BVerfGE 133, 277-377). Das Gericht hatte ausgeführt: „Weil eine Transparenz der Datenverarbeitung und die Ermöglichung individuellen Rechtsschutzes durch das Antiterrordateigesetz nur sehr eingeschränkt sichergestellt werden können, kommt der Gewährleistung einer effektiven aufsichtlichen Kontrolle umso größere Bedeutung zu. Der Verhältnismäßig- keitsgrundsatz stellt deshalb an eine wirksame Ausgestaltung dieser Kontrolle sowohl auf der Ebene des Gesetzes als auch der Verwaltungspraxis gestei- gerte Anforderungen“ (Rdnr. 214). Daraus hat das Gericht dann entsprechende Anforderungen an die Kontrolle durch die Datenschutzbeauftragten formuliert: „Angesichts der Kompensationsfunktion der aufsichtlichen Kontrolle für den schwach ausgestalteten Individualrechtsschutz kommt deren regelmäßiger Durchführung besondere Bedeutung zu und sind solche Kontrollen in ange- messenen Abständen – deren Dauer ein gewisses Höchstmaß, etwa zwei Jahre, nicht überschreiten darf – durchzuführen“ (Rdnr. 217). Als Reaktion auf diese Entscheidung wurde dann Ende 2014 in der Novel- lierung des ATDG die Pflicht zur Prüfung alle zwei Jahre festgeschrieben. § 10 ATDG (1) Die Kontrolle der Durchführung des Datenschutzes obliegt nach § 24 Absatz 1 des Bundesdatenschutzgesetzes dem Bundesbeauftragten für den Datenschutz und die In- formationsfreiheit. Die von den Ländern in die Antiterrordatei eingegebenen Datensätze können auch von den jeweiligen Landesbeauftragten für den Datenschutz im Zusammen- hang mit der Wahrnehmung ihrer Prüfungsaufgaben in den Ländern kontrolliert werden, soweit die Länder nach § 8 Absatz 1 verantwortlich sind. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit arbeitet insoweit mit den Landesbeauftragten für den Datenschutz zusammen. (2) Die in Absatz 1 genannten Stellen sind im Rahmen ihrer jeweiligen Zuständigkeiten ver- pflichtet, mindestens alle zwei Jahre die Durchführung des Datenschutzes zu kontrollieren. Bei dieser Verpflichtung ist es nicht geblieben. Neben weiteren bundesge- setzlichen Regelungen ist nunmehr auch im HSOG eine entsprechende Verpflichtung enthalten. Weitere Verpflichtungen ergeben sich im Kontext von Datenverarbeitungen im Rahmen der Europäischen Union. Die einzelnen Verpflichtungen unterscheiden sich zum Teil in der Frequenz, aber auch in der Anzahl der jeweils zu überprüfenden Stellen. Dabei sind insbesondere 31

Der Hessische Beauftragte für Datenschutz 47. Tätigkeitsbericht zum Datenschutz von der EU derzeit noch weitere Verfahren in Planung, die zusätzliche Ver- pflichtungen schaffen werden. Ein Überblick über den derzeitigen Stand ergibt sich aus der folgenden Tabelle. Nicht vollständig erfasst sind weitere Verpflichtungen, die aufgrund der Zuständigkeitsverteilung innerhalb der Bundesrepublik zwar dem BfDI obliegen, für die aber eine Unterstützung durch die Landesbeauftragten erfolgen muss, weil nur diese berechtigt sind, die Rechtmäßigkeit der zu- grundeliegenden Datenspeicherungen, die durch Landesbehörden in den jeweiligen Dateien erfolgen, zu überprüfen. zu prüfende Gegenstand der Prüfung Rechtsgrundlage                        Prüfturnus Stelle(n) a) Bundesrechtliche Prüfpflichten Antiterrordatei (ATD)       § 10 Abs. 2 ATDG     LKA u. LfV   alle 2 Jahre Rechtsextremismusdatei      § 11 Abs. 2 RED-G    LKA u. LfV   alle 2 Jahre (RED) b) EU-Rechtsinstrumente Schengener Informations-    Art. 44 Abs. 1 VO    LKA          Datenverarbeitungs- system (SIS II) – Verar-    1987/2006/EG                      vorgänge im N.SIS II: beitung der SIS II-Daten    i. V. m.                          alle 4 Jahre (Unter- (einschließlich deren       Art. 60 Abs. 1                    stützung für BKA) Übermittlung und Aus-       Beschluss 2007/533/               im Übrigen (v. a. tausch sowie der Weiter-    JI-Rat                            Datenabrufe und verarbeitung von Zusatz­                                      -weiterverarbeitung): informationen.                                                