Zum Hauptinhalt springen

Datenschutz-Notfallkontakt: 0176-62 99 10 16 oder 030 – 51 63 50 30 / Kontaktformular

Datenschutz für Sachverständige und Gutachter – Externer Datenschutzbeauftragter in Berlin

FAQ: 5 wichtige Datenschutzfragen für Sachverständige und Gutachter

1. Bin ich als Sachverständige*r eigener Verantwortlicher, Auftragsverarbeiter oder gemeinsam Verantwortlicher?

Diese Frage ist zentral – und leider selten mit einem einfachen Ja/Nein zu beantworten. In vielen Fällen sind Sie als Sachverständige*r eigener Verantwortlicher im Sinne der DSGVO: Sie entscheiden selbst, wie Sie Gutachten erstellen, welche Daten Sie benötigen und wie Sie diese speichern. Das gilt insbesondere dann, wenn Sie nicht ausschließlich an Weisungen eines Auftraggebers gebunden sind, sondern Ihre Tätigkeit eigenständig organisieren.

In Konstellationen mit Versicherern kann zusätzlich eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO entstehen, etwa wenn Zweck und Mittel der Verarbeitung gemeinsam festgelegt werden (z. B. standardisierte Prozesse, gemeinsame Plattformen, gemeinsame Vorgaben). Eine „bloße“ Auftragsverarbeitung liegt eher selten vor und muss gut begründbar sein – hier werden Sachverständige in der Praxis oft vorschnell in die „Auftragsverarbeiter-Schublade“ gesteckt. Es lohnt sich, diese Rollenverteilung einmal sauber zu prüfen und vertraglich zu klären, weil daran Pflichten, Haftung und Informationspflichten hängen.

2. Welche personenbezogenen Daten darf ich in Gutachten überhaupt verarbeiten – und wo sind die Grenzen?

Als Sachverständige*r verarbeiten Sie personenbezogene Daten nur insoweit, wie sie für Ihren Auftrag erforderlich sind. Dazu gehören typischerweise Identitäts- und Kontaktdaten, Schadensdetails, Fotos, technische Angaben und häufig auch Informationen zur persönlichen Situation der Betroffenen. Problematisch wird es dort, wo Sie mehr erheben als nötig oder sehr sensible Informationen speichern, ohne dass sie für das Gutachten wirklich relevant sind.

Besonders vorsichtig sollten Sie mit Gesundheitsdaten oder anderen sensiblen Angaben (Art. 9 DSGVO) umgehen, z. B. in medizinischen oder unfallanalytischen Gutachten. Hier braucht es eine klare Rechtsgrundlage, ein erkennbarer Zweck und angemessene Sicherheitsmaßnahmen. Die Grundregel lautet: So konkret wie nötig, so sparsam wie möglich – und alles, was Sie dokumentieren, sollten Sie auch begründen können.

3. Wie lange darf ich Gutachten, Fotos und Akten aufbewahren – und ab wann muss ich löschen?

Viele Sachverständige bewahren Gutachten und Rohdaten aus Vorsicht „lieber etwas länger“ auf – aus Angst, sie bei Rückfragen, Nachprüfungen oder Gerichtsverfahren nicht mehr zur Hand zu haben. Die DSGVO verlangt jedoch, dass personenbezogene Daten nur so lange gespeichert werden, wie es für die jeweiligen Zwecke erforderlich ist. Gleichzeitig gibt es in der Praxis Gründe für längere Aufbewahrungen, etwa:

  • Verjährungsfristen bei Haftungsfragen,
  • mögliche Nachfragen von Gerichten, Versicherern oder Parteien,
  • steuerliche und handelsrechtliche Aufbewahrungspflichten.

Ein durchdachtes Lösch- und Aufbewahrungskonzept sorgt dafür, dass Sie nicht auf Verdacht „alles unbegrenzt“ speichern, sondern nachvollziehbare Fristen definieren – z. B. unterschiedliche Fristen für Gutachten, Rohdaten (Fotos, Messdaten), Korrespondenz und rein organisatorische Unterlagen. Wichtig ist, dass diese Fristen dokumentiert und technisch/organisatorisch auch umsetzbar sind. Dann können Sie Löschanfragen fundiert beantworten und zugleich Ihre berufliche Absicherung wahren.

4. Darf ich Gutachten, Fotos und Akten einfach in Cloud-Diensten, auf privaten Geräten oder in KI-Tools verarbeiten?

Die digitale Arbeit erleichtert vieles – bringt aber auch zusätzliche Risiken. Sobald Sie personenbezogene Daten in Cloud-Diensten, auf privaten Laptops/Smartphones oder in freien KI-Tools verarbeiten, geben Sie einen Teil der Kontrolle ab. Für Cloud- und IT-Dienstleister brauchen Sie in aller Regel einen Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO), klare Informationen zu Speicherorten (Stichwort Drittlandübermittlung) und angemessene technische und organisatorische Maßnahmen (z. B. Verschlüsselung, Zugriffsrechte).

