Audit: Mindestanforderungen an die Qualität von Sachverständigengutachten im Kindschaftsrecht (3.Auflage)

Achtung! Diesen Text stellen wir in einfacher Sprache zur Verfügung. Klicken Sie dafür hier.

Nicht die Mindestanforderungen an eine sogenannte „Qualität, sondern die rechtlichen Voraussetzungen der Rechtmäßigkeit eines familienpsychologischen Gutachtens im Familienrecht und aller darin verarbeiteten personenbezogenen Daten beginnt immer mit dem eröffneten Anwendungsbereich der DS-GVO. Dieser ist unstrittig eröffnet. Denn in jedem Gutachten werden personenbezogene Daten verarbeitet.

Sodann folgt die datenschutzrechtliche Stellung (Rechtsstellung) von sogenannten “Akteuren“ in gerichtlichen Verfahren. Also der Frage, ob diese gemäß Art. 4 Nr. 7 als „Verantwortliche“, „gemeinsam Verantwortliche“ oder gemäß Art. 4 Nr. 8 DS-GVO „Auftragsverarbeiter“ zu qualifizieren sind. 

Die Rechtsstellung ist von fundamentaler Bedeutung für alle Rechtsbeziehungen, also Rechten und Pflichten die heute oftmals hinter den Begriffen “Rollen“ und “Akteuren“ zu verstecken versucht wird.

Die korrekte Bestimmung der objektiven Rechtsstellung ist entscheidend für die gesamte Rechtmäßigkeit, insbesondere:

• die Identifizierung der Rechtsgrundlage für die Verarbeitung personenbez. Daten,
• die Zuweisung konkreter Rechte und Pflichten im Rahmen der Compliance,
• die Wahrnehmung und den Schutz der Rechte der betroffenen Personen,
• die Abgrenzung potenzieller Haftungsrisiken und
• die Ermittlung eines möglichen Haftungsübergangs (Art. 28 Abs. 10 DS-GVO)
• zur Abgrenzung der Strafbarkeit i.S.d. § 203, 353d StGB, § 42 (2) BDSG usw.

Wer bei der Abgrenzung der originären Rechtsstellung dogmatische Fehler macht, zieht in jedem einzelnen Fall unzutreffende Schlüsse, bis hin zur vermeintlichen Rechtsgrundlage usw., das führt in die Haftung.

Daher konzentrieren wir uns nun auf die entscheidende Randnummer 89 im Anhang VII auf Seite 34, dort heißt die These, Zitat:

4. Verantwortlichkeit

Nach Art. 4 Nr. 7 DSGVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Eigenständige Verantwortliche sind damit nicht nur das Gericht, sondern auch Sachverständige, da sie im Rahmen der Gutachtenerstattung selbstständig über die Art und Weise und den Umfang der für die Begutachtung erforderlichen Daten im Rahmen des Beweisbeschlusses entscheiden. 

Quelle: Mindestanforderungen an die Qualität von Sachverständigengutachten im Kindschaftsrecht (3.Auflage) Anhang VII, Randnummer 89, Seite 34

Zu beachten ist hier Satz 2 mit der die Rechtsstellung des Sachverständigen als mutmaßlicher Verantwortlicher und eine nicht näher differenzierte „gemeinsame Verantwortlichkeit“ behauptet wird.

An dieser einen Behauptung hängt die Richtigkeit aller in Bezug auf den Datenschutz relevanten Darstellungen, weshalb unser Obersatz damit lautet:

I. Fraglich ist, ob der vom Gericht beauftragte Sachverständige ein Verantwortlicher / gemeinsamer Verantwortlicher i.S.d. Art. 4 Nr. 7 DS-GVO oder Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DS-GVO ist.

Um diese Frage zu beantworten, müssen zunächst die Anforderungen und Besonderheiten bei der Auslegung der Unionsbegriffe berücksichtigt werden. Anders als Deutsche Gesetze enthalten EU-Verordnungen wg. der Vorhersehbarkeit und Bestimmtheit eine Legaldefinition, die den Rahmen der Auslegung vorgibt. Hier also Art. 4 Nr. 7, Nr. 8 DS-GVO.

Nr. 7 „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

Nr. 8 „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

https://dsgvo-gesetz.de/art-4-dsgvo/

Für die Auslegung der zentralen Begriffe und die Schaffung einer kohärenten Anwendungspraxis im Europäischen Wirtschaftsraum (EWR) sind darüberhinaus die Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS-GVO (Version 2.0, angenommen am 7. Juli 2021) des Europäischen Datenschutzausschusses (EDSA) (kurz: Leitlinie 07/2020), die Urteile des EuGH, die Erwägungsgründe der DS-GVO und die Normentexte der ZPO und des FamFG von maßgeblicher Bedeutung. 

Der EDSA, als Gremium der nationalen Datenschutzaufsichtsbehörden der EU und des EWR, wurde gemäß Artikel 68 DS-GVO eingerichtet, um eine einheitliche (kohärente) Anwendung der DS-GVO zu fördern. Die Leitlinie 07/2020 wurden nach öffentlicher Konsultation angenommen und dienen der verbindlichen Klärung der Begriffe „Verantwortlicher“, „gemeinsam Verantwortlicher“ und „Auftragsverarbeiter“, indem sie funktionelle Konzepte zur Zuweisung von Verantwortlichkeiten entsprechend den tatsächlichen Rechtsstellungen der Parteien darlegen. Hieran orientiert sich auch der EuGH.

1. Maßstäbe

a) Der Verantwortliche:

Entscheidung über Zwecke und Mittel: Dies sind die entscheidenden Kriterien. Für den Juristen sind dies zwei Tatbestandsmerkmale, die mit einem „und“ an einander gebunden sind. Also keine Option, wie bei einem „oder“.

Der Verantwortliche bestimmt das „Warum“ (Zweck) und das „Wie“ (Mittel) der Verarbeitung. (Leitlinie 07/2020, Seite 16, Abs. 35)

Zweck: Das „erwartete Ergebnis“ oder das „Ziel, das erreicht werden soll“. (Leitlinie 07/2020, Seite 16, Abs. 35)

Mittel: Die „Art der Verarbeitung“ (die eingesetzten Vorgänge), die „Art der personenbezogenen Daten“ (welche Datenkategorien), die „Kategorien betroffener Personen“, die „Dauer der Verarbeitung“ (Leitlinie 07/2020, Seite 41, Ziffern 114, 115). 

Diese werden in der Leitlinie 07/2020 als „wesentliche Mittel“ bezeichnet und sind dem Verantwortlichen vorbehalten. Hingegen können „nicht wesentliche Mittel“ (wie Wahl einer konkreten Software) vom Auftragsverarbeiter entschieden werden. (Leitlinie 07/2020, Seite 17, Abs. 39)

Rechenschaftspflicht: Der Verantwortliche ist für die Einhaltung der DS-GVO verantwortlich und muss dies nachweisen können (Art. 5 Abs. 2, Art. 24 DS-GVO).

b) Gemeinsam Verantwortliche (Art. 4 Nr. 7 DS-GVO, Art. 26 DS-GVO)

Gemeinsam Verantwortliche sind solche Stellen, die „gemeinsam die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten festlegen“.

Gemeinsame Bestimmung von Zwecken und Mitteln: Entscheidend ist, dass mehrere Akteure beide Kriterien – Zwecke und Mittel – gemeinsam bestimmen. Dies kann durch eine gemeinsame Entscheidung oder durch „konvergierende Entscheidungen“ erfolgen, die einander ergänzen und für die Verarbeitung unerlässlich sind. (Leitlinie 07/2020, Seite 3, Abs. 3; Seite 22, Abs. 54)

Faktischer Einfluss: Die Zuordnung erfolgt nach dem „faktischen Einfluss“, nicht nach formalen Kriterien. (Leitlinie 07/2020, Seite 10, Abs. 13).

Untrennbarkeit der Verarbeitungen: Eine wichtige Konvergenz liegt vor, wenn die Verarbeitungen der beteiligten Parteien „untrennbar“ miteinander verbunden sind. (Leitlinie 07/2020, Seite 3, Abs. 3)

c) Der Auftragsverarbeiter (Art. 4 Nr. 8 DS-GVO)

„Ein Auftragsverarbeiter ist eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.

