(1)

Die Verordnung (EU) 2016/679 enthält die Vorschriften für die Übermittlung personenbezogener Daten durch Verantwortliche oder Auftragsverarbeiter in der Union an Drittländer und internationale Organisationen, soweit die betreffenden Übermittlungen in ihren Anwendungsbereich fallen. Die Vorschriften über internationale Datenübermittlung sind in Kapitel V (Artikel 44 bis 50) der Verordnung festgelegt. Der Fluss personenbezogener Daten in Drittländer und aus Drittländern ist zwar für die Ausweitung des grenzüberschreitenden Handels und der internationalen Zusammenarbeit wesentlich, dennoch darf das unionsweit gewährleistete Schutzniveau für personenbezogene Daten bei Übermittlungen in Drittländer nicht untergraben werden (2).

(2)

Nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau bieten. Unter dieser Voraussetzung können personenbezogene Daten nach Artikel 45 Absatz 1 und Erwägungsgrund 103 der Verordnung (EU) 2016/679 ohne weitere Genehmigung an ein Drittland übermittelt werden.

(3)

Wie in Artikel 45 Absatz 2 der Verordnung (EU) 2016/679 festgelegt, muss die Annahme eines Angemessenheitsbeschlusses auf einer umfassenden Analyse der Rechtsordnung des Drittlands beruhen und zwar sowohl in Bezug auf die für die Datenimporteure geltenden Vorschriften als auch auf die Einschränkungen und Garantien für den Zugang der Behörden zu personenbezogenen Daten. Im Rahmen ihrer Prüfung muss die Kommission feststellen, ob das betreffende Drittland ein Schutzniveau garantiert, das dem innerhalb der Europäischen Union gewährleisteten Schutzniveau „der Sache nach gleichwertig“ ist (Erwägungsgrund 104 der Verordnung (EU) 2016/679). Dies ist anhand des EU-Rechts, insbesondere der Verordnung (EU) 2016/679, sowie der Rechtsprechung des Gerichtshofs der Europäischen Union zu prüfen (3).

(4)

Der Gerichtshof der Europäischen Union hat klargestellt, dass es dazu keines identischen Schutzniveaus bedarf (4). Insbesondere können sich die Mittel, auf die das betreffende Drittland für den Schutz personenbezogener Daten zurückgreift, von denen unterscheiden, die in der Union herangezogen werden, sofern sie sich in der Praxis als wirksam erweisen, um ein angemessenes Schutzniveau zu gewährleisten (5). Daher erfordert die Angemessenheitsfeststellung keine Eins-zu-eins-Übereinstimmung mit den Vorschriften der Union. Die Frage ist vielmehr, ob das ausländische System insgesamt aufgrund des Wesensgehalts der Rechte auf Privatsphäre sowie ihrer wirksamen Anwendung, Überwachung und Durchsetzung das erforderliche Maß an Schutz bietet (6). Eine weitere Orientierungshilfe bietet die Referenzgrundlage für Angemessenheit des Europäischen Datenschutzausschusses, mit der dieser Standard weiter präzisiert werden soll (7).

(5)

Die Kommission hat Recht und Praxis in Korea sorgfältig analysiert. Auf der Grundlage der in den Erwägungsgründen (8)-(208) dargelegten Feststellungen kommt die Kommission zu dem Schluss, dass die Republik Korea ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, die von einem Verantwortlichen oder Auftragsverarbeiter in der Union (8) an Rechtsträger (z. B. natürliche oder juristische Personen, Organisationen, öffentliche Einrichtungen) in Korea übermittelt werden, die in den Anwendungsbereich des Gesetzes zum Schutz personenbezogener Daten (Gesetz Nr. 10465 vom 29. März 2011, zuletzt geändert durch Gesetz Nr. 16930 vom 4. Februar 2020) fallen. Dies gilt sowohl für die Verantwortlichen als auch für die Auftragsverarbeiter (im koreanischen Gesetz und im Folgenden „Beauftragte“ (9)) im Sinne der Verordnung (EU) 2016/679. Die Angemessenheitsfeststellung erstreckt sich nicht auf die Verarbeitung personenbezogener Daten für Missionierungstätigkeiten religiöser Organisationen und für die Nominierung von Kandidaten durch politische Parteien sowie auf die Verarbeitung personenbezogener Kreditdaten gemäß dem Kreditdatengesetz durch die Datenverantwortlichen, die der Aufsicht durch die Finanzdienstleistungskommission unterliegen.

(6)

Dabei werden die in der Bekanntmachung Nr. 2021-5 (Anhang I) dargelegten zusätzlichen Garantien sowie die offiziellen Erklärungen, Zusicherungen und Pflichten der koreanischen Regierung gegenüber der Kommission (Anhang II) berücksichtigt.

(7)

Der Beschluss hat zur Folge, dass die Datenübermittlungen an die Datenverantwortlichen und Auftragsverarbeiter in der Republik Korea ohne weitere Genehmigung vorgenommen werden können. Er wirkt sich nicht auf die unmittelbare Anwendung der Verordnung (EU) 2016/679 auf derartige Rechtsträger aus, wenn die in Artikel 3 der Verordnung festgelegten Bedingungen für den räumlichen Anwendungsbereich der Verordnung erfüllt sind.

(8)

Das Rechtssystem für den Schutz der Privatsphäre und den Datenschutz in Korea wurzelt in der am 17. Juli 1948 verkündeten koreanischen Verfassung. Das Recht auf den Schutz personenbezogener Daten ist zwar nicht ausdrücklich in der Verfassung verankert, wird aber dennoch als Grundrecht anerkannt, das sich aus den Verfassungsrechten auf die Würde des Menschen und das Streben nach Glück (Artikel 10), das Privatleben (Artikel 17) und das Kommunikationsgeheimnis (Artikel 18) ableitet. Dies wurde sowohl vom Obersten Gerichtshof (10) als auch vom Verfassungsgericht (11) bestätigt. Einschränkungen der Grundrechte und -freiheiten (einschließlich des Rechts auf Privatsphäre) dürfen nur dann gesetzlich vorgeschrieben werden, wenn sie für die nationale Sicherheit oder die Aufrechterhaltung der öffentlichen Ordnung für das Gemeinwohl erforderlich sind, und dürfen den Wesensgehalt des betreffenden Rechts oder der betreffenden Freiheit nicht beeinträchtigen (Artikel 37 Absatz 2).

(9)

Auch wenn die Verfassung an verschiedenen Stellen auf die Rechte koreanischer Staatsangehörigen verweist, hat das Verfassungsgericht entschieden, dass auch ausländische Staatsangehörige Gegenstand der Grundrechte sind (12). Insbesondere stellte das Verfassungsgericht fest, dass der Schutz der Würde und des Wertes des Menschen sowie das Recht, nach Glück zu streben, Rechte eines jeden Menschen sind, nicht nur der Staatsangehörigen (13). Darüber hinaus wird nach offiziellen Angaben der koreanischen Regierung (14) allgemein anerkannt, dass in den Artikeln 12 bis 22 der Verfassung (zu denen auch die Rechte auf Privatsphäre gehören) grundlegende Menschenrechte verankert sind (15). Obwohl es bisher keine Rechtsprechung speziell zum Recht auf Privatsphäre von ausländischen Staatsangehörigen gibt, stützt sich diese Schlussfolgerung auf den Schutz der Menschenwürde und das Streben nach Glück (16).