regelmäßig Visa-Informationssystem     Art. 41 Abs. 1 VO    LKA und PPs  Abfragen der Sicher­ (VIS) – Verarbeitung der    767/2008/EG          ggf. weitere heitsbehörden nach VIS-Daten (einschl. der     i. V. m.             Behörden     VIS-Zugangs­ Übermittlung an das und     Art. 8 Abs. 5 und 6               beschluss alle vom VIS)                    Beschluss 2008/633/               4 Jahre im Übrigen: JI-Rat                            regelmäßig i. V. m. § 4 VISZG (VIS-Zugangs-gesetz) European Dactyloscopy-      Art. 32 Abs. 2, 33   alle ange­   jährlich System (Eurodac) –          Abs. 2 VO            schlossenen Verarbeitung der Eurodac- 603/2013/EU            Behörden Daten (einschl. deren                            (Polizei; Übermittlung an und von                          Ausländer­ Eurodac)                                         ämter) 32

Rechtsentwicklung c) Landesrechtliche Prüfpflichten HSOG                      § 29a             alle Polizeibe- mindestens alle hörden          2 Jahre; gemäß § 28 Abs. 2 protokollierte ver- deckte Maßnahmen sowie Übermittlun- gen im Internatio­ nalen Bereich Neben der Kontrolle, ob die einzelnen Daten in den jeweiligen Datenbanken zu Recht gespeichert sind, kommt zum Beispiel auch eine Prüfung daraufhin in Betracht, ob die Verfahren und Bedingungen für die Abfrage eingehalten wurden. Solche Prüfungen verursachen einen erheblichen Personalaufwand. Eine Kontrolle von Zugriffsrechten umfasst zunächst eine Auswertung vorhandener Protokollierungen. Dafür sind nicht in allen Fällen Tools vorhanden, die eine sinnvolle Auswertung der jeweiligen Protokolldateien erleichtern. So können die im Rahmen der Nutzung der ATD anfallenden Protokolldateien zwar nach vergebenen Parametern ausgewertet werden, Ergebnis ist aber häufig trotzdem eine Darstellung in Form einer pdf-Datei, die mehrere 100 Seiten umfassen kann. Ob die jeweiligen Zugriffe berechtigt waren, kann nur durch eine parallele Einsicht in die zugrundeliegenden Akten/Verwaltungsvorgänge beurteilt werden. Das hat zur Konsequenz, dass selbst bei einer sehr klein gehaltenen Stich- probe eine solche Überprüfung mit allen Vor-und Nachbereitungen mehrere Tage dauert und jeweils mindestens zwei bis drei Mitarbeiter bindet. Dabei sind die Überprüfungen der technischen Gegebenheiten noch nicht mitbe- rücksichtigt. Das BVerfG hat in seiner Entscheidung auch ausdrücklich auf die Rahmen- bedingungen für eine adäquate Kontrolle durch die Datenschutzbeauftragten hingewiesen: „Angesichts der Kompensationsfunktion der aufsichtlichen Kontrolle für den schwach ausgestalteten Individualrechtsschutz kommt deren regelmäßiger Durchführung besondere Bedeutung zu. Dies ist bei ihrer Ausstattung zu berücksichtigen“ (Rdnr. 217). Mit dem derzeitigen Personalkörper können alle diese Verpflichtungen nicht angemessen erfüllt werden. Dies ist auch nicht durch eine andere Schwer- punktbildung erreichbar, da auch die Bearbeitung von Beschwerden und die Erfüllung meiner weiteren Aufgaben gemäß der DS-GVO sowie des § 7 HDSIG nicht zugunsten der Pflichtprüfungen vernachlässigt werden dürfen. 33