Verarbeitung im Auftrag: Der Auftragsverarbeiter handelt nicht für eigene Zwecke, sondern ausschließlich nach den dokumentierten Weisungen des Verantwortlichen. (Leitlinie 07/2020, Seite 4, Abs. 2; Seite 30, Abs. 80, 81; Seite 42, Abs. 117).

Keine Bestimmung von Zwecken: Der Auftragsverarbeiter darf die Zwecke der Verarbeitung nicht selbst bestimmen. (Leitlinie 07/2020, Seite 16, Abs. 36)

Begrenzter Spielraum bei Mitteln: Er hat lediglich einen Spielraum bei „nicht wesentlichen Mitteln“ der Verarbeitung. (Leitlinie 07/2020, Seite 17, Abs. 39)

Abgrenzung: Der Auftragsverarbeiter muss eine vom Verantwortlichen „getrennte Stelle“ sein. (Leitlinie 07/2020, Seite 30, Abs. 76)

2. Das Gericht

Das Gericht in seiner übergeordneten, hoheitlichen Stellung im Verfahren und seiner umfassenden Entscheidungsbefugnis über die Zwecke und die wesentlichen Mittel der Datenverarbeitung, nimmt im zivilgerichtlichen Familienverfahren die Rolle des Verantwortlichen gemäß Art. 4 Nr. 7 DS-GVO ein.

a) Bestimmung des Zwecks der Datenverarbeitung durch das Gericht

Der übergeordnete Zweck der Datenverarbeitung im zivilgerichtlichen Familienverfahren ist die rechtskräftige Klärung der familienrechtlichen Angelegenheit und die Herbeiführung einer fundierten richterlichen Entscheidung. Wenn hierzu ein Sachverständiger hinzugezogen wird, ist der spezifische Zweck der Datenverarbeitung durch diesen Sachverständigen die Beantwortung der gerichtlichen Beweisfragen, um die Entscheidungsfindung des Gerichts zu unterstützen.

Die Festlegung dieses Zwecks (Beweisfragen) obliegt allein dem Gericht. Der Sachverständige übernimmt diesen Zweck; er definiert oder bestimmt ihn nicht selbstständig, noch eigenmächtig. Dies korrespondiert mit der Definition des Zwecks in den Leitlinie 07/2020 (Seite 16, Abs. 35) als das „Warum“ oder das „Ziel, das erreicht werden soll“ und liegt primär in der Hoheit des Gerichts.

b) Festlegung der wesentlichen Mittel der Datenverarbeitung durch das Gericht

Das Gericht bestimmt die wesentlichen Mittel der Datenverarbeitung durch den Sachverständigen im Rahmen des Beweisbeschlusses.

Art der verarbeiteten Daten (Kategorien): Das Gericht legt im Beweisbeschluss fest, welche Anknüpfungstatsachen durch das Gutachten geklärt werden sollen (§ 359 Abs. 1 Nr. 1 ZPO). Damit muss es auch vorgeben, welche Kategorien von Daten (z.B. psychologische, medizinische, soziale) für die Gutachtenerstellung herangezogen werden sollen. Die Pflicht und die Befugnis des Gerichts, dem Sachverständigen Anknüpfungstatsachen vorzugeben (§ 404a Abs. 3 ZPO) unterliegt dem Richtervorbehalt und unterstreicht diese Steuerungsbefugnis über jedes als beweiserheblich einzustufendes Datum.

Kategorien betroffener Personen: Der Kreis der zu begutachtenden Personen (Parteien, Kinder) wird durch die Streitigkeit im Familienverfahren und den Beweisbeschluss des Gerichts klar bestimmt.

Empfänger der Gutachten und Daten: Die Empfänger der durch den Sachverständigen erhobenen und verarbeiteten Daten sind primär das Gericht selbst. Die Parteien des Verfahrens und deren Prozessbevollmächtigte erhalten das Gutachten vom Gericht. Der Kreis der berechtigten Empfänger ist durch die ZPO klar geregelt (§ 407a Abs. 5 ZPO zur Herausgabepflicht, § 299 ZPO zur Akteneinsicht, zur Weitergabe des Gutachtens an Dritte gilt § 13 FamFG). Der Sachverständige hat hier keinen eigenständigen Bestimmungsspielraum, noch Herrschaft über die Daten.