(10)

Darüber hinaus hat Korea eine Reihe von Gesetzen im Bereich des Datenschutzes erlassen, die allen Personen, unabhängig von ihrer Staatsangehörigkeit, Schutz bieten (17). Für die Zwecke dieses Beschlusses sind folgende Gesetze relevant:

(11)

Das PIPA bildet den allgemeinen Rechtsrahmen für den Datenschutz in der Republik Korea. Es wird durch einen Durchführungserlass (Präsidialerlass Nr. 23169 vom 29. September 2011, zuletzt geändert durch Präsidialerlass Nr. 30892 vom 4. August 2020) (im Folgenden „PIPA-Durchführungserlass“) ergänzt, der wie das PIPA rechtsverbindlich und vollstreckbar ist.

(12)

Darüber hinaus enthalten die von der Kommission für den Schutz personenbezogener Daten (Personal Information Protection Commission – PIPC) angenommenen behördlichen „Bekanntmachungen“ weitere Regeln für die Auslegung und Anwendung des PIPA. Auf der Grundlage von Artikel 5 (Pflichten des Staates) und Artikel 14 PIPA (internationale Zusammenarbeit) verabschiedete die PIPC die Bekanntmachung Nr. 2021-1 vom 1. September 2020 (geändert durch die Bekanntmachungen Nr. 2021-1 vom 21. Januar 2021 und Nr. 2021-5 vom 16. November 2021, im Folgenden „Bekanntmachung Nr. 2021-5“) über die Auslegung, Anwendung und Durchsetzung bestimmter Bestimmungen des PIPA. Diese Bekanntmachung enthält Klarstellungen, die für jede Verarbeitung personenbezogener Daten nach dem PIPA gelten, sowie zusätzliche Garantien für personenbezogene Daten, die auf der Grundlage dieses Beschlusses nach Korea übermittelt werden. Die Bekanntmachung ist für die Datenverantwortlichen rechtsverbindlich und kann sowohl von der PIPC als auch von den Gerichten durchgesetzt werden (19). Ein Verstoß gegen die in der Bekanntmachung dargelegten Regeln bedeutet einen Verstoß gegen die einschlägigen Bestimmungen des PIPA, die sie ergänzen. Der Inhalt der zusätzlichen Garantien wird daher im Rahmen der Prüfung der einschlägigen PIPA-Artikel analysiert. Weitere Hinweise zum PIPA und dem Durchführungserlass, in dem die Anwendung und Durchsetzung der Datenschutzvorschriften durch die PIPC geregelt ist, finden sich im PIPA-Handbuch und den von der PIPC verabschiedeten Leitlinien (20).

(13)

Darüber hinaus enthält das Gesetz über die Verwendung und den Schutz von Kreditdaten (im Folgenden „Kreditdatengesetz“) spezifische Vorschriften, die sowohl für „gewöhnliche“ Wirtschaftsbeteiligte als auch für spezialisierte Einrichtungen des Finanzsektors gelten, wenn sie personenbezogene Kreditdaten verarbeiten, d. h. Daten, die zur Feststellung der Kreditwürdigkeit von Parteien bei Finanz- oder Handelsgeschäften erforderlich sind. Dazu gehören insbesondere der Name, die Kontaktdaten, Finanztransaktionen, das Kreditrating, der Versicherungsstatus oder der Kreditsaldo, wenn diese Daten zur Bestimmung der Kreditwürdigkeit einer Person verwendet werden (21). Werden solche Daten hingegen für andere Zwecke verwendet (z. B. für die Personalverwaltung), gilt das PIPA in vollem Umfang. Die Einhaltung der spezifischen Datenschutzbestimmungen des Kreditdatengesetzes wird zum Teil von der PIPC (für Handelsorganisationen, siehe Artikel 45-3 des Kreditdatengesetzes) und zum Teil von der Finanzdienstleistungskommission (22) (für den Finanzsektor, einschließlich Rating-Agenturen, Banken, Versicherungsgesellschaften, Kreditkassen auf Gegenseitigkeit, spezialisierte Kreditfinanzierungsunternehmen, Finanzdienstleistungsunternehmen, Wertpapierfinanzierungsunternehmen, Kreditgenossenschaften usw., siehe Artikel 45 Absatz 1 des Kreditdatengesetzes in Verbindung mit Artikel 36-2 des Durchführungserlasses zum Kreditdatengesetz und Artikel 38 des Gesetzes über die Finanzdienstleistungskommission) überprüft. In dieser Hinsicht ist der Anwendungsbereich dieses Beschlusses auf Wirtschaftsbeteiligte beschränkt, die der Aufsicht durch die PIPC unterstellt sind (23). Die spezifischen Bestimmungen des Kreditdatengesetzes, die in diesem Zusammenhang gelten (in den Fällen, in denen keine spezifischen Bestimmungen bestehen, gelten die allgemeinen PIPA-Bestimmungen), werden in Abschnitt 2.3.11 beschrieben.

(14)

Sofern in anderen Gesetzen nicht ausdrücklich anders vorgesehen, wird der Schutz personenbezogener Daten durch das PIPA geregelt (Artikel 6). Der sachliche und persönliche Anwendungsbereich wird durch die definierten Begriffe „personenbezogene Daten“, „Verarbeitung“ und „Verantwortlicher für die Verarbeitung personenbezogener Daten“ bestimmt.

(15)

Nach Artikel 2 Absatz 1 PIPA handelt es sich bei personenbezogenen Daten um Daten, die sich auf eine lebende Person beziehen und diese direkt – z. B. durch ihren Namen, ihre Melderegisternummer oder ihr Bild – oder indirekt identifizieren lassen, d. h. wenn Daten, durch die für sich genommen keine bestimmte Person identifiziert werden kann, leicht mit anderen Daten verknüpft werden können. Die Frage, ob Daten „leicht“ verknüpft werden können, hängt davon ab, ob eine solche Verknüpfung nach allgemeinem Ermessen wahrscheinlich ist, wobei die Möglichkeit, andere Daten zu erhalten, sowie die Zeit, die Kosten und die Technologie, die zur Identifizierung einer Person erforderlich sind, berücksichtigt werden.

(16)

Darüber hinaus gelten pseudonymisierte Daten – d. h. Daten, die nicht zur Identifizierung einer bestimmten Person verwendet oder mit zusätzlichen Informationen verknüpft werden können, um ihren ursprünglichen Zustand wiederherzustellen – als personenbezogene Daten im Sinne des PIPA (Artikel 2 Absatz 1 Buchstabe c PIPA). Umgekehrt sind Daten, die vollständig „anonymisiert“ sind, vom Anwendungsbereich des PIPA ausgeschlossen (Artikel 58-2 PIPA). Dies gilt für Daten, mit denen eine bestimmte Person nicht identifiziert werden kann, selbst wenn sie mit anderen Daten verknüpft werden, wobei der für die Identifizierung erforderliche Zeit-, Kosten- und Technologieaufwand zu berücksichtigen ist.

(17)

Dies entspricht dem sachlichen Anwendungsbereich der Verordnung (EU) 2016/679 und den darin genannten Definitionen der Begriffe „personenbezogene Daten“, „Pseudonymisierung“ (24) und „anonymisierte Daten“ (25).

(18)

Der Begriff „Verarbeitung“ ist im PIPA weit gefasst und bezieht sich auf die Erhebung, Erzeugung, Verbindung, Verknüpfung, Aufzeichnung, Speicherung, Aufbewahrung, Verarbeitung mit Zusatznutzen, Bearbeitung, das Abrufen, die Veröffentlichung, Berichtigung, Wiederherstellung, Verwendung, Bereitstellung und Offenlegung sowie Vernichtung personenbezogener Daten und andere ähnliche Tätigkeiten (26). Obwohl sich einige Bestimmungen des PIPA nur auf bestimmte Arten der Verarbeitung beziehen, wie z. B. „Verwendung“, „Bereitstellung“ oder „Erhebung“, (27) wird der Begriff „Verwendung“ so ausgelegt, dass er jede andere Art der Verarbeitung als „Erhebung“ oder „Bereitstellung“ (durch Dritte) einschließt. Durch diese weite Auslegung des Begriffs „Verwendung“ wird sichergestellt, dass es keine Schutzlücken in Bezug auf bestimmte Verarbeitungstätigkeiten gibt. Der Begriff der Verarbeitung entspricht daher demselben Begriff in der Verordnung (EU) 2016/679.

