Nachtrag 20.12.2021:
Die EU-Kommission hat am 17.12.2021 den Angemessenheitsbeschluss für die Republik Korea getroffen. Die Datenströme zwischen der EU und der Republik Korea werden dadurch deutlich einfacher als bisher.
Es besteht grundsätzlich eines hohes und mit der DSGVO bzw. EU vergleichbares Datenschutzniveau. Es bleiben allerdings Schwachstellenstellen. Auch im koreanischen Datenschutzrecht hat die Einwilligung wie in der DSGVO eine große Bedeutung für die Rechtmäßigkeit der Verarbeitung. Allerdings besteht kein Widerrufsrecht.
des Weiteren sieht das koreanische Datenschutzrecht vor, dass auf Kommunikationsdaten von Betroffenen ohne Information Zugriff genommen werden kann, solang an der Kommunikation kein koreanischer Staatsbürger beteiligt ist. Es gibt hier keine Möglichkeit für den Betroffenen, die Rechtmäßigkeit des Vorgehens durch die Sicherheitsbehörden zu prüfen.
Download EU Angemessenheitsbeschluss Republik Korea (englisch): https://ec.europa.eu/info/sites/default/files/1_1_180366_dec_ade_kor_new_en.pdf
————-
In der Sitzung am 27.09.2021 des Europäischen Datenschutzausschusses (EDSA) stand auch der Angemessenheitsbeschluss für Korea auf der Agenda.
Prüfung
Am 16.06.2021 wurde der Entwurf des Angemessenheitsbeschlusses veröffentlicht und dem EDSA zur Stellungnahme übermittelt. In den vergangenen Monaten hat die EU-Kommission die Rechtsvorschriften und Praktiken der Republik Korea im Bereich des Schutzes personenbezogener Daten einschließlich der Vorschriften über den Zugang von Behörden zu Daten sorgfältig geprüft. Sie ist zu dem Schluss gelangt, dass die Republik Korea ein Datenschutzniveau gewährleistet, das dem durch die Datenschutz-Grundverordnung (DSGVO) garantierten Datenschutzniveau der Sache nach gleichwertig ist.
Der EDSA konzentrierte sich auf allgemeine Aspekte der DSGVO und den Zugang von Behörden zu personenbezogenen Daten, die zum Zwecke der Strafverfolgung und der nationalen Sicherheit aus dem Europäischen Wirtschaftsraum (EWR) in die Republik Korea übermittelt werden, einschließlich der Rechtsbehelfe, die Einzelpersonen im EWR zur Verfügung stehen.
Der EDSA bewertete auch, ob die im koreanischen Rechtsrahmen vorgesehenen Schutzmaßnahmen wirksam sind.
Ergebnis
Der EDSA betont, dass zwar die Kernaspekte des koreanischen Datenschutzrahmens im Wesentlichen denen der Europäischen Union entsprechen, fordert die EU-Kommission jedoch auf, die Situation genau zu beobachten.
Hinsichtlich des Zugangs von Behörden zu Daten, die in die Republik Korea übermittelt werden, stellt der EDSA fest, dass die Bestimmungen des PIPA (South Korea data protection authority) ohne Einschränkung für den Bereich der Strafverfolgung gelten.
Der EDSA hat die Stellungnahme zum Entwurf der Angemessenheitsentscheidung der Europäischen Kommission für die Republik Korea am 27.09.2021 angenommen.
Die Kommission muss die Entscheidung noch im Amtsblatt der Europäischen Union veröffentlichen.
Was bedeutet dies für die Zukunft?
Der EDSA hat prinzipiell keine Einwände Südkorea einen Angemessenheitsbeschluss i.S.d. Art. 45 DSGVO zu erteilen und so wird dieser – im Gegensatz zum Angemessenheitsbeschluss für U.K. – auch keine „Sunset Clause“ enthalten. Umgeachtet dessen, dass die EU-Kommission die Einhaltung des Angemessenheitsbeschlusses regelmäßig überprüft (i.d.R. alle vier Jahre) und diesen auch wieder entziehen kann. Positiv ist auch, dass sich der Angemessenheitsbeschluss auf Datenübermittlungen sowohl im öffentlichen als auch im privaten Bereich bezieht.
Es ist nicht mehr erforderlich, mit einem Dienstleister (Processor) in Südkorea Standardvertragsklauseln (SCC) abzuschließen, sondern Vereinbarungen zur Auftragsverarbeitung gemäß Art. 28 DSGVO.
Ungeachtet dessen entbindet dies natürlich nicht, unter anderem vor Beginn (und dann regelmäßig) der Verarbeitung eine Risikobewertung durchzuführen, zu prüfen, ob die Sicherheit der Verarbeitung (technisch-organisatorischen Maßnahmen) für die Verarbeitung der personenbezogenen Daten ausreichend sind. Die Grundsätze für die Verarbeitung (Art. 5 DSGVO) es sind entsprechend einzuhalten.
Quelle: EDPB 27.09.2021 https://edpb.europa.eu/news/news/2021/edpb-adopts-opinion-draft-south-korea-adequacy-decision_en
AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.