Dauer der Verarbeitung und Aufbewahrung: Die Dauer der Verarbeitung bei der Gutachtenerstellung wird vom Verantwortlichen (dem Gericht) im Beweisbeschluss festgelegt. Diese Dauer ist bindend als befugter Zeitraum. Die ZPO gibt vor, dass das Gericht dem Sachverständigen eine Frist zur Übermittlung des Gutachtens setzen kann (§ 411 Abs. 1 ZPO). Die Aufbewahrungspflichten für die Daten richten sich ebenfalls nach den gerichtlichen Verfahrensvorschriften und nicht nach eigenem Ermessen des Sachverständigen. Dies spiegelt sich in Art. 28 (3) lit. g) DS-GVO wieder, der vorschreibt, dass der Auftragsverarbeiter die Daten löscht oder zurückgibt. Folglich kann der Sachverständige auch nach dem Ende des Auftrags keine Herrschaft über die Daten erhalten. Diese sind ihm im Auftrag nur für die festgelegte Zweit anvertraut. Die Pflicht diese Daten zurückzugeben oder zu löschen können bei einem Sachverständigen denklogisch keine Aufbewahrungsfristen auslösen.

3. Die datenschutzrechtliche Stellung des Sachverständigen

a) Weisungsgebundenheit: 

Der Sachverständige verarbeitet personenbezogene Daten im Auftrag und unter der dokumentierten Weisung des Gerichts. Das Gericht leitet die Tätigkeit des Sachverständigen und kann bzw. hat ihm Weisungen für Art und Umfang seiner Tätigkeit erteilen (§ 404a Abs. 1 ZPO). Es kann auch den Sachverständigen hören oder einweisen (§ 404a Abs. 2 ZPO). In dem Auftrag, legt das Gericht konkrete Anknüpfungstatsachen und die zu beantwortenden Beweisfragen – als obersten Zweck – fest, die klar formuliert sein müssen (§ 359 ZPO). Die Beauftragung des Sachverständigen erfolgt durch das Gericht mittels Beweisbeschluss (§ 404 ZPO. Der Beweisbeschluss ist damit das normative Rechtsinstrument i.S.d. Art. 28 (3) DS-GVO.

b) Keine eigenen Zwecke: 

Der Sachverständige führt die Datenverarbeitung nicht für eigene, sondern ausschließlich für die vom Gericht festgelegten Zwecke (Beantwortung der Beweisfragen zur richterlichen Entscheidungsfindung) durch. Er bietet seine Fachkenntnisse an, um dem Gericht bei dessen Aufgabe zu helfen. Eigene Rechte erhält er hierdurch nicht.

c) Eingeschränkter Spielraum bei Mitteln: 

Zwar verfügt der Sachverständige über eine hohe Fachautonomie bei der Wahl der “konkreten Methodik“ zur Erstellung des Gutachtens (z.B. Auswahl spezifischer psychologischer Testverfahren, Interviewführung). Diese betreffen jedoch die „nicht wesentlichen Mittel“ der Verarbeitung im Sinne der Leitlinie 07/2020 (Seite 17, Abs. 39), die ein Auftragsverarbeiter selbst bestimmen kann, solange er die Weisungen des Verantwortlichen (Gericht) nicht überschreitet. Die grundlegenden Entscheidungen über “welche Datenkategorien“, “aus welchen Quellen“, “wessen Daten“, “wie und bei wem diese erhoben werden“, an “wen“ das Gutachten geht und “wie lange“ die Daten im Kontext der Begutachtung verarbeitet werden, trifft allein das Gericht.

d) Herausgabe- und Vernichtungspflicht: 

Die gesetzlich verankerte Herausgabepflicht der Unterlagen an das Gericht ergibt sich aus § 407a Abs. 5 ZPO) und die Verpflichtung zur Löschung nach Abschluss der Erbringung der Verarbeitungsleistungen gemäß Art. 28 Abs. 3 lit. g DS-GVO (Leitlinie 07/2020, Seite 47, Abs. 140). Diese gesetzlichen Regelungen bestätigen, dass der Sachverständige zu keinem Zeitpunkt die Herrschaft über die Daten erhält, behält und somit keine eigenständige Verantwortlichkeit in Bezug auf die Daten innehat.

