+49(0)202 / 9422900 Telefon
26.03.2026

Gutachter, Sachverständige und die DSGVO: Auftragsverarbeiter oder eigene Verantwortliche?

Unternehmen, Versicherungen und Behörden beauftragen regelmäßig externe Gutachter und Sachverständige – etwa medizinische Gutachter, IT‑Forensiker, technische Sachverständige oder psychologische Gutachter. In der Praxis stellt sich dabei häufig die Frage:

Sind Gutachter und Sachverständige nach der DSGVO Auftragsverarbeiter oder eigene Verantwortliche – und welche Folgen hat dies für Datenschutz, Betroffenenrechte und Löschungsansprüche?

Dieser Beitrag erklärt leicht verständlich, wie Gutachter DSGVO‑konform eingeordnet werden, welche Rolle sie im Datenschutz spielen und was das für Löschungsersuchen nach Art. 17 DSGVO bedeutet.

1. Grundbegriffe nach DSGVO: Verantwortlicher und Auftragsverarbeiter

Für die datenschutzrechtliche Einordnung von Gutachtern ist die Unterscheidung zwischen Verantwortlichem und Auftragsverarbeiter zentral:

  • Verantwortlicher (Art. 4 Nr. 7 DSGVO)
    Der Verantwortliche entscheidet, warum (Zweck) und wie (Mittel) personenbezogene Daten verarbeitet werden. Er ist Hauptansprechpartner für Betroffene, trägt das Risiko von Datenschutzverstößen und muss die Vorgaben der Datenschutz‑Grundverordnung (DSGVO) umfassend umsetzen.
  • Auftragsverarbeiter (Art. 4 Nr. 8, Art. 28 DSGVO)
    Ein Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen und nach dessen Weisung. Er verfolgt keine eigenen Zwecke, sondern unterstützt den Verantwortlichen – z.B. als IT‑Dienstleister, Cloud‑Provider oder Hosting‑Anbieter.

Die datenschutzrechtliche Einordnung von Gutachtern und Sachverständigen hängt also davon ab, wer die Zwecke der Datenverarbeitung festlegt und wie groß der eigene Entscheidungsspielraum des Gutachters ist.

2. Wann sind Gutachter Auftragsverarbeiter im Sinne der DSGVO?

Ein Gutachter als Auftragsverarbeiter kommt vor allem in Betracht, wenn:

  • der Gutachter ausschließlich die vorgegebenen Zwecke des Auftraggebers (Unternehmen, Versicherung, Behörde) verfolgt,
  • der Auftraggeber detailliert steuert, welche Daten zu welchem Zweck verarbeitet werden sollen,
  • der Gutachter keine eigenständigen berufsrechtlichen oder gesetzlichen Pflichten zur Dokumentation/Aufbewahrung hat,
  • der Gutachter im Wesentlichen „verlängerter Arm“ des Verantwortlichen ist.

Typische Konstellationen:

  • Ein IT‑Dienstleister erstellt ein technisches Gutachten zur IT‑Sicherheit und verarbeitet personenbezogene Daten ausschließlich, um die IT‑Systeme eines Unternehmens zu prüfen.
  • Ein externer Dienstleister führt standardisierte Prüfungen durch und berichtet ausschließlich intern an das beauftragende Unternehmen.

In diesen Fällen spricht vieles dafür, den Gutachter datenschutzrechtlich als Auftragsverarbeiter nach Art. 28 DSGVO einzuordnen. Für die Praxis bedeutet das:

  • Der Auftraggeber bleibt Verantwortlicher nach Art. 4 Nr. 7 DSGVO.
  • Zwischen Auftraggeber und Gutachter ist ein Auftragsverarbeitungsvertrag (AV‑Vertrag) nach Art. 28 DSGVO abzuschließen.
  • Betroffenenrechte (z.B. Auskunft, Löschung, Berichtigung) werden primär durch den Auftraggeber erfüllt.

3. Wann sind Gutachter eigene Verantwortliche im Sinne der DSGVO?

In vielen Fällen sind Gutachter und Sachverständige jedoch eigene Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Dies gilt insbesondere, wenn sie:

  • eigenständig entscheiden, welche Daten erhoben und verarbeitet werden,
  • eine unabhängige gutachterliche Bewertung vornehmen,
  • eigenen gesetzlichen oder berufsrechtlichen Dokumentations‑ und Aufbewahrungspflichten unterliegen,
  • nicht ausschließlich im Interesse eines einzelnen Auftraggebers handeln dürfen.

