Die EU-Datenschutzbehörden haben am Montag (27. September) eine unverbindliche Stellungnahme zur Angemessenheit des südkoreanischen Datenschutzgesetzes im Vergleich zu den EU-Vorschriften abgegeben und eine insgesamt positive Bewertung abgegeben, die nach Ansicht einiger Analysten hinter den Erwartungen zurückgeblieben ist.
Der Europäische Datenschutzausschuss (EDSA) sieht das asiatische Land in seinem Datenschutzrahmen weitgehend an Europa angeglichen, insbesondere in Bezug auf die wichtigsten Konzepte, die Gründe für die rechtmäßige Verarbeitung personenbezogener Daten, die Beschränkung der Datenverarbeitung auf den erklärten Zweck, Datenqualität und Aufbewahrungsfrist, Transparenz und Vertraulichkeit.
„Die Stellungnahme des EDSA gibt eine insgesamt positive Bewertung des südkoreanischen Datenschutzregimes ab. Es ist wahrscheinlich, dass der Angemessenheitsbeschluss angenommen wird. Es gibt jedoch einige Vorbehalte in Bezug auf nationale Sicherheitsausnahmen und die den betroffenen Personen zur Verfügung stehenden Rechtsmittel“, sagte Robert Bateman, Analyst und Forschungsdirektor bei GRC World Forums
Ein wichtiger Vorbehalt für den EDSA ist, dass das südkoreanische Datenschutzgesetz den Zugriff auf personenbezogene Daten durch die Strafverfolgungsbehörden nicht einschränkt. Der EDSA stellt insbesondere die Mitteilung Nr. 2021-1 in Frage, die Auslegung der koreanischen Datenschutzgesetze durch die Behörden, die einige Garantien für Übertragungen aus dem Europäischen Wirtschaftsraum bieten wollen.
Charles-Albert Helleputte, Leiter des Bereichs EU-Daten- und Datenschutz bei der Anwaltskanzlei Steptoe, und Diletta De Cicco, eine Datenschutzbeauftragte von Steptoe, warnten, dass die Verbindlichkeit, Durchsetzbarkeit und Gültigkeit der Meldung, insbesondere vor koreanischen Gerichten, „das Potenzial für eine weitere Safe-Harbor/Privacy-Schild-Saga auf der anderen Seite der Welt.“
Im Gegensatz dazu wies Bateman darauf hin, dass der Vorstand beruhigt ist, dass die südkoreanische Verfassung einige Garantien gegen den uneingeschränkten Zugriff der Strafverfolgungsbehörden auf personenbezogene Daten bietet.
Der EDSA selbst wies auf einige Mängel der koreanischen Datenschutzregelungen hin, insbesondere die beispiellose Regelung für pseudonymisierte Daten, die eingeschränkte Möglichkeit, die Einwilligung zu widerrufen, das Vertrauen auf die Einwilligung bei Weiterübermittlungen, einige Definitionsprobleme im Zusammenhang mit „Auftragsverarbeitern“, mangelnder Schutz in Bezug auf automatisierte Entscheidungen Herstellung.
Der EDSA forderte die Europäische Kommission außerdem auf, alle Entwicklungen zu überwachen, die die Unabhängigkeit der südkoreanischen Aufsichtsbehörde beeinträchtigen könnten, insbesondere im Hinblick auf die ihr zur Verfügung gestellten personellen und finanziellen Ressourcen.
„Mir sieht es so aus, als ob sowohl die Europäische Kommission als auch die koreanischen Behörden noch viel zu tun haben, um den koreanischen Rechtsrahmen an den europäischen anzugleichen“, sagte Rechtsexperte Maciej Jankowski, der glaubt, dass das Angemessenheitsverfahren Monate dauern könnte oder sogar Jahre.
Für Steptoes Helleputte und De Cicco hat die Stellungnahme des EDSA sein Mandat nicht erreicht. „Der EDPB ist damit beauftragt, Vorschläge zur Behebung von Mängeln zu ermitteln und schlägt hauptsächlich und vor allem vor, die Anwendung der Vorschriften in Korea zu überwachen“, sagten die beiden Anwälte gegenüber EURACTIV und schlugen vor, dass dies zu einem erneuten Eingreifen des EU-Gerichtshofs führen könnte.
Es wird nun erwartet, dass die Europäische Kommission die Zustimmung der EU-Mitgliedstaaten einholt, bevor sie die Annahme des Angemessenheitsbeschlusses abschließt.
[Edited by Zoran Radosavljevic]