4. Gemeinsamen oder getrennte Verantwortlichkeit

a) Keine komplementäre Zweckbestimmung: 

Eine Verantwortlichkeit des Sachverständigen würde voraussetzen, dass dieser die Zwecke und wesentlichen Mittel der Datenverarbeitung entweder gemeinsam mit dem Gericht oder autonom neben diesem festlegt. Ein bloßes Mitspracherecht bei der Ausformulierung der Beweisfragen oder die Einbringung fachlicher Expertise begründet jedoch keine Entscheidungsmacht im Sinne der Leitlinie. Der Sachverständige verfolgt keinen eigenen, vom Verfahren losgelösten Verarbeitungszweck; er operiert ausschließlich innerhalb des vom Gericht gesetzten Rahmens zur Unterstützung der richterlichen Entscheidungsfindung.

b) Hierarchie statt Autonomie: 

Die ZPO-Vorschriften (§ 404a Abs. 1–3 ZPO) statuieren eine strikte Leitungsmacht des Gerichts. Diese prozessuale Weisungsgebundenheit ist unvereinbar mit der Stellung eines eigenständig Verantwortlichen. Die fachliche Freiheit bei der Wahl der konkreten Methode (z.B. die Auswahl eines psychologischen Tests) darf nicht mit der Bestimmung der „wesentlichen Mittel“ verwechselt werden. Letztere – insbesondere die Entscheidung darüber, welche Personen exploriert, bei welchen Personen Daten erhoben werden und welcheDatenkategorien aus der Akte verwertet werden dürfen – verbleiben in der absoluten Datensouveränität des Gerichts.

c) Ablehnung der Theorie der „funktionalen Trennung“: 

Soweit in der Literatur (vgl. Erkelenz/Leopold, NZS 2019, 926) eine separate Verantwortlichkeit für den „sachverständigen Fachbereich“ postuliert wird, verkennt dies die binäre Logik der DS-GVO. Gleiches gilt für eine eigene Verantwortlichkeit des Sachverständigen, wie die hier geprüfte „Broschüre“. 

II. Fazit:

Eine Verantwortlichkeit – auch die aufgespaltete – würde voraussetzen, dass der Sachverständige die Herrschaft über den Verarbeitungsprozess und über die Zwecke übernimmt. Eine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DS-GVO oder eine getrennte (parallele) Verantwortlichkeit ist im Kontext der gerichtlichen Begutachtung denklogisch auszuschließen. Da der Sachverständiger jedoch niemals ein Beweisbeschluss als Rechtsinstrument erlässt (sich selbst beauftragt) und niemals die Beweisfragen als Zweck der Verarbeitung festlegt ist jede Form der Verantwortlichkeit vollständig ausgeschlossen. Auch deswegen, weil der SV gem. § 407a Abs. 5 ZPO zur vollständigen Herausgabe und gem. Art. 28 Abs. 3 lit. g DS-GVO zur Löschung verpflichtet ist. Damit fehlt es abschließend an jeder objektiven Möglichkeit, um die notwendige Verfügungsgewalt über die Daten oder die Zwecke der Verarbeitung zu erhalten. Der gerichtlich bestellte Sachverständige im zivilgerichtlichen Familienverfahren ist folglich unzweifelhaft als Auftragsverarbeiter gemäß Art. 4 Nr. 8 DS-GVO zu qualifizieren.

III. Folgen

Damit beruhen sämtliche Ausführungen in den sogenannten „Mindestanforderungen an die Qualität von Sachverständigengutachten im Kindschaftsrecht (3.Auflage)“ zur Rechtsgrundlage, zu Rechten und Pflichten auf der falschen Annahme über das Vorliegen einer Verantwortlichkeit.

