Republik Korea: der mögliche Angemessenheitsbeschluss
Die EU-Kommission plant einen datenschutzrechtlichen Angemessenheitsbeschluss mit der Republik Korea – Der Beitrag soll eine kurze Darstellung des Entwurfes der EU-Kommission geben und die Kritik des europäischen Datenschutzausschusses (EDSA) kurz darstellen.
Hintergründe zum geplanten Angemessenheitsbeschluss
Nachdem die EU-Kommission seit 2017 mit der Republik Korea bezüglich eines Angemessenheitsbeschlusses nach Art. 45 Abs. 3 DSG-VO in Verhandlung steht, wurde nun am 16.6.2021 der Entwurf eines europäischen Durchführungsaktes vorgestellt. Einerseits wurde der Entwurf von vielen Seiten begrüßt, andererseits hat die Entscheidung der EU-Kommission, das Datenschutzniveau der Republik Korea als vergleichbar zu bewerten, deutliche Kritik hervorgerufen. Im Zentrum der Kritiker steht der EDSA, der seine Stellungnahme am 27.9.2021 veröffentlichte. Zwar bestätigte der EDSA, dass in vielen Bereichen ein zur EU gleichwertiges Datenschutzniveau besteht, nennt aber auch aus seiner Sicht essenzielle Schwachpunkte.
Die Gerichte haben schon in den Urteilen Schrems I und II gezeigt, dass Abweichungen in nur wenigen wesentlichen Bereichen – gerade bei Zugriff durch „Sicherheits“-Behörden – ausreichen, um einen Angemessenheitsbeschluss als nichtig zu beurteilen. Selbst wenn derartige Nichtigkeitsbeschlüsse nur für die Zukunft wirken, sollten Unternehmen sich bewusst sein, dass Datenschutzkonzepte auf Basis eines unsicheren Angemessenheitsbeschlusses unwirksam und daher teilweise kurzfristig neu aufgesetzt werden müssen. Dennoch bietet ein Angemessenheitsbeschluss einen besonders hohen Schutz für Unternehmen und Betroffene, da der Kommissionsbeschluss die Datenflüsse besonders absichert. Eine EuGH-Entscheidung erfolgt erst mehrere Jahre nach dem Beschluss, so dass bis dahin für Unternehmen Rechtssicherheit besteht, aber natürlich die neuen Entwicklungen berücksichtigt werden müssen.
Nachfolgend stellen wir einzelne Kritikpunkte an dem Angemessenheitsbeschluss dar, um die aktuelle Diskussion und mögliche noch erfolgende Anpassungen aufzuzeigen. So geben wir einen ersten Einblick in den geplanten Angemessenheitsbeschluss und das Datenschutzrecht der Republik Korea.
Rechtliche Grundlagen zur Datenverarbeitung
Die Kodifizierung des Datenschutzes erfolgt in dem „Personal Information Protection Act“ („PIPA“). Als Datenschutzbehörde tritt die „Personal Information Protection Comission“ („PIPC“) auf. Im Rahmen der Verhandlungen mit der EU bezüglich des Angemessenheitsbeschlusses hat die PIPC die „Notification No 2021-1“ veröffentlicht, die den PIPA verbindlich in einer Art und Weise auslegen soll, die einen mit der DSGVO vergleichbaren Schutzstandard begründet.
Ein Kritikpunkt bezüglich dieses Konstruktes ist, dass die „Notification No 2021-1“ materielles Recht darstellt. Behörden sind zwar bindend an die Auslegung dieser Notification gebunden, nicht aber die Gerichte. Insofern kann die Vergleichbarkeit des Rechtes schon dadurch aufgehoben werden, dass die Gerichte der Auslegung der PIPA durch die Notification nicht folgen.
Einwilligung
Mehr als in der DSGVO stellt die Einwilligung in die Datenverarbeitung eine wesentliche Rechtsgrundlage für die Verarbeitung von Daten in der Republik Korea dar. Ein wesentliches Element der Einwilligung in der DSGVO ist aber, dass die Einwilligung jederzeit für die Zukunft ohne Angabe von Gründen und ohne Bedingungen wiederrufen werden kann. Eine Widerrufsmöglichkeit besteht nach koreanischem Recht indes nicht.
Pseudonymisierung
Ein erheblicher Unterschied zwischen dem koreanischen Recht und der DSGVO liegt in der Pseudonymisierung von Daten. Nach europäischen Recht bleiben pseudonymisierte Daten personenbezogen, so dass Rechte und Pflichten gegenüber den Betroffenen bestehen bleiben.
Im Gegensatz dazu sieht das koreanische Recht einen datenschutzrechtlichen Schutz generell nur solange vor, wie mit Daten eine Person identifiziert werden kann oder identifizierbar gemacht werden kann. Sobald Daten pseudonymisiert sind, gelten die Daten nicht mehr als personenbezogen, so dass Schutzrechte nicht mehr anwendbar sind. Zwar sind, nach der Interpretation der Notification No 2021-1, eine derart rechteeinschränkende Pseudonymisierung nur zu statistischen, wissenschaftlichen und archivarischen Zwecken möglich, dies ergibt sich aber nicht aus dem formellen Recht.
Nationale Sicherheit
Das koreanische Recht sieht vor, dass auf Kommunikationsdaten ohne Information der Betroffenen zugegriffen werden kann, solange an der Kommunikation kein koreanischer Staatsbürger beteiligt ist. Diese Eingriffsmöglichkeiten sind zwar nur auf sehr spezifische Fälle beschränkt, aber für den Betroffenen gibt es keine Möglichkeiten, die Rechtmäßigkeit des Handelns der Sicherheitsbehörden zu überprüfen. Die Sicherheitsbehörden dürfen ohne Antrag bei einer neutralen Prüfstelle diese Rechte aus sich heraus geltend machen. Ohne Information des Betroffenen oder eine neutrale Prüfstelle ist eine tatsächliche Durchsetzung von Beschränkungen kaum möglich. Die Problematik erinnert also stark an die US-Amerikanischen Gesetze, die zur Unwirksamkeit der Privacy Shield-/Safe Harbor-Beschlüsse geführt hatten.
Fazit zum möglichen Angemessenheitsbeschluss für die Republik Korea
Generell besteht ein hohes und zur EU vergleichbares Datenschutzniveau in der Republik Korea. Dennoch bleiben wesentliche Schwachstellen, die zur Nichtigkeit eines möglichen Angemessenheitsbeschlusses führen könnten. Erhöhte Rechtssicherheit würde es bieten, wenn die EU-Kommission mit der Republik Korea nachverhandelt und nach nationalem Recht die wesentlichen Schutzvorschriften durch Reform der PIPA kodifiziert werden und hierbei auch die Bereiche reformiert würden, in denen das Schutzniveau nur eingeschränkt mit der EU vergleichbar ist.
Es ist aber zu vermuten, dass die EU-Kommission den Angemessenheitsbeschluss treffen wird und so Datenströme zwischen der EU und der Republik Korea deutlich einfacher als bislang ermöglicht werden.
