Asiatische Länder sind nicht gerade für den umfassenden Schutz personenbezogener Daten bekannt. Südkorea bildet hier eine starke Ausnahme. Mit dem Personal Information Protection Act (PIPA) hat sich das Land ein mit der EU-Datenschutz-Grundverordnung (DSGVO) vergleichbares Gesetz gegeben. In einigen Punkten ist Südkoreas Datenschutzrecht sogar noch strenger.
Aktuelle Gesetzeslage in Südkorea
Das PIPA trat in seiner neuen Fassung am 5. August 2020 in Kraft. Teile des nationalen Kreditinformationsgesetzes und Netzgesetzes wurden in das Datenschutzgesetz integriert.
Die wichtigste Neuerung des PIPA neben dem besonderen Schutz von pseudonymisierten Daten ist die Einführung der PIPC (Personal Information Protection Commission) als unabhängige Aufsichtsbehörde. Die Überwachung der Einhaltung des Datenschutzes sowie die Ausarbeitung von Praxisempfehlungen wird damit dem Ministerium für Inneres und Soziales entzogen und einer unabhängigen Behörde zugeteilt, die direkt dem Premierminister untersteht.
Damit wurde der Weg geebnet für einen Angemessenheitsbeschluss mit der EU gemäß Art. 45 DSGVO. Dementsprechend bescheinigte die EU-Kommission am 17. Dezember 2021 Südkorea ein mit der DSGVO vergleichbares Schutzniveau.
Gemeinsamkeiten von PIPA und DSGVO
Die Grundsätze des PIPA dürften uns bekannt vorkommen. Dazu gehören: Zweckbestimmung, Rechtmäßigkeit, Integrität, Vertraulichkeit, Transparenz sowie der Grundsatz der Datenminimierung.
Eine Verarbeitung ist wie auch in der DSGVO auf Grundlage einer Einwilligung oder rechtlichen Verpflichtung erlaubt. Auch besonders sensible Daten können verarbeitet werden, wenn ein Gesetz dies vorschreibt oder eine Einwilligung der Betroffenen besteht.
Betroffene haben analog zur DSGVO ein Recht auf Kopie, Widerspruch sowie auf Löschung, sofern keine Aufbewahrungspflichten bestehen. In Form einer sogenannten Datenschutzrichtlinie müssen Betroffene über die Verarbeitung ihrer Daten vom Verantwortlichen informiert werden.
Unterschiede von PIPA und DSGVO
Der Begriff „personenbezogene Daten“ wird im südkoreanischen PIPA etwas enger verstanden als in der DSGVO. Ob eine Person identifizierbar ist, wird auch anhand der Faktoren Kosten und Zeitaufwand bemessen.
Eine weitere Rechtsgrundlage erlaubt die Datenverarbeitung, wenn es offensichtlich notwendig für die physische Sicherheit und die Eigentumsinteressen des Betroffenen ist, die Einwilligung aber nicht eingeholt werden kann.
Die Nutzung von pseudonymisierten Daten ist dafür strenger als in der DSGVO geregelt und grundsätzlich nur dann erlaubt, wenn der Betroffene seine Einwilligung erteilt hat.
Für die Verwendung von Cookies aller Art muss ebenfalls grundsätzlich eine Einwilligung eingeholt werden.
Das PIPA enthält im Gegensatz zur DSGVO kein generelles Recht auf Datenübertragbarkeit. Nach dem geänderten Kreditinformationsgesetz hat eine betroffene Person jedoch das Recht auf Datenübertragbarkeit in Bezug auf ihre persönlichen Kreditinformationen.
Bei der Auftragsverarbeitung müssen der übertragene Arbeitsumfang und der Name des Auftragsverarbeiters so offengelegt werden, dass die Betroffenen diese Informationen leicht einsehen und überprüfen können. Der Verantwortliche muss den Datenempfänger auch überwachen und schulen, um eine Datenpanne zu verhindern. Wenn der Auftragsverarbeiter gegen das Gesetz verstößt und dies zu einer Haftung führt, wird er wie ein Angestellter des Verantwortlichen behandelt.
Bei einer Datenpanne mit mehr als 1.000 Betroffenen, muss sie unverzüglich dem PIPC gemeldet werden.
Neben diesen eher nebensächlichen Abweichungen fallen drei eklatante Unterschiede zur DSGVO ins Auge:
- Ein interner Datenschutzbeauftragter muss unabhängig von der Größe oder Art der Verarbeitungen ernannt werden.
- Der Datenschutzbeauftragte wird zur Rechenschaft gezogen und nach einem Verstoß persönlich Gegenstand strafrechtlicher Ermittlungen.