Beispiele:

  • Gerichtliche Sachverständige: Sie arbeiten im Auftrag des Gerichts, entscheiden selbst, welche Informationen für das Gutachten erforderlich sind, und erstellen ein unabhängiges Sachverständigengutachten.
  • Medizinische Gutachter für private oder gesetzliche Krankenversicherungen: Sie erheben Gesundheitsdaten, erstellen medizinische Gutachten und unterliegen oft eigenen medizinrechtlichen Dokumentationspflichten.
  • Arbeitsmedizinische Gutachter und psychologische Eignungsdiagnostik: Die Sachverständigen wählen Methoden und Tests eigenständig und fertigen ein fachlich unabhängiges Gutachten.
  • IT‑Forensik‑Dienstleister mit eigenem Untersuchungsdesign: Sie entscheiden, welche Log‑Daten, Systeme und Dokumente auszuwerten sind, um Sicherheitsvorfälle aufzuklären.

Viele Datenschutzaufsichtsbehörden betrachten freie Berufe mit eigener fachlicher Verantwortung – etwa Ärzte, Rechtsanwälte, Steuerberater, Sachverständige – in der Regel als eigenständige Verantwortliche im Datenschutz und gerade nicht als reine Auftragsverarbeiter.

Für Unternehmen, Versicherungen und Behörden ist deshalb wichtig:
Werden solche Gutachter fälschlich als „Auftragsverarbeiter“ behandelt und entsprechende Art.‑28‑Verträge abgeschlossen, kann dies datenschutzrechtliche Risiken und Beanstandungen durch Aufsichtsbehörden nach sich ziehen.

4. Gemeinsame Verantwortlichkeit zwischen Auftraggeber und Gutachter

In einigen Konstellationen legen Auftraggeber und Gutachter gemeinsam fest, zu welchen Zwecken und auf welche Weise personenbezogene Daten verarbeitet werden. In solchen Fällen kann eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegen.

Beispiele:

  • gemeinsame Plattformen von Unternehmen und Sachverständigen,
  • kooperative Forschungsprojekte,
  • standardisierte Gutachten‑Programme mit gemeinsam definierten Prozessen.

Dann gilt:

  • Es muss eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO abgeschlossen werden.
  • Betroffene sind transparent darüber zu informieren, wer wofür verantwortlich ist und an wen sie sich wegen Betroffenenrechten (Auskunft, Löschung, Einschränkung) wenden können.

5. Löschungsansprüche nach Art. 17 DSGVO bei Gutachtern und Sachverständigen

Die Einordnung als Auftragsverarbeiter oder eigener Verantwortlicher wirkt sich unmittelbar auf Löschungsersuchen von betroffenen Personen aus (Art. 17 DSGVO).

5.1. Löschersuchen, wenn der Gutachter Auftragsverarbeiter ist

Wenn der Gutachter Auftragsverarbeiter nach Art. 28 DSGVO ist:

  • Ansprechpartner für das Löschungsersuchen ist in erster Linie der Auftraggeber (z.B. Unternehmen, Versicherung, Behörde) als Verantwortlicher.
  • Der Gutachter darf Daten grundsätzlich nur auf Weisung des Verantwortlichen löschen oder sperren.
  • Der Verantwortliche prüft, ob die Voraussetzungen des Löschungsanspruchs nach Art. 17 Abs. 1 DSGVO erfüllt sind oder Ausnahmen nach Art. 17 Abs. 3 DSGVO greifen (z.B. gesetzliche Aufbewahrungspflichten, Rechtsansprüche).
  • Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen bei der Erfüllung der Betroffenenrechte zu unterstützen.

Praxis: Geht ein Löschungsantrag direkt beim Gutachter ein, sollte dieser den Antrag an den Verantwortlichen weiterleiten und die Betroffene bzw. den Betroffenen entsprechend informieren.

5.2. Löschersuchen, wenn der Gutachter eigener Verantwortlicher ist

Ist der Gutachter eigener Verantwortlicher, muss er Löschungsanfragen selbständig nach Art. 17 DSGVO prüfen:

  1. Voraussetzungen für eine Löschung
    Eine Löschung kann insbesondere in Betracht kommen, wenn:
    • die Daten für den ursprünglichen Gutachtenzweck nicht mehr erforderlich sind,
    • eine Einwilligung widerrufen wurde und keine andere Rechtsgrundlage besteht,
    • die Daten unrechtmäßig verarbeitet wurden.
  2. Typische Gründe gegen eine sofortige Löschung (Art. 17 Abs. 3 DSGVO)
    In der Gutachterpraxis sprechen häufig folgende Gründe gegen eine vollständige sofortige Löschung:
    • Gesetzliche Aufbewahrungspflichten (z.B. nach Steuer‑ und Handelsrecht, berufsrechtliche Vorgaben, medizinische Dokumentationspflichten).
    • Geltendmachung oder Verteidigung von Rechtsansprüchen (Art. 17 Abs. 3 lit. e DSGVO): Gutachter müssen im Streitfall nachweisen können, wie sie zu ihrem Ergebnis gekommen sind.
    • Prozessrechtliche Anforderungen bei gerichtlichen Gutachten.
  3. Datenschutzrechtliche Alternative: Einschränkung der Verarbeitung (Art. 18 DSGVO)
    Wenn eine vollständige Löschung (noch) nicht zulässig ist, bietet sich häufig die Einschränkung der Verarbeitung an:
    • Daten werden intern gesperrt,
    • der Zugriff wird auf wenige Personen begrenzt,
    • Nutzung nur noch für eng definierte Zwecke (z.B. Rechtsverteidigung, Erfüllung von Aufbewahrungspflichten).

Betroffene haben Anspruch auf eine transparente Antwort, warum die Löschung teilweise oder vollständig abgelehnt wird und auf welcher Rechtsgrundlage die weitere Speicherung erfolgt.

6. Datenschutz‑Praxis für Unternehmen, Versicherungen und Behörden

Für Unternehmen, Versicherungen und Behörden ist die richtige datenschutzrechtliche Einordnung von Gutachtern und Sachverständigen strategisch wichtig:

  • Bereits bei der Beauftragung von Gutachtern sollte geklärt werden:
    • Tritt der Gutachter als eigener Verantwortlicher auf, oder
    • handelt er als Auftragsverarbeiter nach Art. 28 DSGVO?
  • Bei eigener Verantwortlichkeit des Gutachters sind insbesondere zu beachten:
    • abgestimmte Datenschutzhinweise für Betroffene,
    • klare Prozesse für den Umgang mit Auskunfts‑ und Löschungsersuchen,
    • ggf. Hinweise darauf, dass Betroffene ihre Rechte auch direkt gegenüber dem Gutachter ausüben können.
  • Bei Auftragsverarbeitung durch den Gutachter ist erforderlich:
    • Abschluss eines AV‑Vertrags nach Art. 28 DSGVO mit klaren Regelungen zu Zugriff, Weisungsrecht, technischen und organisatorischen Maßnahmen (TOM), Datenlöschung und Unterstützung bei Betroffenenrechten.

Eine falsche Einordnung von Gutachtern – etwa die pauschale Behandlung als Auftragsverarbeiter, obwohl sie tatsächlich eigene Verantwortliche sind – kann zu DSGVO‑Verstößen, Bußgeldern und Problemen bei Aufsichtsprüfungen führen.

7. Rechtssichere Einordnung von Gutachtern – unsere Beratung

GoldbergUllrich Rechtsanwälte PartG mbB ist als spezialisierte Kanzlei für IT‑Recht, Datenschutzrecht und Compliance bundesweit und international tätig. Wir unterstützen Unternehmen, Versicherer und Behörden insbesondere bei:

  • der datenschutzrechtlichen Einordnung von Gutachtern und Sachverständigen (Auftragsverarbeiter vs. eigener Verantwortlicher, gemeinsame Verantwortlichkeit),
  • der Gestaltung und Prüfung von Auftragsverarbeitungsverträgen (Art. 28 DSGVO) und Art.‑26‑Vereinbarungen zur gemeinsamen Verantwortlichkeit,
  • der Entwicklung praxistauglicher Datenschutz‑Strategien im Umgang mit medizinischen Gutachten, IT‑Forensik‑Gutachten, technischen Sachverständigengutachten und psychologischen Gutachten,
  • der Erstellung und Optimierung von Datenschutzhinweisen und internen Prozessen für Betroffenenrechte (Auskunft, Löschung, Einschränkung der Verarbeitung),
  • der Begleitung bei Anfragen oder Prüfungen der Datenschutzaufsichtsbehörden im Zusammenhang mit Gutachtern und Sachverständigen.

Wenn Sie klären möchten, wie Ihre Gutachter und Sachverständigen DSGVO‑konform einzuordnen sind und wie Sie rechtssichere Prozesse für Löschungsersuchen nach Art. 17 DSGVO aufsetzen, stehen wir Ihnen gerne zur Verfügung.

Michael Ullrich, LL.M.

Michael Ullrich, LL.M.

Rechtsanwalt, Partner
Fachanwalt für gewerblichen Rechtsschutz
Fachanwalt für Informationstechnologierecht

+49 (0) 202 - 9422900
info@goldberg.de

Letzte Beiträge

Archiv