(19)

Das PIPA gilt für Verantwortliche für die Verarbeitung personenbezogener Daten (im Folgenden „Datenverantwortliche“). Ähnlich wie in der Verordnung (EU) 2016/679 umfasst dies jede öffentliche Einrichtung, juristische Person, Organisation oder Einzelperson, die direkt oder indirekt personenbezogene Daten verarbeitet, um im Rahmen ihrer Tätigkeit Akten mit personenbezogenen Daten zu verwalten (28). In diesem Zusammenhang bedeutet „Akte mit personenbezogenen Daten“ jeden „Satz oder Sätze personenbezogener Daten, die in systematischer Weise auf der Grundlage einer bestimmten Regel für einen leichten Zugang zu den personenbezogenen Daten geordnet oder zusammengestellt sind“ (Artikel 2 Absatz 4 PIPA) (29). Im Innenverhältnis ist der Datenverantwortliche verpflichtet, die Personen, die unter seiner Weisung an der Verarbeitung beteiligt sind, wie Unternehmensleiter oder Mitarbeiter, zu schulen und eine angemessene Kontrolle und Aufsicht auszuüben (Artikel 28 Absatz 1 PIPA).

(20)

Besondere Pflichten gelten, wenn ein Datenverantwortlicher (Auslagernder) die Verarbeitung personenbezogener Daten an einen Dritten (Beauftragten) auslagert. Insbesondere muss die Auslagerung durch eine rechtsverbindliche Vereinbarung (in der Regel einen Vertrag) geregelt werden, (30) in der der Umfang der ausgelagerten Arbeiten, der Zweck der Verarbeitung, die anzuwendenden technischen und organisatorischen Garantien, die Überwachung durch den Datenverantwortlichen, die Haftung (z. B. Schadenersatz bei Verletzung vertraglicher Pflichten) sowie die Einschränkungen für eine etwaige Unterverarbeitung (31) festgelegt sind (Artikel 26 Absätze 1 und 2 PIPA in Verbindung mit Artikel 28 Absatz 1 des Durchführungserlasses) (32).

(21)

Darüber hinaus muss der Datenverantwortliche Einzelheiten über die ausgelagerte Arbeit und die Identität des Beauftragten veröffentlichen und laufend aktualisieren oder, soweit die ausgelagerte Verarbeitung Direktwerbungstätigkeiten betrifft, den Betroffenen die entsprechenden Informationen direkt mitteilen (Artikel 26 Absätze 2 und 3 PIPA in Verbindung mit Artikel 28 Absätze 2 bis 5 des Durchführungserlasses) (33).

(22)

Darüber hinaus ist der Datenverantwortliche gemäß Artikel 26 Absatz 4 PIPA in Verbindung mit Artikel 28 Absatz 6 des Durchführungserlasses verpflichtet, den Beauftragten über die erforderlichen Sicherheitsvorkehrungen „zu schulen“ und zu überwachen, auch durch Kontrollen, ob er alle Pflichten des Datenverantwortlichen im Rahmen des PIPA (34) und des Auslagerungsvertrags einhält. Verursacht der Beauftragte einen Schaden aufgrund eines Verstoßes gegen das PIPA, so haftet der Datenverantwortliche für seine Handlungen oder Unterlassungen, wie dies bei einem Arbeitnehmer der Fall ist (Artikel 26 Absatz 6 PIPA).

(23)

Obwohl das PIPA daher keine unterschiedlichen Konzepte für „Datenverantwortliche“ und „Auftragsverarbeiter“ verwendet, gelten für die Auslagerung im Wesentlichen die gleichen Pflichten und Schutzmaßnahmen wie für die Beziehung zwischen Datenverantwortlichen und Auftragsverarbeitern gemäß der Verordnung (EU) 2016/679.

(24)

Zwar gilt das PIPA für die Verarbeitung personenbezogener Daten durch jeden Datenverantwortlichen, doch enthalten einige Bestimmungen besondere Vorschriften (lex specialis) für die Verarbeitung personenbezogener Daten von „Nutzern“ durch „Informations- und Kommunikationsdiensteanbieter“ (35). Unter dem Begriff „Nutzer“ sind Personen zu verstehen, die Informations- und Kommunikationsdienste nutzen (Artikel 2 Absatz 1 Nummer 4 des Gesetzes zur Förderung der Nutzung von Informations- und Kommunikationsnetzen und des Datenschutzes, im Folgenden „Netzgesetz“). Dies setzt voraus, dass die betroffene Person entweder direkt Telekommunikationsdienste eines koreanischen Telekommunikationsanbieters in Anspruch nimmt oder Informationsdienste nutzt, (36) die gewerblich (d. h. zu Erwerbszwecken) von einer Einrichtung angeboten werden, die ihrerseits auf die Dienste eines in Korea lizenzierten oder eingetragenen Telekommunikationsanbieters angewiesen ist (37). In beiden Fällen ist die Einrichtung, die an die spezifischen PIPA-Bestimmungen gebunden ist, eine Einrichtung, die einen Online-Dienst direkt für eine Person (d. h. einen Nutzer) anbietet.

(25)

Eine Angemessenheitsfeststellung betrifft dagegen ausschließlich das Schutzniveau für personenbezogene Daten, die von einem Verantwortlichen oder Auftragsverarbeiter in der Union an eine Stelle in einem Drittland (in diesem Fall in der Republik Korea) übermittelt werden. Im letztgenannten Fall haben Personen in der Union in der Regel nur eine direkte Beziehung zu dem „Datenexporteur“ in der Union und nicht zu einem koreanischen Informations- und Kommunikationsdiensteanbieter (38). Daher werden die Sonderbestimmungen des PIPA in Bezug auf personenbezogene Daten von Nutzern von Informations- und Kommunikationsdiensten allenfalls in begrenzten Situationen auf personenbezogene Daten anwendbar sein, die im Rahmen dieses Beschlusses übermittelt werden.

(26)

Gemäß Artikel 58 Absatz 1 PIPA ist die Anwendung eines Teils des PIPA (d. h. der Artikel 15 bis 57) in Bezug auf vier Kategorien der Datenverarbeitung ausgeschlossen (39). Insbesondere die Teile des PIPA, die sich mit den besonderen Gründen für die Verarbeitung, bestimmten Datenschutzpflichten, den ausführlichen Vorschriften für die Ausübung individueller Rechte sowie den Regeln für die Beilegung von Streitigkeiten durch den Schlichtungsausschuss für Streitigkeiten in Zusammenhang mit personenbezogenen Daten befassen, finden keine Anwendung. Andere Grundbestimmungen des PIPA bleiben anwendbar, insbesondere die allgemeinen Bestimmungen über die Grundsätze des Datenschutzes (Artikel 3 PIPA) – einschließlich der Grundsätze der Rechtmäßigkeit, der Zweckbestimmung und der Zweckbindung, der Datenminimierung, der Datenrichtigkeit und der Sicherheit – sowie die Rechte des Einzelnen (auf Auskunft, Berichtigung, Löschung und Aussetzung der Verarbeitung, siehe Artikel 4 PIPA). Darüber hinaus werden in Artikel 58 Absatz 4 PIPA spezielle Pflichten für diese Verarbeitungstätigkeiten auferlegt, insbesondere in Bezug auf Datenminimierung, begrenzte Datenspeicherung, Sicherheitsmaßnahmen und die Bearbeitung von Beschwerden (40). Folglich können Einzelpersonen immer noch eine Beschwerde bei der PIPC einreichen, wenn diese Grundsätze und Pflichten nicht eingehalten werden, und die PIPC ist befugt, im Falle der Nichteinhaltung Durchsetzungsmaßnahmen zu ergreifen.