Denn Art. 6 (1) lit. c) DS-GVO stellt in seinem Tatbestand allein auf die Pflicht des Verantwortlichen ab, der ein Sachverständiger offenkundig nicht ist. Artikel 9 (2) lit f DS-GVO (Alternative 1) scheidet schon deswegen aus, weil ein Sachverständiger im Verfahren der Eltern keine eigenen Rechte geltend machen kann und in Alternative 2. des Art. 9 (2) lit. f) DS-GVO durch den Auftrag nicht zum Teil der Justizverwaltung wird.

Auch die Vermutungen über die Beschränkungen von Pflichten und Betroffenenrechten findet damit keine Grundlage. Denn dies liegt niemals in der Hand des Sachverständigen, als Auftragsverarbeiter, sondern immer in der des Verantwortlichen, eine transparent und rechtmäßige Erstellung des Gutachtens sicherzustellen und zu gewährleisten. Wäre da nicht der Pflichtverstoß, bzw. die Pflichtverstöße, die sich aus Art. 28 Absatz 1 und Abs. 3 DS-GVO ergeben.

Die strafrechtliche Konsequenz für die Praxis

Durch die falsche Etikettierung als „Verantwortlicher“ wird die Haftungskette verschleiert und die in Kapitel III zu gewährleistenden Rechte und die Pflichten des Kapitel II verletzt. Tatsächlich liegt die Pflicht zur Gewährleistung einer rechtmäßigen Begutachtung allein beim Gericht (Verantwortlicher). Werden Daten dennoch weisungswidrig oder ohne Rechtsgrundlage bzw. nach der Rechtsprechung des BVerfG ohne ausdrückliche Einwilligung verarbeitet, greift nicht nur die zivilrechtliche Haftung, sondern auch der Tatbestand unbefugter Offenlegung sensibler Daten.

Die Broschüre „Mindestanforderungen an die Qualität von Sachverständigengutachten im Kindschaftsrecht (3.Auflage)“ erregt gegenüber Rechtsanwendern und Rechtssuchenden den Irrtum über die Voraussetzungen zur Rechtmäßigkeit. Wird den Ausführungen von Rechtsanwendern im Zuge von Eingriffen im Zusammenhang mit der Verarbeitung personenbezogener Daten gefolgt, wird dies zwangsläufig in die Tatbestandsmerkmale der Strafbestimmungen des § 42 (2) Nr. 1 und Nr. 2 BDSG führen, da die Verarbeitung unberechtigt ist.

Was diese Kommentatoren verkennen – oder: Warum der Sachverständige kein Verantwortlicher ist

Die Diskussion um die datenschutzrechtliche Stellung des gerichtlich bestellten Sachverständigen leidet oft unter einer grundlegenden Verkennung der unionsrechtlichen Systematik. Wer ihn als „Verantwortlichen“ (Art. 4 Nr. 7 DS-GVO) oder auch nur als „gemeinsam Verantwortlichen“ (Art. 26 DS-GVO) einstuft, übersieht Wesentliches:

1. Die Zweckbestimmung liegt allein beim Gericht

Der Verantwortliche ist, wer über die Zwecke und die wesentlichen Mittel der Verarbeitung entscheidet. Der Zweck der Datenverarbeitung durch den Sachverständigen ist die Beantwortung der vom Gericht formulierten Beweisfragen, um die richterliche Entscheidung vorzubereiten. Diesen Zweck definiert der Sachverständige weder mit noch setzt er ihn eigenständig fest. Er übernimmt ihn als fremden Zweck. Das allein schließt eine eigene Verantwortlichkeit aus.

2. Die wesentlichen Mittel werden vom Gericht vorgegeben

Das Gericht legt durch den Beweisbeschluss fest:

• welche Kategorien von Daten (Anknüpfungstatsachen) in den Blick zu nehmen sind,
• welche Personen betroffen sind,
• wer Empfänger des Gutachtens ist,
• wie lange die Verarbeitung dauern darf.

