Datenschutzrechtliche Grenzen bei gerichtlichen Gutachten

OLG Dresden zur Rolle der Sachverständigen unter der : In einem spannenden Beschluss vom 24. März 2025 (Az. 4 U 1664/24) setzte sich das Oberlandesgericht Dresden mit der Frage auseinander, inwieweit eine gerichtliche Sachverständige nach Maßgabe der -Grundverordnung (DSGVO) zur Auskunft verpflichtet ist – und ob sie sich haftbar macht, wenn sie personenbezogene Informationen im Rahmen ihrer Gutachtertätigkeit an das Gericht oder andere Stellen weiterleitet. Das Verfahren gibt Aufschluss über die Wechselwirkungen zwischen datenschutzrechtlichen Individualansprüchen und prozessualen Pflichten, wie sie etwa in der zivilprozessualen Rolle der Gutachterin verankert sind.

Hintergrund des Verfahrens

Ausgangspunkt war ein familiengerichtliches Verfahren, in dem die Beklagte im Auftrag des Amtsgerichts als psychiatrische Sachverständige ein Gutachten zur Klägerin erstellte. Im Nachgang warf die Klägerin der Gutachterin vor, personenbezogene Informationen – insbesondere staatsanwaltschaftliche Aktenzeichen und Inhalte – unzulässig an Dritte weitergegeben und damit ihre Rechte aus der DSGVO verletzt zu haben. Die Klägerin verlangte Auskunft, immateriellen Schadensersatz und eine Kopie aller verarbeiteten personenbezogenen Daten.

Strafverteidigung kontra Datenschutz? LG Hamburg zur Weitergabe sensibler Daten an externen Gutachter

Rechtliche Einordnung durch das Gericht

Der Senat stellte zunächst klar, dass ein nach Art. 15 DSGVO bereits dann als erfüllt gilt, wenn der Auskunftsverpflichtete erklärt – ausdrücklich oder konkludent –, dass die übermittelten Angaben vollständig seien. Es komme für die Erfüllung nicht darauf an, ob der Auskunftsempfänger an der inhaltlichen Richtigkeit zweifle. Eine etwaige Unvollständigkeit oder Fehlerhaftigkeit könne nur durch anderweitige datenschutzrechtliche Ansprüche geltend gemacht werden, nicht aber zur Begründung eines erweiterten Auskunftsanspruchs herangezogen werden.

In Bezug auf die umstrittene Frage, ob eine gerichtlich bestellte Sachverständige als datenschutzrechtlich Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO einzuordnen ist, ließ das OLG Dresden die Antwort offen. Selbst wenn man dies bejahe, ändere das nichts an der Tatsache, dass die Beklagte dem Auskunftsverlangen – in Gestalt eines Negativbescheids – Genüge getan habe.

Von zentraler Bedeutung war darüber hinaus die Beurteilung der Informationsweitergabe an das Gericht sowie an die Staatsanwaltschaft. Der Senat betonte, dass der Sachverständigen gemäß § 407a Abs. 2 ZPO die Pflicht obliegt, das Gericht über Umstände zu informieren, die Zweifel an ihrer Unparteilichkeit begründen könnten. Dies umfasse auch Mitteilungen über etwaige , die – wie hier – aufgrund einer der begutachteten Person selbst eingeleitet wurden. Eine solche Weitergabe personenbezogener Daten sei daher durch Art. 6 Abs. 1 lit. c DSGVO gedeckt, also zur Erfüllung einer rechtlichen Verpflichtung erforderlich gewesen.

Auch der Einwand der Klägerin, wonach diese Informationen ursächlich für eine familiengerichtliche Entscheidung zum Ruhen der elterlichen Sorge gewesen seien, vermochte das Gericht nicht zu überzeugen. Die Argumentation blieb spekulativ. Die familiengerichtliche Entscheidung fußte nicht ausschließlich auf den fraglichen Angaben, sondern auf einer Gesamtwürdigung einschließlich eigener Ermittlungen des Gerichts gemäß § 26 FamFG. Die Behauptung einer unmittelbaren Kausalität blieb daher unbewiesen.

Hinsichtlich der geforderten Kopie personenbezogener Daten verwies das OLG darauf, dass der Klägerin das relevante Gutachten bereits vorlag. Der Zweck des Auskunftsrechts bestehe nicht darin, Duplikate von bereits bekannten Dokumenten einzufordern, sondern der betroffenen Person Transparenz über den Umfang der Datenverarbeitung zu verschaffen. Hier habe dieser Schutzzweck keine zusätzliche Verpflichtung zur Folge.

Auch ein Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO kam nicht in Betracht. Es fehle sowohl an einem rechtswidrigen Verhalten der Beklagten als auch an einem nachweisbaren Schaden auf Seiten der Klägerin. Selbst wenn man hypothetisch unterstellte, dass ein datenschutzwidriges Verhalten vorläge, hätte die Klägerin nicht dargelegt, dass ein kausaler Schaden tatsächlich eingetreten sei.

Die Quintessenz der Entscheidung liegt darin, dass datenschutzrechtliche Individualrechte keine absolute Grenze gegenüber berechtigten prozessualen Mitteilungspflichten darstellen. Die DSGVO bietet keinen Freibrief für eine retrospektive Sanktionierung gerichtlicher Kommunikation, wenn diese sich im Rahmen gesetzlicher Vorgaben vollzieht. Zugleich mahnt der Senat zur dogmatischen Strenge: Nicht jeder Datenschutzverstoß führt automatisch zu einem Schaden – und nicht jede subjektiv empfundene Beeinträchtigung begründet einen rechtlich relevanten Anspruch.

Schlussfolgerung

Die Entscheidung des OLG Dresden markiert eine deutliche Zäsur in der oftmals unklaren Abgrenzung datenschutzrechtlicher Verantwortlichkeiten im Kontext gerichtlicher Verfahren. Sie unterstreicht, dass nicht jeder Umgang mit personenbezogenen Daten durch Sachverständige eine Verarbeitung im Sinne der DSGVO ist, die zwingend zu Ersatz- oder Auskunftsansprüchen führt. Vielmehr stellt das Gericht klar, dass die datenschutzrechtlichen Pflichten stets im Einklang mit den prozessualen Verpflichtungen der jeweiligen Verfahrensrolle interpretiert werden müssen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.