(27)

Erstens gilt die teilweise Ausnahme für personenbezogene Daten, die gemäß dem Statistikgesetz für die Verarbeitung durch öffentliche Einrichtungen erhoben werden. Nach Angaben der koreanischen Regierung betreffen die in diesem Zusammenhang verarbeiteten personenbezogenen Daten in der Regel koreanische Staatsangehörige und können nur ausnahmsweise Informationen über ausländische Staatsangehörige enthalten, nämlich im Falle von Statistiken über die Ein- und Ausreise in das bzw. aus dem Staatsgebiet oder über ausländische Investitionen. Aber auch in diesen Fällen werden solche Daten normalerweise nicht von Verantwortlichen oder Auftragsverarbeitern in der Union übermittelt, sondern direkt von öffentlichen Behörden in Korea erhoben (41). Darüber hinaus unterliegt die Verarbeitung von Daten nach dem Statistikgesetz, ähnlich wie in Erwägungsgrund 162 der Verordnung (EU) 2016/679 vorgesehen, mehreren Bedingungen und Garantien. So enthält das Statistikgesetz besondere Pflichten, wie die Gewährleistung von Genauigkeit, Kohärenz und Unparteilichkeit, die Sicherstellung der Vertraulichkeit von Einzelpersonen, den Schutz der Daten der Befragten von statistischen Abfragen, auch um zu verhindern, dass diese Daten für andere Zwecke als die Erstellung von Statistiken verwendet werden, und die Anforderung an die Mitarbeiter zur Vertraulichkeit (42). Bei der Verarbeitung von Statistiken durch öffentliche Stellen müssen unter anderem auch die Grundsätze der Datenminimierung, der Zweckbindung und der Sicherheit beachtet werden (Artikel 3 und Artikel 58 Absatz 4 PIPA), und der Einzelne muss seine Rechte (auf Auskunft, Berichtigung, Löschung und Sperrung, siehe Artikel 4 PIPA) wahrnehmen können. Schließlich müssen die Daten in anonymisierter oder pseudonymisierter Form verarbeitet werden, soweit dadurch der Zweck der Verarbeitung erfüllt werden kann (Artikel 3 Absatz 7 PIPA).

(28)

Zweitens bezieht sich Artikel 58 Absatz 1 PIPA auf personenbezogene Daten, die für die Analyse von Informationen über die nationale Sicherheit erhoben oder angefordert werden. Der Anwendungsbereich und die Folgen dieser teilweisen Ausnahme werden in Erwägungsgrund (149) näher beschrieben.

(29)

Drittens gilt die teilweise Ausnahme für die vorübergehende Verarbeitung personenbezogener Daten, wenn dies aus Gründen der öffentlichen Sicherheit oder Ordnung, einschließlich der öffentlichen Gesundheit, dringend erforderlich ist. Diese Kategorie wird von der PIPC eng ausgelegt und wurde nach den vorliegenden Informationen noch nie verwendet. Sie kommt nur in Notfällen zur Anwendung, die dringende Maßnahmen erfordern, z. B. um Infektionserreger aufzuspüren oder Opfer von Naturkatastrophen zu retten und ihnen zu helfen (43). Selbst in diesen Fällen gilt die teilweise Ausnahme nur für die Verarbeitung personenbezogener Daten während eines begrenzten Zeitraums zur Durchführung einer solchen Maßnahme. Die Fälle, in denen dies auf die von diesem Beschluss erfassten Übermittlungen von Daten zutreffen könnte, sind sogar noch begrenzter, da die Wahrscheinlichkeit gering ist, dass die von der Union an koreanische Betreiber übermittelten personenbezogenen Daten derart sind, dass ihre anschließende Verarbeitung für solche Notfälle „dringend erforderlich“ wäre.

(30)

Schließlich gilt die teilweise Ausnahme für personenbezogene Daten, die von der Presse, für Missionierungstätigkeiten religiöser Organisationen oder für die Nominierung von Kandidaten durch politische Parteien erhoben oder verwendet werden. Die Ausnahme findet nur Anwendung, wenn personenbezogene Daten von der Presse, religiösen Organisationen oder politischen Parteien für diese spezifischen Zwecke (d. h. journalistische Tätigkeiten, Missionierung und die Nominierung politischer Kandidaten) verarbeitet werden. Verarbeiten diese Einrichtungen personenbezogene Daten für andere Zwecke, z. B. für die Personalverwaltung oder die interne Verwaltung, gilt das PIPA in vollem Umfang.

(31)

In Bezug auf die Verarbeitung personenbezogener Daten durch die Presse für journalistische Tätigkeiten ist die Abwägung zwischen der Meinungsfreiheit und anderen Rechten (einschließlich des Rechts auf Privatsphäre) im Gesetz über die Schiedsverfahren und Rechtsbehelfe usw. für durch Presseberichte verursachte Schäden (im Folgenden „Pressegesetz“) geregelt (44). Insbesondere ist in Artikel 5 des Pressegesetzes festgelegt, dass die Presse (d. h. Rundfunkanstalten, Zeitungen, Zeitschriften oder Online-Zeitungen), Internet-Nachrichtendienste oder Internet-Multimedia-Sender die Privatsphäre von Personen nicht verletzen dürfen. Kommt es dennoch zu einem Verstoß gegen die Privatsphäre, muss dieser unverzüglich gemäß den im Gesetz festgelegten Verfahren behoben werden. In diesem Zusammenhang räumt das Gesetz Personen, die durch eine Presseberichterstattung geschädigt wurden, eine Reihe von Rechten ein, darunter das Recht auf die Veröffentlichung einer Berichtigung einer falschen Behauptung, auf eine Richtigstellung durch eine gegensätzliche Behauptung oder auf einen weiteren Bericht (wenn eine Presseberichterstattung Vorwürfe bezüglich vermeintlicher Straftaten betrifft, von denen die Person später freigesprochen wird) (45). Beschwerden von Einzelpersonen können von den Presseunternehmen direkt (über eine Ombudsperson) (46), durch Schlichtung oder Schiedsverfahren (vor einer speziellen Schiedskommission für die Presse) (47) oder vor Gericht beigelegt werden. Einzelpersonen können auch eine Entschädigung erhalten, wenn sie aufgrund einer rechtswidrigen Handlung der Presse (vorsätzlich oder fahrlässig) einen finanziellen Schaden, eine Verletzung des Persönlichkeitsrechts oder eine andere emotionale Belastung erlitten haben (48). Die Presse ist nach dem Gesetz von der Haftung befreit, sofern ein Pressebericht, der in die Rechte einer Person eingreift, nicht gegen gesellschaftliche Werte verstößt und entweder mit Einwilligung der betroffenen Person oder im öffentlichen Interesse veröffentlicht wird (und es hinreichende Gründe gibt, anzunehmen, dass der Bericht der Wahrheit entspricht) (49).