Diese Entscheidungen über die wesentlichen Mittel der Verarbeitung verbleiben beim Gericht. Die fachliche Freiheit des Sachverständigen bei der Wahl konkreter Untersuchungsmethoden betrifft nur nicht wesentliche Mittel – ein Spielraum, den auch jeder andere Auftragsverarbeiter (etwa ein IT-Dienstleister) hat.

3. Die „funktionale Trennung“ ist unionsrechtlich fremd

Einige Stimmen in der Literatur konstruieren eine „funktionale Trennung“: Das Gericht sei verantwortlich für die Rahmensetzung, der Sachverständige für die fachliche Umsetzung. Die DS-GVO kennt eine solche Aufspaltung nicht. Sie unterscheidet nur zwischen Verantwortlichem, gemeinsam Verantwortlichem und Auftragsverarbeiter. Wer die Zwecke nicht bestimmt, kann nicht Verantwortlicher sein – egal wie groß seine Fachautonomie ist.

4. Der Sachverständige handelt nicht „für eigene Zwecke“

Ein Auftragsverarbeiter ist dadurch gekennzeichnet, dass er die Daten im Auftrag eines anderen verarbeitet. Genau das tut der gerichtlich bestellte Sachverständige: Er erstellt ein Gutachten, um das Gericht bei dessen eigener Aufgabe zu unterstützen. Er verfolgt keine eigenen Interessen an den Daten, er verwendet sie nicht für eigene Geschäftszwecke, er gibt sie nicht an Dritte weiter. Er ist – auch das ein klarer Indikator – zur vollständigen Herausgabe der Unterlagen an das Gericht verpflichtet (§ 407a Abs. 5 ZPO) und muss die Daten nach Abschluss des Auftrags löschen oder zurückgeben (Art. 28 Abs. 3 lit. g DS-GVO). Das ist die Rolle des Auftragsverarbeiters, nicht die eines Verantwortlichen.

5. Die vermeintliche „Unabhängigkeit“ ändert nichts an der Weisungsgebundenheit

Dass der Sachverständige unparteiisch und nach bestem Wissen handeln muss, steht der Einordnung als Auftragsverarbeiter nicht entgegen. Auch ein Auftragsverarbeiter kann berufsrechtlichen Pflichten unterliegen. Entscheidend ist allein: Das Gericht kann ihm jederzeit Weisungen erteilen (§ 404a ZPO). Er kann einen erteilten Beweisbeschluss nicht eigenmächtig abändern oder verweigern. Diese strikte Weisungsgebundenheit ist mit der Rolle eines Verantwortlichen unvereinbar.

6. Die Rechtsprechung des BVerfG zur fehlenden Zwangsgrundlage

Das Bundesverfassungsgericht hat mehrfach klargestellt, dass es für die Verarbeitung höchstpersönlicher Daten in familienpsychologischen Gutachten an einer ausreichenden gesetzlichen Grundlage fehlt. Würde man den Sachverständigen als eigenständigen Verantwortlichen betrachten, müsste er eine solche Rechtsgrundlage selbst vorweisen können. Die gibt es nicht. Die Auftragsverarbeiter-Lösung hingegen ist folgerichtig: Sie verlangt keine eigene Rechtsgrundlage des Sachverständigen, sondern weist die Verantwortung für die Rechtmäßigkeit dem Gericht zu – dem Organ, das die Datenverarbeitung in Auftrag gibt und dessen Befugnisse verfassungsrechtlich zu prüfen wären.

---

Fazit (zugespitzt)

Die Literaturmeinungen übersehen, dass die DS-GVO mit der Figur des Auftragsverarbeiters ein präzises Instrument bereithält, um genau diese Konstellation zu erfassen: einen externen Fachdienstleister, der weisungsgebunden für einen Verantwortlichen tätig wird.

Eine Verantwortlichkeit des Sachverständigen käme erst dann in Betracht, wenn er den Beweisbeschluss selbst erließe, die Beweisfragen selbst bestimmte, die Anknüpfungstatsachen selbst festlegte und sich selbst beauftragte. Solange das Gericht dies tut, bleibt der Sachverständige das, was er prozessual und datenschutzrechtlich ist: ein Auftragsverarbeiter.