34

Datenschutzbericht bis 24.05.2018 3. Datenschutzbericht bis 24.05.2018 (nach HDSG und BDSG) Datenschutzbericht bis 24.05.2018 3.1 Allgemeine Verwaltung, Kommunen, Soziales 3.1.1 Datenübermittlung an Religionsgemeinschaften zur Festsetzung der Ortskirchensteuer Die Kommunen sind nicht berechtigt, die Daten aller Grundsteuer A-Pflichtigen an das Kirchensteueramt zu übermitteln, damit dieses die Ortskirchensteuer für die evangelischen Gemeindemitglieder festsetzen kann. Zwei Kommunen haben sich an meine Dienststelle gewandt und gefragt, ob es zulässig sei, die Daten aller Grundsteuer A-Pflichtigen an das evangeli- sche Kirchensteueramt zu übermitteln. Das Kirchensteueramt setzt anhand der Steuerdaten der Kommunen die Ortskirchensteuer für ihre Gemeinde- mitglieder fest. Grundsätzlich sind die Finanzbehörden gemäß § 31 Abs. 1 Satz 1 Abgaben- ordnung (AO) verpflichtet, Besteuerungsgrundlagen, Steuermessbeträge und Steuerbeträge an Körperschaften des öffentlichen Rechts einschließlich der Religionsgemeinschaften, die Körperschaften des öffentlichen Rechts sind, zur Festsetzung von solchen Abgaben mitzuteilen, die an diese Besteuerungs- grundlagen, Steuermessbeträge oder Steuerbeträge anknüpfen. Allerdings entfällt diese Verpflichtung, wenn die Zusammenstellung der gewünschten Datenbestände einen unverhältnismäßig hohen Aufwand bedeuten würde (§ 31 Abs. 1 Satz 2 AO). Dies kann z. B. dann gegeben sein, wenn die Kom- mune die gewünschten Informationen gar nicht nach Kirchenmitgliedschaft gesondert zur Verfügung hat. § 31 Abs. 1 Satz 1 und 2 AO Die Finanzbehörden sind verpflichtet, Besteuerungsgrundlagen, Steuermessbeträge und Steuerbeträge an Körperschaften des öffentlichen Rechts einschließlich der Religions- gemeinschaften, die Körperschaften des öffentlichen Rechts sind, zur Festsetzung von solchen Abgaben mitzuteilen, die an diese Besteuerungsgrundlagen, Steuermessbeträge oder Steuerbeträge anknüpfen. Die Mitteilungspflicht besteht nicht, soweit deren Erfüllung mit einem unverhältnismäßig hohen Aufwand verbunden wäre. So verhielt es sich bei den anfragenden Kommunen. Beide Kommunen ar- gumentierten, dass sie nicht das nötige Personal hätten, um die Daten der evangelischen Gemeindemitglieder aus den Daten aller Steuerpflichtiger 35

Der Hessische Beauftragte für Datenschutz 47. Tätigkeitsbericht zum Datenschutz herauszusortieren. Dies haben sie dem evangelischen Kirchensteueramt mitgeteilt. Das Kirchensteueramt erwiderte hierauf, dass andere Kommu- nen unter diesen Umständen die Daten aller Grundsteuer A-Pflichtigen dem Kirchensteueramt zur Verfügung gestellt hätten. Dieses habe dann die Auswertung der Datensätze übernommen und die Daten der evangelischen Gemeindemitglieder extrahiert. Bei dieser Vorgehensweise erhält das Kirchensteueramt also auch Steuer- daten von Steuerpflichtigen anderer Konfessionen und Glaubensrichtungen sowie Konfessionslosen. Für diesen Personenkreis ist das Kirchensteueramt aber nicht berechtigt, Steuern festzusetzen. Mit anderen Worten: Die Daten sind für die Aufgabenerfüllung des Kirchensteueramtes nicht erforderlich und ihre Übermittlung ist in keiner Weise von der oben zitierten Rechtsvorschrift gedeckt. Ich habe den Kommunen deshalb mitgeteilt, dass ich die Datenübermittlung der Steuerdaten von allen Grundsteuer A-Pflichtigen an das Kirchensteuer- amt für unzulässig halte. Lediglich die Daten der Steuerpflichtigen, die der evangelischen Kirche angehören, hätten