Recht kompakt | Südkorea | Datenschutzrecht
Südkorea: Datenschutz und KI
Die Republik Korea legt besonderes Augenmerk auf den Schutz persönlicher Daten. Auch im Bereich der künstlichen Intelligenz (KI) gibt es ein Rahmengesetz. (Stand: 16.04.2026)
Von Julia Merle | Bonn
Zentrale Rechtsgrundlage im Datenschutzrecht ist der aus dem Jahr 2011 stammende Personal Information Protection Act (PIPA). Das Datenschutzrecht ist auch von ausländischen Anbietern elektronischer Dienstleistungen bei der Datenverarbeitung zu beachten.
Das dritte Kapitel (Art. 15 ff.) des PIPA regelt die Verarbeitung personenbezogener Daten. Nach Art. 18 Abs. 1 PIPA darf ein Verantwortlicher solche Daten grundsätzlich nicht über den in Art. 15 Abs. 1 PIPA vorgesehenen Umfang hinaus nutzen oder sie über den in Art. 17 Abs. 1 und 28-8 Abs. 1 PIPA vorgesehenen Umfang hinaus an Dritte weitergeben.
Zu den Gesetzesänderungen aus März 2023 zählt insbesondere die Stärkung der Rechte betroffener Personen. Die in Art. 4 PIPA genannten Rechte der betroffenen Personen wurden um das Recht auf Datenübertragbarkeit (dazu Art. 35-2 PIPA) sowie auf Widerspruch gegen oder Erklärung bezüglich einer vollständig auf automatisierter Verarbeitung personenbezogener Daten (auch KI-Systemen) beruhenden Entscheidung (Art. 37-2 PIPA) ergänzt. Bei den Bestimmungen zur Übermittlung personenbezogener Daten ins Ausland (Art. 28-8ff. PIPA) wurden die Fälle erweitert, in denen keine Einwilligung vor der Übertragung nötig ist: Dazu gehört etwa der Transfer in ein Land, das nach Festlegung der Personal Information Protection Commission (PIPC) ein gleichwertiges Schutzniveau aufweist. Die PIPC kann beispielsweise bei einer Verletzung des PIPA die Aussetzung einer Übermittlung anordnen. Generell wurden Sondervorschriften für Anbieter von Onlinediensten aufgehoben beziehungsweise auf alle Verantwortlichen ausgeweitet. Auch bei den Sanktionen gab es Änderungen (insbesondere Art. 64-2, 71ff. PIPA).
Im Dezember 2021 hat die Europäische Kommission für den Transfer von personenbezogenen Daten nach Südkorea den Angemessenheitsbeschluss angenommen. Damit bekennen sich beide Seiten zu einem hohen Niveau des Datenschutzes. Genehmigungserfordernisse bestehen für die Übermittlung von personenbezogenen Daten aus der Europäischen Union (EU) nach Südkorea seitdem nicht mehr, da dieses Drittland ein angemessenes Schutzniveau bietet. Verschiedene Garantien hinsichtlich des Datenschutzes wurden zusätzlich vereinbart. Die koreanische Datenschutzkommission PIPC hat ihrerseits eine entsprechende Angemessenheitsentscheidung in Bezug auf das Regelwerk der EU am 16. September 2025 in Kraft gesetzt (dazu: Art. 28-8 Abs. 1 Nr. 5 PIPA).
Der PIPA wurde zuletzt im März 2026 angepasst, die Änderungen werden zum größten Teil am 11. September 2026 in Kraft treten.
Am 22. Januar 2026 trat außerdem Südkoreas Rahmengesetz zur künstlichen Intelligenz nebst Durchführungsverordnung in Kraft. Dieses verfolgt einen risikobasierten Ansatz und findet nach seinem Art. 4 Abs. 1 auch extraterritorial Anwendung auf Handlungen außerhalb Südkoreas, die den koreanischen Markt oder inländische Nutzer betreffen.
Hinweis: Einen Überblick zu den rechtlichen Entwicklungen zum Thema KI bietet die GTAI-Publikation Rechtsatlas KI.