Besonders heikel ist das Kopieren von Gutachtentexten, Passagen aus Akten oder Fotos in frei zugängliche KI-Tools, bei denen weder ein AV-Vertrag besteht noch klar ist, wofür Eingaben zukünftig verwendet werden. Hier drohen nicht nur Datenschutzverstöße, sondern ggf. auch Probleme mit Berufsgeheimnissen und Geschäftsgeheimnissen. Eine bewusste Auswahl weniger, geprüfter Tools – und klare Regeln für deren Nutzung – ist meist sinnvoller als ein unkontrollierter Einsatz „irgendeiner KI“.

5. Wie sollte ich mit Auskunfts- und Löschersuchen oder einer möglichen Datenpanne umgehen?

Betroffene – also Geschädigte, Versicherungsnehmer oder andere Beteiligte – haben das Recht zu erfahren, welche Daten Sie über sie gespeichert haben und wofür diese genutzt werden. Sie können zudem unter bestimmten Voraussetzungen Berichtigung oder Löschung verlangen. Für Sie als Sachverständige*n bedeutet das: Es braucht einen klaren Ablauf, wie solche Anfragen erfasst, geprüft und beantwortet werden. Dazu gehört, schnell zu klären, welche Daten in welchen Systemen betroffen sind und ob Aufbewahrungspflichten einer Löschung entgegenstehen.

Kommt es zu einer Datenpanne – z. B. Verlust eines Laptops, Fehlversand von Gutachten oder unbefugter Zugriff – sollten Sie nicht improvisieren, sondern einen definierten Notfallplan haben: interne Meldung, Risikoabwägung, Dokumentation und, falls erforderlich, Meldung an die Aufsichtsbehörde und Information der Betroffenen. Ein externer Datenschutzbeauftragter hilft Ihnen, diese Abläufe vorab festzulegen, damit Sie im Ernstfall nicht bei Null anfangen müssen, sondern besonnen und nachvollziehbar handeln können.

Als Sachverständiger oder Gutachterin arbeiten Sie täglich mit sensiblen personenbezogenen Daten: Schadensakten, Gutachten, Fotos, medizinische Unterlagen, Kontaktdaten von Geschädigten, Versicherungsnehmern und weiteren Beteiligten. Gleichzeitig bewegen Sie sich in einem komplexen Umfeld zwischen Versicherern, Gerichten, Rechtsanwälten und Auftraggebern.

Wir unterstützen Sachverständige und Gutachter in Berlin und Brandenburg als externer Datenschutzbeauftragter dabei, diese Daten nach den Vorgaben der DSGVO und des BDSG rechtssicher zu verarbeiten – mit klaren Strukturen, nachvollziehbarer Dokumentation und einer praxisnahen Umsetzung, die zu Ihrem Arbeitsalltag passt.

Warum Datenschutz für Sachverständige so kritisch ist

Sensible personenbezogene Daten im Gutachtenalltag

In Gutachten und Sachverständigenberichten werden regelmäßig umfangreiche personenbezogene Informationen verarbeitet, z. B.:

  • Namen, Anschriften, Kontaktdaten von Geschädigten, Versicherungsnehmern und Zeugen,
  • Fotos und Videos von Schäden, Wohnungen, Grundstücken oder Fahrzeugen,
  • medizinische Informationen, Gesundheitsdaten oder Informationen zur Erwerbsfähigkeit,
  • finanzielle Daten, z. B. zu Wiederbeschaffungswerten, Nutzungsausfall, Verdienstausfall,
  • interne Notizen, Bewertungen und Einschätzungen.

Viele dieser Daten fallen unter die „normalen“ personenbezogenen Daten (Art. 4 Nr. 1 DSGVO), teilweise aber auch unter besondere Kategorien personenbezogener Daten (Art. 9 DSGVO), z. B. Gesundheitsdaten. Fehler im Umgang mit diesen Informationen können gravierende Folgen haben – für die Betroffenen, aber auch für Ihre eigene Haftung und Reputation.

Zusammenarbeit mit Versicherern und das Thema BIG DATA

Versicherer gehören zu den datenintensiven Branchen. Mit jedem von Ihnen erstellten Gutachten, jeder übermittelten Schadenakte und jedem ergänzenden Bericht wachsen die Datenbestände der Versicherer. Diese Informationen können – neben der eigentlichen Schadensregulierung – auch für Analyse- und Marketingzwecke genutzt werden.