zulässigerweise an das Kirchen- steueramt übermittelt werden dürfen. Eine Rücksprache beim Hessischen Ministerium der Finanzen hat mich in dieser Auffassung bestätigt. Das Ministerium verwies ergänzend auf § 8 des Kirchensteuergesetzes, wonach die Landes- und Gemeindebehörden den Kirchen (Kirchengemeinden) auf Anforderung die für die Besteuerung erforderlichen Daten übermitteln, soweit diese von den Behörden bereits zu anderen Zwecken erhoben werden und soweit die Verwaltung der Kir- chensteuern nicht den Finanzämtern obliegt. 3.1.2 Amtshilfe der Sozialverwaltung auf Ersuchen eines Finanzamtes Die Übermittlung personenbezogener Daten durch eine Sozialbehörde an das Finanzamt kann nicht auf das Amtshilfeprinzip gestützt werden, sondern benötigt eine datenschutzrechtliche Befugnisnorm. Ein Jobcenter bat mich um datenschutzrechtliche Beurteilung im Hinblick auf ein Auskunftsersuchen eines Finanzamtes. Konkret ging es um personenbe- zogene Daten eines Leistungsempfängers des Jobcenters. Gestützt wurde das Ersuchen seitens des Finanzamtes auf § 111 Abs. 1 AO sowie § 3 SGB X. Der vom Finanzamt genannte § 3 SGB X betrifft die „Amtshilfe“ genannte Kooperation von Behörden. 36

Datenschutzbericht bis 24.05.2018 § 3 Abs. 1 SGB X Jede Behörde leistet anderen Behörden auf Ersuchen ergänzende Hilfe (Amtshilfe). Diese im Ersten Kapitel des Zehnten Buches des SGB platzierte Vorschrift wird allerdings durch das im Zweiten Kapitel des Zehnten Buches geregelte Sozialdatenschutzrecht verdrängt, soweit es bei der Ermittlung des Sach- verhaltes um personenbezogene Daten (Sozialdaten) geht. Dies ergibt sich aus § 37 S. 3 SGB I. § 37 Satz 3 SGB I Das Zweite Kapitel des Zehnten Buches geht dessen Erstem Kapitel vor, soweit sich die Ermittlung des Sachverhaltes auf Sozialdaten erstreckt. Dies hat zur Konsequenz, dass insoweit das Sozialdatenschutzrecht vor- rangig in den Blick genommen werden muss. In Bezug auf den konkreten Kontext, also das Ersuchen des Finanzamtes (und die Sicherung des Steuer­ aufkommens), gibt es denn auch eine Vorschrift, die diese Thematik zum Gegenstand hat (§ 71 Abs. 1 Nr. 3 SGB X). § 71 Abs. 1 SGB X Eine Übermittlung von Sozialdaten ist zulässig, soweit sie erforderlich ist für die Erfüllung der gesetzlichen Mitteilungspflichten … 3.   zur Sicherung des Steueraufkommens nach ... § 111 Abs. 1 der Abgabenordnung ..., soweit diese Vorschriften unmittelbar anwendbar sind, … § 111 Abs. 1 AO legt fest, dass alle Behörden die zur Durchführung der Besteuerung erforderliche Amtshilfe zu leisten haben. Diese Vorschrift ist auch im vorliegenden Fall, also dem Ersuchen eines Finanzamtes, unmittelbar anwendbar, so wie von § 71 Abs. 1 Nr. 3 SGB X gefordert. Unmittelbare Anwendbarkeit im Sinne dieser Vorschrift ist nur dann nicht gegeben, wenn nicht die Finanzverwaltung des Landes, sondern Kommunen Steuern erheben (vgl. etwa Rombach in Hauck/Noftz, SGB X, § 71 Rdnr. 6, 35). Dementsprechend habe ich dem Jobcenter mitgeteilt, dass es zwar nicht mit Blick auf die Begründung des Finanzamtes, dennoch aber im Ergebnis daten- schutzrechtlich zulässig ist, dem Ersuchen des Finanzamtes nachzukommen. 37