- Die Übermittlung personenbezogener Daten ins Ausland erfordert die Zustimmung der Betroffenen, was viele ausländische Firmen vor erhebliche Herausforderungen stellt.
Besonderheiten des PIPA beim Direktmarketing
Vor dem Versand von E-Mails oder anderen elektronischen Nachrichten zu Marketingzwecken oder bei telefonischer Direktwerbung muss die ausdrückliche Einwilligung der betroffenen Personen eingeholt werden. Ausnahme: Werbung kann ohne Zustimmung per elektronischer Nachricht oder telefonischer Direktwerbung an Adressen gesendet werden, die aus einem früheren Verkauf von Waren oder Dienstleistungen stammen, und zwar innerhalb von sechs Monaten nach diesem Verkauf.
Um Werbung per E-Mail zu versenden, muss der Titel der E-Mail-Nachricht mit der Überschrift „Gwango“ (Koreanisch: Werbung) beginnen und der Inhalt der E-Mail-Nachricht die Kontaktdaten des Absenders sowie Hinweise darauf enthalten, wie die Empfänger auf einfache Weise ihre Absicht zum Ausdruck bringen können, den weiteren Empfang abzulehnen.
Die koreanische Kommission für fairen Handel hat im Rahmen des Gesetzes über Haustürgeschäfte ein Do-not-call-Register eingerichtet, um Verbraucher vor unerlaubten Telefonmarketingpraktiken zu schützen. Ein Telefonvermarkter muss sich vergewissern, ob ein Verbraucher seine Telefonnummer im Do-not-call-Register eingetragen hat und darf Verbraucher mit Nummern aus dem Register nicht anrufen.
Besonderheiten des PIPA bei der Datensicherheit
Artikel 24 Absatz 3 des PIPA schränkt die Verwaltung personenbezogener Daten ausdrücklich ein und verpflichtet die für die Verarbeitung Verantwortlichen, die erforderlichen Maßnahmen, einschließlich Verschlüsselung zu ergreifen, um den „Verlust, den Diebstahl, das Durchsickern von Daten, die Veränderung oder die Verfälschung“ solcher Daten zu verhindern.
In ähnlicher Weise verlangen Artikel 25 Absatz 6 und Artikel 29, dass die erforderlichen Maßnahmen getroffen werden, um sicherzustellen, dass personenbezogene Daten nicht verloren gehen, gestohlen, verändert oder beschädigt werden. Organisationen sind verpflichtet diese Sicherheitsmaßnahmen in Form eines sogenannten internen Verwaltungsplans Verantwortlichen und Betroffenen vorzulegen.
Im PIPA vorgesehene Sanktionen
Südkorea kann eine Erfolgsbilanz bei der Durchsetzung von Datenschutzgesetzen vorweisen. Kapitel 9 der PIPA-Verordnung sieht harte Sanktionen für Verstöße gegen den Datenschutz vor. Mögliche Folgen sind Geldstrafen bis zu 3 % des Gesamtumsatzes des Zuwiderhandelnden und Haftstrafen von bis zu fünf Jahren.
Kann der für die Verarbeitung Verantwortliche nicht widerlegen, dass eine Datenpanne auf sein vorsätzliches oder grob fahrlässiges Verhalten zurückzuführen ist, kann ein Gericht nach einer Analyse der Gesamtumstände Schadensersatz in dreifacher Höhe des tatsächlichen Schadens zusprechen.
Um eine schnellere Beilegung von Streitigkeiten zu ermöglichen, stehen alternative Streitbeilegungsverfahren (Mediation bei Streitigkeiten über personenbezogene Daten) und Sammelklagen zur Verfügung. Sammelklagen sind jedoch darauf beschränkt, Unterlassungsklagen gegen einen Verantwortlichen zu erwirken, der gegen das Gesetz verstößt, und können nicht zu Entschädigungszwecken verwendet werden.
Fazit: Das PIPA macht Südkorea aus Datenschutzsicht hoch interessant
Südkorea hat sich bei vielen Punkten an der DSGVO orientiert. Teilweise setzt es noch einen strengeren Maßstab an die Datenverarbeitung. So stellt gerade die Einwilligung von Betroffenen zur Datenübermittlung ins Ausland viele ausländische Firmen vor Probleme bei der Umsetzung.
Südkorea hat mit dem neuen PIPA einen in Ostasien einzigartigen Standard an Datenschutz geschaffen, der EU-Firmen den Datenaustausch mit Südkorea erleichtert und den Handel mit dem wirtschaftsstarken Land fördert. Der Angemessenheitsbeschluss der EU-Kommission ist also mehr als gerechtfertigt.