EDSA – An­ge­mes­sen­heits­be­schluss für Südkorea

Nach­trag 20.12.2021:

Die EU-Kom­­mis­­si­on hat am 17.12.2021 den An­ge­mes­sen­heits­be­schluss für die Re­pu­blik Korea ge­trof­fen. Die Da­ten­strö­me zwi­schen der EU und der Re­pu­blik Korea werden dadurch deut­lich ein­fa­cher als bisher.

Es besteht grund­sätz­lich eines hohes und mit der DSGVO bzw. EU ver­gleich­ba­res Da­ten­schutz­ni­veau. Es bleiben al­ler­dings Schwach­stel­len­stel­len. Auch im ko­rea­ni­schen Da­ten­schutz­recht hat die Ein­wil­li­gung wie in der DSGVO eine große Be­deu­tung für die Recht­mä­ßig­keit der Ver­ar­bei­tung. Al­ler­dings besteht kein Widerrufsrecht.
des Wei­te­ren sieht das ko­rea­ni­sche Da­ten­schutz­recht vor, dass auf Kom­mu­ni­ka­ti­ons­da­ten von Be­trof­fe­nen ohne In­for­ma­ti­on Zugriff ge­nom­men werden kann, solang an der Kom­mu­ni­ka­ti­on kein ko­rea­ni­scher Staats­bür­ger be­tei­ligt ist. Es gibt hier keine Mög­lich­keit für den Be­trof­fe­nen, die Recht­mä­ßig­keit des Vor­ge­hens durch die Si­cher­heits­be­hör­den zu prüfen.

Down­load EU An­ge­mes­sen­heits­be­schluss Re­pu­blik Korea (eng­lisch): https://ec.europa.eu/info/sites/default/files/1_1_180366_dec_ade_kor_new_en.pdf

————-

In der Sitzung am 27.09.2021 des Eu­ro­päi­schen Da­ten­schutz­aus­schus­ses (EDSA) stand auch der An­ge­mes­sen­heits­be­schluss für Korea auf der Agenda.

Prüfung

Am 16.06.2021 wurde der Entwurf des An­ge­mes­sen­heits­be­schlus­ses ver­öf­fent­licht und dem EDSA zur Stel­lung­nah­me über­mit­telt. In den ver­gan­ge­nen Monaten hat die EU-Kom­­mis­­si­on die Rechts­vor­schrif­ten und Prak­ti­ken der Re­pu­blik Korea im Bereich des Schut­zes per­so­nen­be­zo­ge­ner Daten ein­schließ­lich der Vor­schrif­ten über den Zugang von Be­hör­den zu Daten sorg­fäl­tig geprüft. Sie ist zu dem Schluss gelangt, dass die Re­pu­blik Korea ein Da­ten­schutz­ni­veau ge­währ­leis­tet, das dem durch die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO) ga­ran­tier­ten Da­ten­schutz­ni­veau der Sache nach gleich­wer­tig ist.

Der EDSA kon­zen­trier­te sich auf all­ge­mei­ne Aspekte der DSGVO und den Zugang von Be­hör­den zu per­so­nen­be­zo­ge­nen Daten, die zum Zwecke der Straf­ver­fol­gung und der na­tio­na­len Si­cher­heit aus dem Eu­ro­päi­schen Wirt­schafts­raum (EWR) in die Re­pu­blik Korea über­mit­telt werden, ein­schließ­lich der Rechts­be­hel­fe, die Ein­zel­per­so­nen im EWR zur Ver­fü­gung stehen.
Der EDSA be­wer­te­te auch, ob die im ko­rea­ni­schen Rechts­rah­men vor­ge­se­he­nen Schutz­maß­nah­men wirksam sind.

Er­geb­nis

Der EDSA betont, dass zwar die Kern­aspek­te des ko­rea­ni­schen Da­ten­schutz­rah­mens im We­sent­li­chen denen der Eu­ro­päi­schen Union ent­spre­chen, fordert die EU-Kom­­mis­­si­on jedoch auf, die Si­tua­ti­on genau zu be­ob­ach­ten.

Hin­sicht­lich des Zugangs von Be­hör­den zu Daten, die in die Re­pu­blik Korea über­mit­telt werden, stellt der EDSA fest, dass die Be­stim­mun­gen des PIPA (South Korea data pro­tec­tion aut­ho­ri­ty) ohne Ein­schrän­kung für den Bereich der Straf­ver­fol­gung gelten.

Der EDSA hat die Stel­lung­nah­me zum Entwurf der An­ge­mes­sen­heits­ent­schei­dung der Eu­ro­päi­schen Kom­mis­si­on für die Re­pu­blik Korea am 27.09.2021 an­ge­nom­men.

Die Kom­mis­si­on muss die Ent­schei­dung noch im Amts­blatt der Eu­ro­päi­schen Union veröffentlichen.

Was be­deu­tet dies für die Zukunft?

Der EDSA hat prin­zi­pi­ell keine Ein­wän­de Süd­ko­rea einen An­ge­mes­sen­heits­be­schluss i.S.d. Art. 45 DSGVO zu er­tei­len und so wird dieser – im Ge­gen­satz zum An­ge­mes­sen­heits­be­schluss für U.K. – auch keine „Sunset Clause“  ent­hal­ten. Um­ge­ach­tet dessen, dass die EU-Kom­­mis­­si­on die Ein­hal­tung des An­ge­mes­sen­heits­be­schlus­ses re­gel­mä­ßig über­prüft (i.d.R. alle vier Jahre) und diesen auch wieder ent­zie­hen kann. Positiv ist auch, dass sich der An­ge­mes­sen­heits­be­schluss auf Da­ten­über­mitt­lun­gen sowohl im öf­fent­li­chen als auch im pri­va­ten Bereich bezieht.

Es ist nicht mehr er­for­der­lich, mit einem Dienst­leis­ter (Pro­ces­sor) in Süd­ko­rea Stan­dard­ver­trags­klau­seln (SCC) ab­zu­schlie­ßen, sondern Ver­ein­ba­run­gen zur Auf­trags­ver­ar­bei­tung gemäß Art. 28 DSGVO.

Un­ge­ach­tet dessen ent­bin­det dies na­tür­lich nicht, unter anderem vor Beginn (und dann re­gel­mä­ßig) der Ver­ar­bei­tung eine Ri­si­ko­be­wer­tung durch­zu­füh­ren, zu prüfen, ob die Si­cher­heit der Ver­ar­bei­tung (tech­­nisch-or­­ga­­ni­­sa­­to­ri­­schen Maß­nah­men) für die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten aus­rei­chend sind. Die Grund­sät­ze für die Ver­ar­bei­tung (Art. 5 DSGVO) es sind ent­spre­chend einzuhalten.

Quelle: EDPB 27.09.2021 https://edpb.europa.eu/news/news/2021/edpb-adopts-opinion-draft-south-korea-adequacy-decision_en

AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.