Rechtsbericht | Südkorea | Datenschutzrecht
Änderungen im südkoreanischen Datenschutzgesetz
Die Republik Korea hat einige bedeutsame Neuerungen des zentralen Personal Information Protection Act (PIPA) verabschiedet, die am 5. August 2020 in Kraft treten.
01.03.2023
Von Julia Merle | Bonn
Hinweis: Der Rechtsbericht wurde erstmals am 12. März 2020 veröffentlicht und zuletzt inhaltlich überprüft und - soweit dies erforderlich war - aktualisiert im März 2023. Im Dezember 2021 hat die Europäische Kommission für den Transfer von personenbezogenen Daten nach Südkorea den Angemessenheitsbeschluss angenommen.
Insbesondere soll nun die Verwendung pseudonymisierter Daten ermöglicht und erleichtert werden. Ähnlich wie in Art. 4 Nr. 5 der EU-Datenschutzgrundverordnung (DSGVO) wurde eine Definition dieser Daten in Art. 2 Nr. 1 PIPA aufgenommen. Danach werden "personenbezogene Informationen" nun in drei Kategorien aufgeteilt (siehe Buchst. a bis c):
- solche, die die Person zum Beispiel anhand des Namens identifizieren können;
- Informationen, die leicht mit anderen kombiniert werden können, um so eine bestimmte Person zu identifizieren, wobei Faktoren wie Zeit und Kosten zu beachten sind; und schließlich
- "pseudonymisierte Informationen", die ohne die Kombination mit zusätzlichen Informationen nicht mehr einer bestimmten Person zugeordnet werden können. Die Nutzung solcher pseudonymisierter Daten ohne Einwilligung der betroffenen Person vor allem zur wissenschaftlichen Recherche oder zu statistischen Zwecken soll künftig möglich sein. Eine Zulässigkeit für kommerzielle Zwecke sieht der PIPA nicht ausdrücklich vor.
Die regulatorische Aufsicht über den Datenschutz wird der bereits existierenden Personal Information Protection Commission (PIPC) als zentrale Behörde mit sämtlichen Aufgaben wie Überwachung und Formulierung von Praxisempfehlungen übertragen (Art. 7 ff. PIPA). Zuvor war dafür unter anderem das Ministerium für Inneres und Sicherheit (MOIS) zuständig. Mit der Schaffung einer einzigen unabhängigen Stelle wird der Weg hin zu einem Angemessenheitsbeschluss gemäß Art. 45 DSGVO weiterverfolgt, der den Datentransfer zwischen EU-Mitgliedstaaten und der Republik Korea erleichtern würde.
Auch in zwei anderen datenschutzbezogenen Gesetzen - dem sogenannten "Credit Information Act" und dem "Network Act" - gibt es Änderungen. Den Online-Bereich betreffende Bestimmungen hinsichtlich des Umgangs mit personenbezogenen Daten werden aus letzterem heraus in den PIPA integriert (Kapitel 6 des PIPA).
Zum Thema:
- Neue Fassung des Personal Information Protection Act (Englisch), 개인정보 보호법 (Koreanisch) vom 4. Februar 2020
- Personal Information Protection Act (PIPA) in der Fassung vom 26. Juli 2017 (Englisch)
- Enforcement Decree of the Personal Information Protection Act (Englisch)
- Act on Promotion of Information and Communications Network Utilization and Information Protection, etc. ("Network Act", Englisch)
- Credit Information Use and Protection Act in der Fassung vom 31. Dezember 2018 (Englisch)