Genau hier greifen die Vorgaben der DSGVO: Personenbezogene Daten dürfen nur für zulässige Zwecke und auf einer belastbaren Rechtsgrundlage verarbeitet werden (Art. 5, 6 DSGVO). Sachverständige, die Daten an Versicherer übermitteln, müssen wissen, in welcher Rolle sie handeln und welche Pflichten sich daraus ergeben. Eine pauschale Berufung auf interne „Code of Conduct“-Regelungen der Versicherungswirtschaft reicht allein nicht aus, um datenschutzrechtliche Anforderungen zu erfüllen.

Zwischen den Stühlen – Ihre Rolle im Datenschutz

Gemeinsame Verantwortlichkeit mit Versicherern (Art. 26 DSGVO)

In vielen Konstellationen legen Sachverständige und Versicherer gemeinsam Zweck und Mittel der Verarbeitung fest – etwa wenn standardisierte Gutachtenprozesse, digitale Plattformen oder gemeinsam definierte Abläufe genutzt werden. In solchen Fällen spricht die DSGVO von gemeinsamer Verantwortlichkeit (Art. 26 DSGVO).

Das bedeutet:

  • Es muss vertraglich transparent geregelt werden, wer welche Pflichten übernimmt (z. B. Informationspflichten, Auskunftserteilung, Löschung).
  • Betroffene Personen können ihre Rechte grundsätzlich gegenüber jedem der gemeinsam Verantwortlichen geltend machen.
  • Beide Seiten müssen nachweisen können, dass die vereinbarten Datenschutzmaßnahmen tatsächlich umgesetzt werden (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO).

Wir unterstützen Sie dabei, diese gemeinsame Verantwortlichkeit zu erkennen, zu bewerten und vertraglich sauber zu gestalten – damit Sie nicht unbewusst in eine Haftungssituation geraten.

Auftragsverarbeitung und Dienstleister (Art. 28 DSGVO)

Neben der Beziehung zu Versicherern setzen viele Sachverständige eigene Dienstleister ein, z. B.:

  • IT-Dienstleister für Büro- und Gutachtensoftware,
  • Hosting-Provider, Cloud-Dienste, E-Mail-Provider,
  • externe Schreibbüros, Scan- oder Archivierungsdienstleister.

Wo diese Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeiten, ist ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO erforderlich. Wir prüfen mit Ihnen, wo tatsächlich Auftragsverarbeitung vorliegt, welche Verträge notwendig sind und ob die technischen und organisatorischen Maßnahmen (TOM) Ihrer Dienstleister dem erforderlichen Schutzniveau entsprechen.

Informations- und Rechenschaftspflichten (Art. 5, 13, 14 DSGVO)

Betroffene Personen – z. B. Geschädigte, Versicherungsnehmer, Zeugen – haben Anspruch darauf zu erfahren,

  • wer für die Verarbeitung ihrer Daten verantwortlich ist,
  • zu welchen Zwecken die Daten verarbeitet werden,
  • welche Rechtsgrundlagen greifen,
  • an wen Daten übermittelt werden,
  • wie lange die Daten gespeichert werden und welche Rechte ihnen zustehen.

Diese Informationspflichten (Art. 13, 14 DSGVO) und die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) gelten auch für Sachverständige. Wir helfen Ihnen, diese Pflichten so zu erfüllen, dass sie juristisch belastbar, aber für Betroffene zugleich verständlich und praktikabel sind.

Unsere Leistungen für Sachverständige und Gutachter

Datenschutz-Grundcheck und Bestandsaufnahme

Zu Beginn analysieren wir gemeinsam mit Ihnen Ihre aktuelle Situation:

  • Wie erfassen Sie Gutachtenaufträge?
  • Über welche Wege erhalten Sie Unterlagen (Post, E-Mail, Portale, Messenger)?
  • Wo und wie speichern Sie Gutachten, Fotos, Messdaten und Korrespondenz?
  • Welche Systeme und Dienstleister sind eingebunden?

Auf dieser Basis erstellen wir eine strukturierte Bestandsaufnahme und eine Risikoanalyse – als Grundlage für alle weiteren Maßnahmen.

Rollenklärung und Vertragsprüfung

Wir prüfen mit Ihnen u. a.:

  • In welchen Konstellationen Sie als eigener Verantwortlicher, als gemeinsamer Verantwortlicher oder als Auftragsverarbeiter tätig sind,
  • welche Vereinbarungen mit Versicherern, Kanzleien oder anderen Auftraggebern datenschutzrechtlich sinnvoll und notwendig sind,
  • wo Auftragsverarbeitungsverträge mit IT-Dienstleistern, Cloud-Anbietern oder Backoffice-Diensten fehlen oder ergänzt werden sollten.