(32)

Die Verarbeitung personenbezogener Daten durch die Presse für journalistische Tätigkeiten unterliegt daher besonderen Garantien, die sich aus dem Pressegesetz ergeben. Es gibt jedoch keine derartigen zusätzlichen Garantien, die die Anwendung der Ausnahmen für die Verarbeitungstätigkeiten durch religiöse Organisationen und politische Parteien in einer mit den Artikeln 85, 89 und 91 der Verordnung (EU) 2016/679 vergleichbaren Weise einrahmen. Die Kommission hält es daher für angemessen, religiöse Organisationen, soweit sie personenbezogene Daten für ihre Missionierungstätigkeiten verarbeiten, und politische Parteien, soweit sie personenbezogene Daten im Zusammenhang mit der Nominierung von Kandidaten verarbeiten, vom Anwendungsbereich dieses Beschlusses auszunehmen.

(33)

Die Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen.

(34)

Dieser Grundsatz ist in Artikel 3 Absätze 1 und 2 PIPA verankert und wird durch Artikel 59 PIPA bekräftigt, wonach die Verarbeitung personenbezogener Daten „durch Betrug, mit unzulässigen oder ungerechten Mitteln“, „ohne rechtliche Befugnis“ oder „unter Befugnisüberschreitung“ verboten ist (50). Diese allgemeinen Grundsätze der rechtmäßigen Verarbeitung werden in den Artikeln 15 bis 19 PIPA erläutert, in denen die verschiedenen Rechtsgrundlagen für die Verarbeitung (d.h. Erhebung, Nutzung und Weitergabe an Dritte) einschließlich der Umstände, unter denen diese eine Änderung des Zwecks beinhalten kann (Artikel 18 PIPA), dargelegt sind.

(35)

Gemäß Artikel 15 Absatz 1 PIPA darf ein Datenverantwortlicher personenbezogene Daten (im Rahmen des Erhebungszwecks) nur aus einer begrenzten Anzahl von Rechtsgründen erheben. Dazu gehören: 1) die Einwilligung der betroffenen Person (51) (Nummer 1), 2) die Erforderlichkeit, einen Vertrag mit der betroffenen Person zu erfüllen (Nummer 4), 3) eine besondere gesetzliche Genehmigung oder die Erforderlichkeit zur Erfüllung einer rechtlichen Pflicht (Nummer 2), die Erforderlichkeit (52) für eine öffentliche Einrichtung, die gesetzlich vorgeschriebenen Aufgaben in ihrem Zuständigkeitsbereich zu erfüllen, 4) die offensichtliche Erforderlichkeit zum Schutz von Leib und Leben oder der Eigentumsinteressen der betroffenen Person oder eines Dritten vor einer unmittelbaren Gefahr (nur wenn die betroffene Person nicht in der Lage ist, ihren Willen zu äußern, oder wenn keine vorherige Einwilligung eingeholt werden kann) (Nummer 5), 5) die Erforderlichkeit zur Verwirklichung des „berechtigten Interesses“ des Datenverantwortlichen, wenn dieses das Interesse der betroffenen Person „offensichtlich überwiegt“ (und nur dann, wenn die Verarbeitung in einem „wesentlichen Zusammenhang“ mit dem berechtigten Interesse steht und nicht über das hinausgeht, was angemessen ist) (Nummer 6) (53). Diese Gründe für die Verarbeitung entsprechen im Wesentlichen den in Artikel 6 der Verordnung (EU) 2016/679 festgelegten Gründen, einschließlich dem Grund des „berechtigten Interesse“, der dem Grund des „berechtigten Interesse“ in Artikel 6 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679 entspricht.

(36)

Einmal erhobene personenbezogene Daten dürfen im Rahmen des Erhebungszwecks (Artikel 15 Absatz 1 PIPA) oder „in einem angemessenen Zusammenhang“ mit dem Erhebungszweck verwendet werden, wobei mögliche Nachteile für die betroffene Person zu berücksichtigen sind und die erforderlichen Sicherheitsvorkehrungen (z. B. Verschlüsselung) ergriffen werden müssen (Artikel 15 Absatz 3 PIPA). Um festzustellen, ob der Verwendungszweck in einem „angemessenen Zusammenhang“ mit dem ursprünglichen Erhebungszweck steht, werden in dem Durchführungserlass spezifische Kriterien festgelegt, die denen des Artikels 6 Absatz 4 der Verordnung (EU) 2016/679 ähneln. Insbesondere muss ein erheblicher Bezug zum ursprünglichen Zweck bestehen, die zusätzliche Verwendung muss vorhersehbar sein (z. B. im Hinblick auf die Umstände, unter denen die Daten erhoben wurden) und, soweit möglich, müssen die Daten pseudonymisiert werden (54). Die spezifischen Kriterien, die ein Datenverantwortlicher bei dieser Prüfung anwendet, müssen vorab in der Datenschutzerklärung offengelegt werden (55). Darüber hinaus ist der Datenschutzbeauftragte (siehe Erwägungsgrund (94)) ausdrücklich verpflichtet zu prüfen, ob die weitere Verwendung innerhalb dieser Vorgaben erfolgt.

(37)

Ähnliche (aber etwas strengere) Regeln gelten für die Weitergabe von Daten an Dritte. Gemäß Artikel 17 Absatz 1 PIPA ist die Weitergabe personenbezogener Daten an Dritte auf der Grundlage einer Einwilligung (56) oder im Rahmen des Erhebungszwecks zulässig, wenn die Daten aus einem der in Artikel 15 Absatz 1 Nummern 2, 3 und 5 PIPA vorgesehenen rechtlichen Gründen erhoben worden sind. Dies schließt insbesondere eine Weitergabe aufgrund eines „berechtigten Interesses“ des Datenverantwortlichen aus Darüber hinaus ist nach Artikel 17 Absatz 4 PIPA die Weitergabe an Dritte zulässig, wenn sie „in einem angemessenen Zusammenhang“ mit dem Zweck der Erhebung steht, wobei auch hier mögliche Nachteile für die betroffene Person zu berücksichtigen sind und die erforderlichen Sicherheitsvorkehrungen (z. B. Verschlüsselung) ergriffen werden müssen. Bei der Beurteilung, ob die Bestimmung in einem angemessenen Zusammenhang mit dem Zweck der Erhebung steht, sind dieselben Faktoren wie in Erwägungsgrund (36) beschrieben zu berücksichtigen, und es gelten dieselben Garantien (z. B. in Bezug auf die Transparenz durch die Datenschutzerklärung und die Einbeziehung des Datenschutzbeauftragten).

(38)

Der Erhalt personenbezogener Daten durch einen koreanischen Datenverantwortlichen aus der Union gilt als „Erhebung“ im Sinne von Artikel 15 PIPA. In der Bekanntmachung Nr. 2021-5 (Anhang I Abschnitt I zu diesem Beschluss) wird klargestellt, dass der Zweck, zu dem die Daten von der betreffenden EU-Einrichtung übermittelt wurden, für den koreanischen Datenverantwortlichen den Zweck der Erhebung darstellt. Folglich sind koreanische Datenverantwortliche, die personenbezogene Daten aus der Union erhalten, grundsätzlich verpflichtet, diese Daten im Rahmen des Zwecks der Übermittlung gemäß Artikel 17 PIPA zu verarbeiten.

(39)

Besondere Einschränkungen gelten für den Fall, dass der Datenverantwortliche die personenbezogenen Daten zu einem anderen Zweck als dem der Erhebung verwenden oder an einen Dritten weitergeben will (57). Nach Artikel 18 Absatz 2 PIPA darf ein privater Datenverantwortlicher personenbezogene Daten ausnahmsweise (58) für einen anderen Zweck verwenden oder an einen Dritten weitergeben: 1) auf der Grundlage einer zusätzlichen (d. h. gesonderten) Einwilligung der betroffenen Person, 2) wenn dies in besonderen gesetzlichen Bestimmungen vorgesehen ist oder 3) wenn es zum Schutz von Leib und Leben oder von Eigentumsinteressen der betroffenen Person oder eines Dritten vor einer unmittelbaren Gefahr offensichtlich erforderlich ist (nur wenn die betroffene Person nicht in der Lage ist, ihren Willen zu äußern, oder wenn keine vorherige Einwilligung eingeholt werden kann) (59).

(40)

Öffentliche Einrichtungen können in bestimmten Situationen personenbezogene Daten auch für einen anderen Zweck verwenden oder an Dritte weitergeben. Dies gilt auch für Fälle, in denen es öffentlichen Einrichtungen sonst nicht möglich wäre, ihre gesetzlich vorgeschriebenen Aufgaben zu erfüllen, vorbehaltlich der Genehmigung durch die PIPC. Darüber hinaus können öffentliche Einrichtungen personenbezogene Daten an eine andere Behörde oder ein Gericht weitergeben, wenn dies für die Ermittlung und Verfolgung von Straftaten oder eine Anklageerhebung, für ein Gericht zur Erfüllung seiner Aufgaben im Zusammenhang mit einem laufenden Gerichtsverfahren oder für die Vollstreckung einer strafrechtlichen Sanktion oder einer Betreuungs- oder Sorgerechtsverfügung erforderlich ist (60). Sie können personenbezogene Daten auch an eine ausländische Regierung oder eine internationale Organisation weitergeben, um einer rechtlichen Pflicht aus einem Vertrag oder einem internationalen Übereinkommen nachzukommen; in diesem Fall müssen sie auch die Anforderungen für grenzüberschreitende Datenübermittlungen erfüllen (siehe Erwägungsgrund (90)).

(41)

Die Grundsätze der Rechtmäßigkeit und der Verarbeitung nach Treu und Glauben werden daher im koreanischen Rechtsrahmen in einer Weise umgesetzt, die im Wesentlichen der Verordnung (EU) 2016/679 entspricht, indem die Verarbeitung nur aus rechtmäßigen und klar definierten Gründen erlaubt wird. Darüber hinaus ist die Verarbeitung in allen genannten Fällen nur dann zulässig, wenn sie nicht „zur unfairen Beeinträchtigung“ der Interessen der betroffenen Person oder eines Dritten führt, was eine Interessenabwägung erfordert. Darüber hinaus sind in Artikel 18 Absatz 5 PIPA zusätzliche Garantien für den Fall vorgesehen, dass der Datenverantwortliche die personenbezogenen Daten an einen Dritten weitergibt; dazu kann die Aufforderung gehören, den Zweck und die Art der Nutzung einzuschränken oder besondere Sicherheitsvorkehrungen zu ergreifen. Der Dritte ist seinerseits verpflichtet, die geforderten Vorkehrungen zu ergreifen.

(42)

Gemäß Artikel 28-2 PIPA ist schließlich die (Weiter-)Verarbeitung pseudonymisierter Daten ohne die Einwilligung der betroffenen Person für die Zwecke der Statistik, der wissenschaftlichen Forschung (61) und der Archivierung im öffentlichen Interesse vorbehaltlich besonderer Garantien zulässig. Ähnlich wie in der Verordnung (EU) 2016/679 (62) wird daher mit dem PIPA die (Weiter-)Verarbeitung personenbezogener Daten für solche Zwecke innerhalb eines Rahmens erleichtert, in dem angemessene Garantien zum Schutz der Rechte des Einzelnen vorgesehen sind. Im PIPA wird die Pseudonymisierung nicht als mögliche Schutzmaßnahme, sondern als Voraussetzung für die Durchführung bestimmter Verarbeitungen für die Zwecke der Statistik, der wissenschaftlichen Forschung und der Archivierung im öffentlichen Interesse vorgeschrieben (z. B. um die Daten ohne Einwilligung verarbeiten zu können oder um verschiedene Datensätze miteinander zu verknüpfen).

(43)

Darüber hinaus sind im PIPA eine Reihe spezieller Garantien vorgesehen, insbesondere in Bezug auf die erforderlichen technischen und organisatorischen Maßnahmen, die Führung von Aufzeichnungen, die Einschränkung der gemeinsamen Nutzung von Daten und den Umgang mit möglichen Risiken der erneuten Identifizierung. Durch die Kombination der verschiedenen in den Erwägungsgründen (44)-(48) beschriebenen Garantien wird sichergestellt, dass die Verarbeitung personenbezogener Daten in diesem Zusammenhang Schutzmaßnahmen unterliegt, die denjenigen, die gemäß der Verordnung (EU) 2016/679 erforderlich wären, der Sache nach gleichwertig wären.

(44)

Zuallererst und vor allem ist nach Artikel 28-5 Absatz 1 PIPA die Verarbeitung pseudonymisierter Daten zum Zwecke der Identifizierung einer bestimmten Person verboten. Sollten bei der Verarbeitung pseudonymisierter Daten dennoch Daten erzeugt werden, die die Identifizierung einer Person ermöglichen, muss der Datenverantwortliche die Verarbeitung unverzüglich aussetzen und diese Daten vernichten (Artikel 28-5 Absatz 2 PIPA). Die Nichteinhaltung dieser Bestimmungen wird mit Geldbußen geahndet und stellt eine Straftat dar (63). Somit ist eine solche erneute Identifizierung selbst in Situationen, in denen es praktisch möglich wäre, die Person erneut zu identifizieren, gesetzlich verboten.

(45)

Zweitens muss der Datenverantwortliche bei der (Weiter-)Verarbeitung pseudonymisierter Daten zu solchen Zwecken besondere technische, organisatorische und physische Maßnahmen ergreifen, um die Sicherheit der Daten zu gewährleisten (einschließlich der gesonderten Speicherung und Verwaltung der Daten, die zur Wiederherstellung des ursprünglichen Zustands der pseudonymisierten Daten erforderlich sind) (64). Darüber hinaus müssen Aufzeichnungen über die verarbeiteten pseudonymisierten Daten, den Zweck der Verarbeitung, die Verwendungshistorie und etwaige Drittempfänger geführt werden (Artikel 29-5 Absatz 2 des PIPA-Durchführungserlasses).

(46)

Drittens und letztens enthält das PIPA spezielle Garantien, um die Identifizierung von Personen durch Dritte zu verhindern, wenn die Daten weitergegeben werden. Insbesondere dürfen die Datenverantwortlichen bei der Weitergabe pseudonymisierter Daten an Dritte zum Zwecke der Statistik, der wissenschaftlichen Forschung oder der Archivierung im öffentlichen Interesse keine Informationen einbeziehen, die zur Identifizierung einer bestimmten Person verwendet werden könnten (Artikel 28-2 Absatz 2 PIPA) (65).

(47)

Genauer gesagt ist nach dem PIPA zwar die Verknüpfung pseudonymisierter Daten (die von verschiedenen Datenverantwortlichen verarbeitet werden) zum Zwecke der Statistik, der wissenschaftlichen Forschung oder der Archivierung im öffentlichen Interesse zulässig, doch ist diese Befugnis spezialisierten Einrichtungen vorbehalten, die über besondere Sicherheitsvorkehrungen verfügen (Artikel 28-3 Absatz 1 PIPA) (66). Bei der Beantragung einer Verknüpfung von pseudonymisierten Daten muss ein Datenverantwortlicher unter anderem Unterlagen über die zu verknüpfenden Daten, den Zweck der Verknüpfung sowie die vorgeschlagenen Sicherheitsvorkehrungen für die Verarbeitung der verknüpften Daten vorlegen (67). Um die Verknüpfung zu ermöglichen, muss der Datenverantwortliche die zu verknüpfenden Daten an die spezialisierte Einrichtung senden und einen „Kombinationsschlüssel“ (d. h. die Informationen, die zur Pseudonymisierung verwendet wurden) an die Koreanische Internet- und Sicherheitsbehörde übermitteln (68). Letztere generiert „Kombinationsschlüssel-Verknüpfungsdaten“ (die es ermöglichen, die Kombinationsschlüssel verschiedener Antragsteller zu verknüpfen, um eine Verbindung der Datensätze zu erreichen) und stellt sie der spezialisierten Einrichtung zur Verfügung (69).

(48)

Der Datenverantwortliche, der die Verknüpfung beantragt, kann die verknüpften Daten in den Räumlichkeiten der spezialisierten Einrichtung analysieren, in einem Raum, in dem besondere technische, physische und administrative Sicherheitsvorkehrungen ergriffen werden (Artikel 29-3 des PIPA-Durchführungserlasses). Datenverantwortliche, die einen Datensatz für eine solche Verknüpfung zur Verfügung stellen, dürfen die verknüpften Daten nur nach einer weiteren Pseudonymisierung oder Anonymisierung und mit Genehmigung dieser speziellen Einrichtung außerhalb der Einrichtung verwenden (Artikel 28-3 Absatz 2 PIPA) (70). Bei der Prüfung, ob eine solche Genehmigung zu erteilen ist, prüft die Einrichtung den Zusammenhang zwischen den verknüpften Daten und dem Zweck der Verarbeitung sowie die Frage, ob ein spezieller Sicherheitsplan für die Verwendung dieser Daten erstellt wurde (71). Der Export der verknüpften Informationen außerhalb der Einrichtung ist nicht zulässig, wenn die Informationen Daten enthalten, die die Identifizierung einer Person ermöglichen würden (72). Schließlich überwacht die PIPC die durch die spezialisierte Einrichtung erfolgende Verknüpfung und Freigabe pseudonymisierter Daten (Artikel 29-4 Absatz 3 des PIPA-Durchführungserlasses).

(49)

Wenn besondere Kategorien von Daten verarbeitet werden, sollten besondere Garantien vorhanden sein.

(50)

Das PIPA enthält spezielle Regeln für die Verarbeitung sensibler Daten; (73) diese sind definiert als personenbezogene Daten, die Informationen über die Weltanschauung, den Glauben, den Beitritt zu oder den Austritt aus einer Gewerkschaft oder politischen Partei, die politischen Meinungen, die Gesundheit und das Sexualleben einer Person offenbaren, sowie andere personenbezogene Daten, die die Privatsphäre der betroffenen Person „deutlich“ gefährden können und per Präsidialerlass als sensible Daten eingestuft wurden (74). Nach den Erläuterungen der PIPC wird der Begriff „Sexualleben“ so ausgelegt, dass er auch die sexuelle Ausrichtung oder die sexuellen Vorlieben des Einzelnen umfasst (75). Darüber hinaus werden in Artikel 18 des Durchführungserlasses weitere Kategorien sensibler Daten hinzugefügt, insbesondere DNA-Informationen aus Gentests und Daten aus dem Strafregister. Durch die neueste Änderung des PIPA-Durchführungserlasses wurde der Begriff der sensiblen Daten weiter erweitert, indem auch personenbezogene Daten, die Aufschluss über die Rasse oder die ethnische Herkunft geben, sowie biometrische Informationen einbezogen wurden (76). Nach dieser Änderung entspricht der Begriff der sensiblen Daten im PIPA im Wesentlichen dem Begriff in Artikel 9 der Verordnung (EU) 2016/679.

(51)

Gemäß Artikel 23 Absatz 1 PIPA und ähnlich wie in Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung sensibler Daten generell untersagt, sofern nicht eine der aufgezählten Ausnahmen vorliegt (77). Diese beschränken die Verarbeitung auf Fälle, in denen der Datenverantwortliche die betroffene Person gemäß Artikel 15 und 17 PIPA unterrichtet und eine gesonderte Einwilligung einholt (d. h. getrennt von der Einwilligung für die Verarbeitung anderer personenbezogener Daten) oder in denen die Verarbeitung gesetzlich vorgeschrieben oder zulässig ist. Die Behörden können auch biometrische Daten, DNA-Informationen aus Gentests, personenbezogene Daten, die Aufschluss über die Rasse oder die ethnische Herkunft geben, und Daten aus dem Strafregister aus Gründen verarbeiten, die ausschließlich ihnen zur Verfügung stehen (z. B. wenn sie für die Untersuchung von Straftaten oder für Gerichtsverfahren erforderlich sind) (78). Daher sind die Rechtsgrundlagen für die Verarbeitung sensibler Daten begrenzter als für andere Arten personenbezogener Daten und nach dem koreanischen Recht sogar noch restriktiver als nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679.

(52)

Darüber hinaus wird in Artikel 23 Absatz 2 des PIPA – dessen Nichteinhaltung Sanktionen nach sich ziehen kann (79) – die besondere Bedeutung der Gewährleistung einer angemessenen Sicherheit beim Umgang mit sensiblen Daten hervorgehoben, damit diese „nicht verloren gehen oder gestohlen, weitergegeben, gefälscht, verändert oder beschädigt werden können“. Zwar handelt es sich hierbei um eine allgemeine Anforderung gemäß Artikel 29 PIPA, doch wird in Artikel 3 Absatz 4 klargestellt, dass das Sicherheitsniveau an die Art der verarbeiteten personenbezogenen Daten anzupassen ist, was bedeutet, dass die besonderen Risiken bei der Verarbeitung sensibler Daten berücksichtigt werden müssen. Darüber hinaus muss die Datenverarbeitung stets so erfolgen, dass die Privatsphäre der betroffenen Person „so wenig wie möglich beeinträchtigt wird“, und soweit möglich „durch Anonymisierung“ (Artikel 3 Absätze 6 und 7 PIPA). Diese Anforderungen sind besonders wichtig, wenn die Verarbeitung sensible Daten betrifft.

(53)

Personenbezogene Daten sollten für einen bestimmten Zweck und in einer Weise erhoben werden, die mit dem Zweck der Verarbeitung nicht unvereinbar ist.

(54)

Dieser Grundsatz wird durch Artikel 3 Absätze 1 und 2 PIPA gewährleistet, wonach der Datenverantwortliche den Zweck der Verarbeitung „genau und ausdrücklich“ anzugeben hat, personenbezogene Daten in einer für diesen Zweck geeigneter Weise verarbeiten muss und sie nicht über diesen Zweck hinaus verwenden darf. Der allgemeine Grundsatz der Zweckbindung wird auch in den Artikel 15 Absatz 1, Artikel 18 Absatz 1, Artikel 19 und – für Auftragsverarbeiter (sogenannte „Beauftragte“) – in Artikel 26 Absatz 1 Nummern 1, 5 und 7 PIPA bekräftigt. Insbesondere dürfen personenbezogene Daten grundsätzlich nur im Rahmen des Zwecks, für den sie erhoben wurden, verwendet und an Dritte weitergegeben werden (Artikel 15 Absatz 1 und Artikel 17 Absatz 1 Nummer 2). Die Verarbeitung für einen kompatiblen Zweck, d. h. „in einem angemessenen Zusammenhang mit dem ursprünglichen Zweck der Erhebung“, ist nur zulässig, wenn sie sich nicht nachteilig auf die betroffenen Personen auswirkt und wenn die erforderlichen Sicherheitsvorkehrungen (z. B. Verschlüsselung) ergriffen werden (Artikel 15 Absatz 3 und Artikel 17 Absatz 4 PIPA). Um festzustellen, ob die Weiterverarbeitung einem kompatiblen Zweck dient, werden im PIPA-Durchführungserlass spezifische Kriterien aufgeführt, die denen in Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 ähneln (siehe Erwägungsgrund (36)).