Der Hessische Beauftragte für Datenschutz 47. Tätigkeitsbericht zum Datenschutz 3.1.3 Nutzung von Freitextfeldern bei e-meld21 ist unzulässig Die Nutzung von Freitextfeldern bei e-meld21 ist unzulässig; vorhandene Inhalte sind zu löschen. Das von der ekom21 angebotene und bei hessischen Einwohnermeldeämtern genutzte Datenverarbeitungsprogramm e-meld21 verfügt über ein Freitext- feld, welches gemeinhin als „Sachbearbeiterinformation“ bezeichnet wird. Dass ein solches Feld bei der Bearbeitung zweifelsfrei hilfreich sein kann, um beispielsweise Bearbeitungsstände oder andere bearbeitungsrelevante Hinweise zu hinterlegen, die damit auch anderen Nutzern zur Kenntnis ge- langen, erscheint nachvollziehbar. Problematisch ist diese Ausgestaltung jedoch vor dem Hintergrund der recht- lichen Bestimmungen im Bundesmeldegesetz und dem Umstand, dass das Freitextfeld, mit oder ohne Inhalte, Teil des melderechtlichen Datensatzes gemäß § 3 BMG ist. Dort sind die möglichen und rechtlich zulässigen Inhalte katalogmäßig und abschließend aufgezählt. Hieraus ergibt sich, dass hier keine weiteren Daten gespeichert werden dürfen, wozu jedoch ein Freitext- feld eine tatsächliche Möglichkeit eröffnet. Die Nutzung des Freitextfeldes ist daher abschließend als unzulässig zu betrachten. Soweit ein Freitextfeld im melderechtlichen Datensatz tatsächlich noch In- halte aufweist, erstreckt sich natürlich auch das Auskunftsrecht gemäß § 10 BMG auf diese Inhalte, d. h., was dort vermerkt ist, ist vorbehaltlos an den Betroffenen zu beauskunften. 3.1.4 Videoüberwachung in Schwalbach am Taunus Nicht die Zahl der Kameras entscheidet über die Zulässigkeit einer Video- überwachungsanlage gemäß § 14 Abs. 3 HSOG. Seit Sommer 2017 wurde die Errichtung einer Videoüberwachungsanlage in Schwalbach am Taunus (Bereich Marktplatz/Zentrum) durch mich beratend begleitet. Die Videoüberwachung sollte eingesetzt werden, da im genannten Be- reich immer wieder ein erhöhtes Kriminalitätsaufkommen zu verzeichnen war. Neben Beschädigungen an Gewerbeobjekten kam es auch zu einem Brandanschlag auf eine Pizzeria und Angriffen auf Polizeibeamte. Die Kri- minalitätsentwicklung konnte anhand polizeilich erhobener Daten aus der 38

Datenschutzbericht bis 24.05.2018 polizeilichen Kriminalstatistik nachvollzogen werden und ließ den Bereich qualitativ und quantitativ als Kriminalitätsschwerpunkt erscheinen. Zunächst wurde dort temporär eine polizeiliche Videoüberwachungsanlage auf dem Dach des Rathauses installiert. Nach dem Willen des Magistrats der Stadt Schwalbach am Taunus und des zuständigen Polizeipräsidiums Westhessen sollte die temporäre Anlage der Polizei durch eine fest instal- lierte Anlage ersetzt werden. Diese sollte nun nicht mehr alleine von der Polizei, sondern auch von dem Ordnungsamt als Gefahrenabwehrbehörde der Stadt Schwalbach am Taunus betrieben werden. Dies war möglich, da die rechtlichen Voraussetzungen gemäß § 14 Abs. 3 des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung (HSOG) für beide Behörden identisch sind. § 14 Abs. 3 HSOG Die Gefahrenabwehr- und die Polizeibehörden können zur Abwehr einer Gefahr oder wenn tatsächliche Anhaltspunkte die Annahme rechtfertigen, dass Straftaten drohen, öffentlich zugängliche Orte mittels Bildübertragung offen beobachten und aufzeichnen. Der Umstand der Überwachung sowie der Name und die Kontaktdaten der oder des Verantwortlichen sind durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen. Fest installierte Anlagen sind alle zwei Jahre daraufhin zu überprüfen, ob die Voraussetzungen für ihren Betrieb weiterhin vorliegen. Abs. 1 Satz 2 und 3 gilt entsprechend. Kritisch gesehen wurde die Ausgestaltung der Überwachungsanlage. In diesem Zusammenhang fand mit meiner Beteiligung im April 2018 eine In- formationsveranstaltung im Rathaus Schwalbach am Taunus statt, bei der interessierte Bürgerinnen und Bürger auch