Ziel ist eine klare, schriftlich fixierte Rollen- und Verantwortungsverteilung, die Ihnen Sicherheit gibt.

Aufbau und Pflege Ihrer Datenschutzdokumentation

Ein funktionierendes Datenschutzmanagement umfasst nicht nur einzelne Maßnahmen, sondern auch eine nachvollziehbare Dokumentation. Wir unterstützen Sie u. a. bei:

  • Erstellung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO),
  • Bewertung, ob in bestimmten Konstellationen eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist (Art. 35 DSGVO),
  • Entwicklung von Lösch- und Aufbewahrungsregeln für Gutachten, Rohdaten, Fotos und Korrespondenz,
  • Dokumentation technischer und organisatorischer Maßnahmen (Art. 32 DSGVO).

So sind Sie in der Lage, gegenüber Aufsichtsbehörden und Auftraggebern jederzeit nachvollziehbar darzulegen, wie Sie mit Daten umgehen.

Schulung und Sensibilisierung

Auch in kleineren Sachverständigenbüros ist es wichtig, dass alle Beteiligten – von der Assistenz bis zum Gutachter selbst – die Grundprinzipien des Datenschutzes kennen. Wir bieten praxisnahe Schulungen an, z. B. zu folgenden Themen:

  • sicherer Umgang mit digitalen Akten, Fotos und E-Mails,
  • Transport und Speicherung von Gutachten auf mobilen Geräten,
  • Nutzung von Cloud-Diensten und KI-Tools im Gutachtenumfeld,
  • Verhalten bei Verdacht auf eine Datenpanne (verlorene Unterlagen, Geräte, Fehlversand).

Ziel ist ein Bewusstsein dafür, wo Risiken entstehen und wie sie im Alltag minimiert werden können.

Laufende Betreuung und Notfallunterstützung

Als externer Datenschutzbeauftragter stehen wir Ihnen nicht nur bei der Erststrukturierung, sondern auch laufend zur Seite:

  • fortlaufende Beratung bei neuen Fragestellungen und Projekten,
  • Unterstützung bei Betroffenenanfragen (z. B. Auskunfts- oder Löschersuchen),
  • Begleitung bei Anfragen oder Prüfungen durch die Aufsichtsbehörde,
  • Unterstützung bei der Meldung und Behandlung von Datenschutzvorfällen (Art. 33, 34 DSGVO).

So müssen Sie datenschutzrechtliche Fragen nicht „nebenbei“ lösen, sondern können sie strukturiert an uns delegieren.

Vorteile eines externen Datenschutzbeauftragten für Sachverständige

Ein externer Datenschutzbeauftragter bietet Ihnen als Sachverständiger oder Gutachterin mehrere Vorteile:

  • Spezialisierte Expertise
    Wir verbinden Datenschutz-Know-how mit einem Verständnis für die besonderen Abläufe im Gutachter- und Versicherungsumfeld.

  • Unabhängige Perspektive
    Als externe Instanz sind wir fachlich weisungsfrei und können Risiken offen ansprechen – mit dem Ziel, gemeinsam praktikable Lösungen zu entwickeln.

  • Entlastung im Alltag
    Sie konzentrieren sich auf Ihre Gutachten und Sachfragen, wir kümmern uns um die rechtliche Einordnung, Dokumentation und laufende Anpassung an neue Vorgaben.

  • Stärkung von Vertrauen und Rechtssicherheit
    Ein nachvollziehbares Datenschutzniveau schafft Vertrauen bei Auftraggebern, Gerichten und Betroffenen – und reduziert das Risiko von Bußgeldern und Schadensersatzforderungen.

Zuständige Aufsichtsbehörde in Berlin

Für Sachverständige und Gutachter mit Sitz in Berlin ist in der Regel zuständig:

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Wir unterstützen Sie dabei, Anfragen der Aufsichtsbehörde strukturiert und professionell zu beantworten – im Idealfall auf Basis eines bereits etablierten Datenschutzmanagements.

Noch weitere Fragen?

Wenn Sie als Sachverständiger oder Gutachterin personenbezogene Daten verarbeiten und sicherstellen möchten, dass Ihre Arbeit den Anforderungen der DSGVO und des BDSG entspricht, begleiten wir Sie gerne als externer Datenschutzbeauftragter.

Nutzen Sie die bestehenden Kontaktmöglichkeiten auf unserer Website (Telefon, Kontaktformular, E-Mail), um eine unverbindliche Erstabstimmung zu vereinbaren. Gemeinsam klären wir, welche nächsten Schritte für Ihr Sachverständigenbüro sinnvoll sind – damit Sie datenschutzrechtlich „fest im Sattel“ sitzen.

Noch Fragen?

+49 (0) 30 – 51635030
Phone
info[at]edsb-deutschland.de
Email