Um die langjährigen Beziehungen zwischen der Europäischen Union und Südkorea zu stärken und gleichzeitig die Rechte und Freiheiten des Einzelnen zu schützen, ist ein barrierefreier Datentransfer von grossem Vorteil. Dies bedarf jedoch ein adäquates Datenschutzniveau seitens der Republik Südkorea. Nachdem die Europäische Kommission die Rechtsvorschriften und Praktiken der Republik Südkorea im Bereich des Schutzes personenbezogener Daten sorgfältig geprüft und ein Entwurf für den Angemessenheitsbeschluss erarbeitet hat, folgt nun die Stellungnahme des EDSA.

Die Kommission leitete am 16. Juni 2021 das Verfahren zur Annahme des Angemessenheitsbeschlusses für die Datenübermittlung in die Republik Südkorea ein. Dessen Annahme würde zum einem den EU-Bürgerinnen und -Bürgern einen starken Schutz ihrer personenbezogenen Daten bei deren Übermittlung in die Republik Südkorea bieten und zum anderen würde er das bestehende Freihandelsabkommen zwischen der EU und der Republik Südkorea ergänzen, womit die Zusammenarbeit zwischen der EU und der Republik Südkorea als führende digitale Mächte gestärkt wird. Das Freihandelsabkommen hat denn auch zu einem erheblichen Anstieg des bilateralen Handels mit Waren und Dienstleistungen geführt. Ein Angemessenheitsbeschluss würde hierbei die Handelsbeziehungen zwischen der EU und der Republik Südkorea mit einem Gesamtvolumen von fast 90 Mrd. EUR und sogleich den freien Verkehr personenbezogener Daten fördern.

 

Der Europäische Datenschutzausschuss (EDSA) veröffentlichte sodann am 24. September 2021 seine Stellungnahme zum Entwurf des Angemessenheitsbeschlusses der Europäischen Kommission. Der EDSA war mit den Ergebnissen mehrheitlich zufrieden, dennoch gab es einige Anmerkungen.

 

Die massgebliche Rechtsvorschrift für die Verarbeitung von personenbezogenen Daten in der Republik Südkorea ist das nationale Gesetz zum Schutz personenbezogener Daten (Personal Information Protection Act – PIPA). Dessen Grundsätze stimmen teilweise mit jenen der Europäischen Datenschutz-Grundverordnung (DSGVO) überein. Die Europäische Kommission und die Südkoreanischen Behörden sind bemüht, dass die Republik Südkorea ein Datenschutzniveau bietet, das im Wesentlichen dem der DSGVO entspricht. So hat die Südkoreanische Datenschutzbehörde (PIPC) Schutzmassnahmen erlassen, um den PIPA weiter der DSGVO anzugleichen. Mit dieser Reform wurden viele Standards eines modernen Datenschutzgesetzes auf Südkoreanischer Seite eingeführt. So wurde unter anderem auch eine unabhängige Datenschutzbehörde anerkannt und mit weitreichenden Befugnissen ausgestattet. Eine solche Behörde gilt als Schlüsselelement zur internationalen Angleichung des Datenschutzniveaus.

 

Damit die Angemessenheit beschlossen werden kann, sollte laut EDSA die Europäische Kommission dennoch bestimmte Aspekte weiter abklären und evtl. sogar neu verhandeln. Denn gemäss dessen Ansicht seien einige Punkte des PIPA noch immer nicht ausreichen genügend bestimmt. So möchte der EDSA beispielsweise mehr über die bindende Wirkung des PIPA und dessen Vollstreckbarkeit im Allgemeinen in Erfahrung bringen.

Aber auch inhaltliche Aspekte des PIPA werden durch den EDSA bemängelt. So stört sich der EDSA daran, dass im PIPA nicht die gleiche Terminologie verwendet wurde wie in der DSGVO. Vor allem in Bezug auf die Begriffe „controller“ und „processor“ wird die mangelnde Harmonisierung als verwirrend und als Gefahr für die Rechtssicherheit angesehen. Weiter führt der EDSA aus, dass im PIPA das allgemeine Recht auf Widerruf der Einwilligung fehle oder nicht klar ersichtlich sei. In Anbetracht der substantiellen Bedeutung der Einwilligung als Rechtsgrundlage in der DSGVO ist ein standhaftes Widerrufrecht für die Erwägung eines angemessenen Datenschutzniveaus existenziell. Der EDSA fordert deshalb die Europäische Kommission auf die Auswirkungen des Fehlens eines Widerrufsrechts nach Koreanischem Recht zu analysieren und zu prüfen, was dies für den Datenschutz des Einzelnen bedeutet.

 

Der EDSA ist sich bewusst, dass er hierbei hohe Anforderungen stellt und hält es darum auch für wichtig in seiner Stellungnahme aufzuführen, dass das Ziel nicht sei, den PIPA so zu verändern, dass es später einen Abklatsch der DSGVO darstelle. Jedoch verlangen Art. 45 DSGVO und der Europäische Gerichtshof ein angemessenes Schutzniveau, womit die Rechtsvorschriften eines Drittlandes mit dem Kern der in der DSGVO verankerten Grundprinzipien übereinstimmen müssen. Aus diesem Grund begrüsst der EDSA auch die Bemühungen der Europäischen Kommission und der Südkoreanischen Behörden, um sicherzustellen, dass die Republik Südkorea ein angemessenes Schutzniveau bietet.

 

Quellen: