Der IT-Gutachter nimmt eine unabhängige, neutrale und fachlich weisungsfreie Stellung ein.
Er handelt ausschließlich auf Grundlage seines informationstechnischen und softwarearchitektonischen Fachwissens sowie unter Berücksichtigung des anerkannten Standes der Technik zum Zeitpunkt der Begutachtung.

Der Gutachter ist weder Entwickler der untersuchten Systeme noch deren Betreiber und steht in keinem wirtschaftlichen oder organisatorischen Abhängigkeitsverhältnis zu einer der beteiligten Parteien.

Die Aufgabe des IT- und Webseitengutachters besteht darin,

• eine Webseite oder Webanwendung als technisches Gesamtsystem zu untersuchen,
• bestehend aus Frontend, Backend, Server-Infrastruktur, Software-Abhängigkeiten und externen Diensten,

und deren Zustand zum festgelegten Stichtag objektiv, reproduzierbar und methodisch korrekt festzustellen und zu bewerten.

Dabei beurteilt der Gutachter insbesondere:

• die technische Funktionsfähigkeit,
• die Sicherheit der Datenverarbeitung,
• die Wartungs- und Erweiterungsfähigkeit,
• die Einhaltung gesetzlicher und technischer Mindestanforderungen.

Der Gutachter ermittelt und dokumentiert u. a.:

• Software-Architektur und Systemaufbau,
• eingesetzte Programmiersprachen, Frameworks und CMS,
• Versionsstände und Updatezustände,
• Konfigurationen von Servern, Webservern und Datenbanken,
• eingesetzte Drittanbieter-Dienste und externe Schnittstellen,
• Sicherheitsrelevante Einstellungen und Mechanismen.

Diese Feststellungen erfolgen ohne Wertung und stellen eine Momentaufnahme des Systems dar.

Auf Basis der Feststellungen bewertet der Gutachter, ob:

• das System dem anerkannten Stand der Technik entspricht,
• gängige Best Practices der Web- und Softwareentwicklung eingehalten werden,
• bekannte Sicherheitsanforderungen erfüllt sind,
• das System ordnungsgemäß betreibbar ist.

Die Bewertung erfolgt stets relativ zum Begutachtungszeitpunkt und nicht nach zukünftigen oder theoretischen Anforderungen.

Ein zentraler Bestandteil der Gutachtertätigkeit ist die Bewertung von IT-Risiken, insbesondere:

• Sicherheitslücken,
• unsichere Konfigurationen,
• fehlende Schutzmechanismen,
• Risiken für Verfügbarkeit, Integrität und Vertraulichkeit von Daten.

Dabei erfolgt keine aktive Kompromittierung, sondern eine prüfende Analyse nach anerkannten Sicherheitsmaßstäben.

Der IT-Gutachter dokumentiert:

• Prüfmethoden und Werkzeuge,
• Messergebnisse,
• technische Befunde,
• Abweichungen von Standards,
• Einschränkungen der Prüfung.

Diese Dokumentation ermöglicht:

• Nachvollziehbarkeit für Dritte,
• Reproduzierbarkeit der Ergebnisse,
• Verwendung als Beweismittel in rechtlichen Verfahren.

Der Gutachter hat die Aufgabe, hochkomplexe technische Sachverhalte aus den Bereichen:

• Webentwicklung,
• Softwarearchitektur,
• IT-Sicherheit,
• Datenschutztechnik

so darzustellen, dass sie für nicht-technische Entscheidungsträger verständlich sind, ohne die fachliche Präzision zu verlieren.

Der IT-Gutachter:

• trifft keine rechtliche Würdigung im Sinne einer Rechtsberatung,
• ersetzt keine richterliche Entscheidung,
• übernimmt keine operative Fehlerbehebung,
• gibt keine wirtschaftlichen oder strategischen Empfehlungen, sofern diese nicht explizit beauftragt sind.

Alle Feststellungen und Bewertungen erfolgen frei von wirtschaftlichen oder persönlichen Interessen.

Es werden ausschließlich anerkannte Prüfmethoden und Werkzeuge eingesetzt.

Prüfumfang, Grenzen und Annahmen werden vollständig offengelegt.

Die Ergebnisse sind für einen fachkundigen Dritten nachvollziehbar und überprüfbar.

Der Gutachter trägt die Verantwortung für:

• die fachlich korrekte Durchführung der Prüfung,
• die sachgerechte Interpretation der Ergebnisse,
• die vollständige und widerspruchsfreie Darstellung.

Die Verantwortung beschränkt sich auf die ordnungsgemäße Erstellung des Gutachtens und nicht auf die Umsetzung daraus abgeleiteter Maßnahmen.

IT- und Webseitengutachten dienen insbesondere:

• der Klärung technischer Streitfragen,
• der Beurteilung von Mängeln oder Leistungsabweichungen,
• der Bewertung von Sicherheits- und Datenschutzrisiken,
• der Entscheidungsfindung bei Gerichten und Behörden.

Sie stellen eine sachverständige Grundlage dar, ersetzen jedoch keine Entscheidung.