# Ein koreanisches Unternehmen A mit einer Niederlassung in Europa ist als Shopping-Agentur koreanischer Produkte für europäische Verbraucher tätig.  Es gab Schwierigkeiten, Verbraucherinformationen zu analysieren, die für die Auswahl bevorzugter Produkte notwendig war; deshalb übernahm die Zentrale in Korea die Analyse.  Um die europäischen Verbraucherinformationen nach Korea zu übermitteln, mussten jedoch Standardvertragsklauseln (SCC) verwendet werden; da im Falle eines Verstoßes gegen das lokale Gesetz ein Bußgeld von maximal 4 % des ganzen Umsatzes verhängt werden konnte, fühlte sich das Unternehmen bezüglich Zeit als auch Kosten belastet.

Im Januar 2017 wurde die Diskussionen über die Angemessenheit der DSGVO begonnen; nach mehr als 5 Jahren wurde der Angemessenheitsbeschluss der europäischen DSGVO verabschiedet, so dass Unternehmen wie A nun Informationen europäischer Verbraucher leichter importieren können.

Am 17.12.2021, Freitag um 18.00 Uhr, wurde der Angemessenheitsbeschluss der Europäischen Union gegenüber Korea angenommen. Hiermit erkennt die EU an, dass das koreanische Gesetz zum Schutz personenbezogener Daten auf einem gleichen Niveau wie die DSGVO steht.  Als Resultat wird von diesem Zeitpunkt an koreanischen Unternehmen der gleichwertige Status wie den EU-Mitgliedstaaten zuerkannt.  Vorherige, umständliche Verfahren wie Standardverträge werden nun ausgenommen; personenbezogene Daten von EU-Bürgern können ohne zusätzliche Authentifizierungen oder Verfahren nach Korea übertragen werden.

Die DSGVO ist das Gesetz zum Schutz personenbezogener Daten in der Europäischen Union, das seit 25.5.2018 umgesetzt worden und bei allen in der EU tätigen Geschäften gültig ist. Die DSGVO zeichnet sich dadurch aus, dass sie durch die Benennung eines DPO und eine Folgeabschätzung die Verantwortung der Unternehmen stärkt. Die Rechte der betroffenen Personen wurde dadurch gestärkt, indem das Recht auf Einschränkung der Verarbeitung, auf Übertragung der Daten, auf Löschung und auf Ablehnung der Profilierung entweder eingeführt oder gestärkt wurde. Darüber hinaus werden personenbezogene Daten durch starke Strafbestimmungen geschützt, die bei allen Mitgliedstaaten die Verhängung eines Bußgeldes im Umfang von 4 % des gesamten Umsatzes vorsehen.

Bei dem Angemessenheitsbeschluss der DSGVO handelt es sich vor allem um die Überprüfung, ob ein nicht zur EU gehörender Staat ein System zum Schutz personenbezogener Daten betreibt, das auf dem gleichen Niveau wie das der EU steht.  Es wird überprüft, ob der nicht zur EU gehörende Staat über Maßnahmen zum Schutz personenbezogener Daten verfügt, die auf dem gleichen Niveau wie die EU stehen; Staaten, die die Überprüfung bestehen, können wie ein EU-Mitgliedsstaat Informationen von EU-Bürgern frei übermitteln.

Im Januar 2017 begann die Überprüfung der Angemessenheit der DSGVO gegenüber Korea; da die „Unabhängigkeit der Organisation zur Überwachung personenbezogener Daten“, die eine Kernbedingung war, nicht erfüllt wurde, wurden die Diskussionen zwei Mal eingestellt.  Mit der Überarbeitung der drei Datengesetze wurde die Kommission zum Schutz personenbezogener Daten als unabhängige Institution erneut ins Leben gerufen, was zur schnellen Wiederaufnahme der Diskussionen führte.

Im Laufe von mehr als 60 Diskussionen, zu denen auch nicht-persönliche Treffen gehören, überprüften Korea und die EU das koreanische Gesetz zum Schutz personenbezogener Daten, das damit zusammenhängende Gesetzessystem sowie Ausgaben der einzelnen Regierungsbehörden; dadurch wurde bestätigt, dass das koreanische Gesetzessystem zum Schutz personenbezogener Daten auf dem gleichen Niveau wie die DSGVO der Europäischen Union steht.  Der Europäische Datenschutzausschuss lobte die Bemühungen der koreanischen Regierung, die Differenzen zwischen dem koreanischen und europäischen Gesetzessystem zu lösen, was unter anderem durch die Überarbeitung der Kommission zum Schutz personenbezogener Daten vollzogen worden war. Die EU erwähnte ausdrücklich das hervorragende Niveau des koreanischen Gesetzessystems; der Angemessenheitsbeschluss wurde dementsprechend im Genehmigungsverfahren einstimmig angenommen.

EU-Angemessenheitsverfahren

Die EU-Kommission (Justizamt) geht nach drei Schritten vor: Anfängliche Entscheidung, Meinungssammlung und letztendliche Entscheidung.