Fragen zu datenschutzrechtlichen Aspekten der Videoüberwachungsanlage stellen konnten. Dabei konnte insbesondere geklärt werden, dass allein die recht hoch anmutende Zahl von 17 Kameras nicht zur Unzulässigkeit der Videoüber- wachung führte. Die Anzahl der eingesetzten Kameras ist an sich nicht von rechtlicher Relevanz und stellt auch keinen Parameter für eine Eingriffstiefe dar. Entscheidend ist vielmehr die Erforderlichkeit der einzelnen Kameras im Hinblick auf den Zweck, einen Kriminalitätsschwerpunkt zu entschärfen. Im vorliegenden Fall war die Anzahl der Kameras der besonderen Bebauung des überwachten Bereichs geschuldet. Es galt zu vermeiden, dass aufgrund der etwas unübersichtlichen Gebäudekonstellation nicht einsehbare Bereiche entstehen. Auch Betrieb und Zugriffsberechtigungen konnten geklärt werden. Die nun fest installierte Anlage wird von der Polizei und dem Ordnungsamt der Stadt betrieben. Beide Behörden haben Zugriff auf die Videosequenzen. Vor der endgültigen Inbetriebnahme habe ich sämtliche Kameraeinstellungen überprüft und – soweit erforderlich – Anpassungen herbeigeführt. Durch 39

Der Hessische Beauftragte für Datenschutz 47. Tätigkeitsbericht zum Datenschutz Einsatz entsprechender Verpixelungstechniken konnte ich erreichen, dass Kameras auch bei Schwenkungen und Fokussierungen keine Daten aus sog. Privatschutzzonen erheben. Ein Hineinspähen in Privatwohnungen, auf Balkone, in Gastronomiebereiche und Ladenlokale wird damit technisch verhindert. Die erhobenen Daten (Videoaufnahmen) dürfen für zehn Tage gespeichert werden und können, falls erforderlich, als Beweismittel in Er- mittlungsverfahren herangezogen werden. 3.2 Schulen, Hochschulen 3.2.1 Ohne Führungszeugnis und Gesundheitsauskunft zum Schulbesuch Die Forderung nach Vorlage eines polizeilichen Führungszeugnisses und/ oder Auskünften zum Gesundheitszustand eines Bewerbers ist im Rahmen des Aufnahmeverfahrens einer Schule datenschutzrechtlich unzulässig. Durch den Hinweis eines Betroffenen bin ich darauf aufmerksam geworden, dass staatliche Schulen der Erwachsenenbildung im Rahmen des Aufnah- meverfahrens von Schülerinnen und Schülern ein polizeiliches Führungs- zeugnis anfordern. Ein Schüler hatte ein Aufnahmeverfahren durchlaufen und sollte als Unterlagen u. a. ein polizeiliches Führungszeugnis vorlegen. Auch wurden in dem Aufnahmebogen Fragen zum gesundheitlichen Zustand des angehenden Schülers gestellt. Der Betroffene erachtete das Verfahren als unverhältnismäßig und dem Zweck nicht angemessen. Die betroffenen Schulleitungen leiteten die Rechtmäßigkeit ihres Handelns aus einem Erlass als Anlage der Verordnung zur Ausgestaltung der Schulen für Erwachsene (SfEAusgV) ab. Darin heißt es: „Einer Bewerbung um Aufnahme an eine Schule für Erwachsene sind fol- gende Unterlagen beizufügen: 1. Geburtsurkunde, ersatzweise eine Kopie der Personaldokumente; ein polizeiliches Führungszeugnis kann verlangt werden; 2. […]“. Die Vorgabe in dem bezeichneten Erlass halte ich für datenschutzrechtlich unzulässig, weil nicht erforderlich. Ich habe mich deshalb schriftlich unmittel- bar an den Erlassgeber, das Hessische Kultusministerium (HKM), gewandt. In meinem Schreiben habe ich festgestellt, dass weder das Hessische Schulgesetz noch die Verordnung zur Verarbeitung personenbezogener Daten an Schulen eine Norm enthalten, die im Zusammenhang mit einem Aufnahmeverfahren für eine wie auch immer geartete Schulform die Vorla- ge einer Auskunft aus dem Bundeszentralregister erfordert oder vorsieht. 40