Änderungen im koreanischen Datenschutzgesetz

Die im März 2026 erlassenen Neuerungen umfassen:

Nach Art. 34 Abs. 2 PIPA muss eine unverzügliche Benachrichtigung der betroffenen Person bereits ab Kenntnis der Möglichkeit eines Datenschutzvorfalls erfolgen und nicht erst, wenn der Datenverantwortliche Kenntnis vom tatsächlichen Datenleck hat. Ferner sind nach Abs. 1 Nr. 6 betroffene Personen künftig auch insbesondere über ihre Rechte, darunter Schadensersatzansprüche, zu informieren.

In Zukunft sind gem. Art. 64-2 Abs. 2 PIPA bei Datenschutzverstößen in bestimmten Konstellationen und unter Berücksichtigung der in den folgenden Absätzen genannten Aspekte Bußgelder von bis zu 10 Prozent des Gesamtumsatzes oder bis zu 5 Milliarden Südkoreanische Won (ca. 2,9 Millionen Euro) möglich. Dies ist etwa der Fall, wenn mindestens 10 Millionen Personen betroffen sind.

Der neu eingeführte Art. 30-3 PIPA regelt die Letztverantwortlichkeit des Geschäftsinhabers/Unternehmers (사업주) oder dessen Vertreters für die sichere Datenverarbeitung und den Schutz der Rechte betroffener Personen nebst Umsetzung von Datenschutzmaßnahmen.

Neue Vorgaben zur künftig verpflichtenden Zertifizierung bestimmter Datenverantwortlicher durch die KISA sind in Art. 32-2 Abs. 1 PIPA i.V.m. durch Präsidialdekret festgelegten Kriterien zu finden. Sie gelten ab dem 1. Juli 2027.

Die Änderungen treten größtenteils am 11. September 2026 in Kraft (Einzelheiten: siehe Zusatzbestimmungen).

Der PIPA wurde zuletzt 2023 angepasst.

Zum Thema:

• PIPA i.d.F.v. 10. März 2026 (Koreanisch)