Jongin Yoon und Didier Reynders, jeweils Vorsitzender der Kommission zum Schutz personenbezogener Daten und Kommissar der Rechtsstaatlichkeit der EU-Kommission, erklärten: Der gemeinsame Wille von Korea und der EU zu einem höheren Niveau des Datenschutzes und das hervorragende koreanische Gesetzessystem zum Schutz personenbezogener Daten stellt die Grundlage dieser Entscheidung dar.“

Die Kommission zum Schutz personenbezogener Daten bewertete darüber hinaus, dass diese Entscheidung beweisen werde, dass „die Stärkung des Schutzes personenbezogener Daten zur Förderung des internationalen Handelns beitragen kann und dass sie die Zusammenarbeit zwischen beiden Seiten stärken wird, indem sie das Freihandelsabkommen zwischen Korea und der EU ergänzt.“

Bis jetzt konnten koreanische Unternehmen, die in der EU tätig waren, nur dann Informationen von EU-Bürgern nach Korea übermitteln, wenn sie die DSGVO und die lokalen Gesetze sorgfältig überprüft hatten und dann nach einer Reihe von Verwaltungsverfahren Standardvertragsklauseln unterzeichnet haben. Dieser Prozess hat nicht nur mehr als drei Monate gedauert und zwischen 30 bis 100 Millionen Won gekostet, sondern auch die Unternehmen ziemlich belastet, weil sie Gefahr liefen, Geldstrafen bei regelwidrigem Verhalten zu bezahlen. Darüber hinaus verzichteten manche kleine und mittlere Unternehmen darauf, in der EU überhaupt Handel zu treiben, denn das Verfahren des Standardvertrags selbst stellte Schwierigkeiten dar.

Mit dem DSGVO-Angemessenheitsbeschluss wird Korea ein mit den EU-Mitgliedsstaaten vergleichbarer Status zugeschrieben; die bisherigen umständlichen Verfahren fallen damit weg. Als Ergebnis wird erwartet, dass koreanische Unternehmen aktiv in den EU-Markt vordringen; insbesondere koreanische Datenanalyseunternehmen könnte davon profitieren.

Im Fall eines deutschen Unternehmens A, das durch die Pressemitteilung der Kommission zum Schutz personenbezogener Daten vorgestellt worden ist, hatte das Unternehmen versucht, ein koreanisches, professionelles Unternehmen zu bitten, anhand der Analyse der personenbezogenen Daten eigener Verbraucher Marketingstrategien zu entwickeln. Das Verfahren bei lokalen Behörden, um die personenbezogenen Daten zu übermitteln, war aber zu kompliziert; deshalb war nur eine begrenzte Untersuchung möglich. Nach dem Angemessenheitsbeschluss kann das Unternehmen A jedoch ohne Standardvertragsverfahren Daten zu koreanischen Unternehmen übermitteln; dadurch wird eine einfachere Erstellung von Marketingstrategien möglich.

Es muss jedoch unbedingt bedacht werden, dass nur die Belastung bezüglich der Übermittlung außerhalb der EU verringert wird; die allgemeine Pflicht, bei der direkten Sammlung und Verarbeitung personenbezogener Daten der EU-Bürger an der DSGVO festzuhalten, wird dadurch nicht aufgehoben.

Darüber hinaus prognostizierte die Kommission zum Schutz personenbezogener Daten, dass die Verstärkung des Datenaustausches und der Zusammenarbeit zwischen koreanischen und europäischen Unternehmen die koreanische Datenökonomie fördern wird. Im Unterschied zum Angemessenheitsbeschluss gegenüber Japan, der sich auf die private Datenübertragung beschränkt hat, ist dieser Angemessenheitsbeschluss auch bei öffentlichen Daten gültig; auch dadurch wird eine Förderung der Zusammenarbeit im öffentlichen Bereich zwischen Korea und der EU prognostiziert. Die Kommission zum Schutz personenbezogener Daten teilte mit, dass sie nun weitere internationale Verhandlungen plant, um personenbezogene Daten von Bürgern auch außerhalb der EU nach Korea übermitteln zu können; als erster Schritt wurde Großbritannien ausgewählt.

Kriterien zur Entscheidung, ob ein Unternehmen der DSGVO unterliegt

Das Unternehmen macht innerhalb der EU Geschäfte und verarbeitet personenbezogene Daten 

Das Unternehmen stellt Waren oder Dienstleistungen für sich in der EU aufhaltende Bürger her

Das Unternehmen überwacht das Verhalten der sich in der EU aufhaltenden Bürger innerhalb der EU

*Es muss berücksichtigt werden, dass nicht die Nationalität, sondern der Aufenthaltsort der Bürger als Kriterium für die Anwendung der DSGVO gilt.

-> Das heißt, wenn personenbezogene Daten von einem EU-Bürger in Korea gesammelt und verarbeitet werden, kann es sein, dass die DSGVO nicht gültig ist. Aber wenn die Daten von einem Koreaner innerhalb der EU gesammelt und verarbeitet werden, dann gilt er als Bewohner der EU und die DSGVO kann Verwendung finden.

* Dies gilt nur dann, wenn „deutlich“ der EU-Markt in Betracht gezogen wird, und nur die Möglichkeit zum Zugriff dient nicht als Begründung für die Verwendung der DSGVO.

-> Wenn das Unternehmen Waren und Dienstleistungen in Euro vertreibt oder seine Homepage auf französisch, deutsch oder einer anderen europäischen Sprache betreibt:  Dies gilt als deutliche Begründung für die Verwendung der DSGVO, aber wenn das Unternehmen allein die englische Sprache und US-Dollar verwendet, dann könnte es sein, dass die DSGVO nicht gültig ist.

Quellen und Referenzen

Pressemitteilung der Kommission zum Schutz personenbezogener Daten, letztendliche Verabschiedung zum koreanischen-europäischen „Angemessenheitsbeschluss bezüglich personenbezogenen Datenschutzes“

KISA DSGVO Zentrum für Unterstützung