(55)

Wie in Erwägungsgrund (38) erläutert, ist der Zweck der Datenerhebung im Falle koreanischer Datenverantwortlicher, die personenbezogene Daten aus der Union erhalten, der Zweck, zu dem die Daten übermittelt werden. Eine Änderung des Zwecks durch den Datenverantwortlichen ist nur ausnahmsweise, in bestimmten (aufgezählten) Fällen, zulässig (Artikel 18 Absatz 2 Nummer 1-3 PIPA, siehe auch Erwägungsgrund (39)). Soweit eine Zweckänderung gesetzlich zulässig ist, müssen in den entsprechenden Rechtsvorschriften wiederum das Grundrecht auf Schutz der Privatsphäre und auf Datenschutz sowie die in der koreanischen Verfassung verankerten Grundsätze der Erforderlichkeit und Verhältnismäßigkeit gewahrt werden. Darüber hinaus sind in Artikel 18 Absätze 2 und 5 PIPA zusätzliche Garantien vorgesehen, insbesondere das Erfordernis, dass eine solche Zweckänderung nicht „zur unfairen Beeinträchtigung der Interessen einer betroffenen Person führen“ darf, sodass stets eine Interessenabwägung erforderlich ist. Damit wird ein Schutzniveau gewährleistet, das im Wesentlichen demjenigen nach Artikel 5 Absatz 1 Buchstabe b und Artikel 6 in Verbindung mit Erwägungsgrund 50 der Verordnung (EU) 2016/679 entspricht.

(56)

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Ferner müssen sie dem Zweck angemessen und dafür erheblich sein und dürfen das für die Zwecke der Verarbeitung notwendige Maß nicht überschreiten.

(57)

Der Grundsatz der Richtigkeit wird in ähnlicher Weise in Artikel 3 Absatz 3 PIPA anerkannt, wonach personenbezogene Daten „richtig, vollständig und auf dem neuesten Stand sein müssen, soweit dies für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Die Datenminimierung ist in Artikel 3 Absätze 1 und 6 und Artikel 16 Absatz 1 PIPA festgelegt; dort heißt es, dass der Datenverantwortliche personenbezogene Daten (nur) in dem für den beabsichtigten Zweck „erforderlichen Mindestmaß“ erheben darf und dass die Beweislast diesbezüglich bei ihm liegt. Sofern sich der Erhebungszweck durch die Verarbeitung von Daten in anonymisierter Form erfüllen lässt, sollten die Datenverantwortlichen dies anstreben (Artikel 3 Absatz 7 PIPA).

(58)

Personenbezogene Daten dürfen grundsätzlich nur so lange gespeichert werden, wie dies für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist.

(59)

Der Grundsatz der Speicherbegrenzung ist ebenfalls in Artikel 21 Absatz 1 PIPA verankert; (80) danach ist der Datenverantwortliche verpflichtet, personenbezogene Daten unverzüglich nach Erreichen des Verarbeitungszwecks oder nach Ablauf der Speicherfrist (je nachdem, was früher eintritt) zu „vernichten“, (81) sofern nicht eine weitere Speicherung gesetzlich vorgeschrieben ist (82). Im letzteren Fall sind die betreffenden personenbezogenen Daten „getrennt von anderen personenbezogenen Daten zu speichern und zu verwalten“ (Artikel 21 Absatz 3 PIPA).

(60)

Artikel 21 Absatz 1 PIPA findet keine Anwendung, wenn pseudonymisierte Daten für statistische Zwecke, wissenschaftliche Forschung oder die Archivierung im öffentlichen Interesse verarbeitet werden (83). Um auch in diesem Fall den Grundsatz der begrenzten Datenspeicherung zu gewährleisten, sind die Datenverantwortlichen gemäß der Bekanntmachung 2021-5 verpflichtet, die Daten gemäß Artikel 58-2 PIPA zu anonymisieren, wenn die Daten nicht nach Erfüllung des spezifischen Verarbeitungszwecks vernichtet wurden (84).

(61)

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die ihre Sicherheit gewährleistet und den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung einschließt. Zu diesem Zweck müssen Unternehmer geeignete technische oder organisatorische Maßnahmen treffen, um personenbezogene Daten vor möglichen Bedrohungen zu schützen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik, der mit ihnen verbundenen Kosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken für die Rechte des Einzelnen bewertet werden.

(62)

Ein ähnlicher Sicherheitsgrundsatz ist in Artikel 3 Absatz 4 PIPA verankert, wonach die Datenverantwortlichen verpflichtet sind, „die personenbezogenen Daten in einer sicheren Weise entsprechend den Verarbeitungsmethoden, der Art usw. der personenbezogenen Daten zu verwalten, wobei sie der Möglichkeit einer Verletzung der Rechte der betroffenen Person und der Schwere der einschlägigen Risiken Rechnung tragen“. Darüber hinaus hat der Datenverantwortliche „personenbezogene Daten so zu verarbeiten, dass die Möglichkeit eines Eingriffs in die Privatsphäre der betroffenen Person so gering wie möglich gehalten wird“, und sich in diesem Zusammenhang zu bemühen, personenbezogene Daten möglichst in anonymer Weise oder pseudonymisierter Form zu verarbeiten (Artikel 3 Absätze 6 und 7 PIPA).

(63)

Diese allgemeinen Anforderungen werden in Artikel 29 PIPA weiter ausgeführt, wonach jeder Datenverantwortliche „die technischen, organisatorischen und physischen Maßnahmen ergreift, wie die Erstellung eines internen Verwaltungsplans und die Aufbewahrung von Anmeldeprotokollen usw., die erforderlich sind, um die durch den Präsidialerlass vorgeschriebene Sicherheit zu gewährleisten, sodass die personenbezogenen Daten nicht verloren gehen oder gestohlen, weitergegeben, gefälscht, verändert oder beschädigt werden können.“ In Artikel 30 Absatz 1 des PIPA-Durchführungserlasses werden diese Maßnahmen spezifiziert, indem auf 1) die Formulierung und Umsetzung eines internen Verwaltungsplans für die sichere Verarbeitung personenbezogener Daten, 2) Zugangskontrollen und -beschränkungen, 3) den Einsatz von Verschlüsselungstechnologien zur sicheren Speicherung und Übermittlung personenbezogener Daten, 4) Anmeldeprotokolle, 5) Sicherheitsprogramme und 6) physische Maßnahmen wie ein sicheres Speicher- oder Sperrsystem hingewiesen wird (85).

(64)

Darüber hinaus gelten besondere Pflichten, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt (Artikel 34 PIPA in Verbindung mit Artikel 39 und 40 des PIPA-Durchführungserlasses) (86). Insbesondere ist der Datenverantwortliche verpflichtet, die betroffenen Personen unverzüglich über die Einzelheiten der Verletzung zu unterrichten, (87) einschließlich Informationen über (obligatorische) Gegenmaßnahmen, die der Datenverantwortliche ergriffen hat, und darüber, was die betroffenen Personen tun können, um das Risiko eines Schadens zu minimieren (Artikel 34 Absätze 1 und 2 PIPA) (88). Betrifft die Verletzung des Schutzes personenbezogener Daten mindestens 1 000 Personen, so meldet der Datenverantwortliche die Datenschutzverletzung und die ergriffenen Gegenmaßnahmen unverzüglich auch der PIPC und der koreanischen Internet- und Sicherheitsbehörde, die technische Unterstützung leisten kann (Artikel 34 Absatz 3 PIPA in Verbindung mit Artikel 39 des PIPA-Durchführungserlasses). Die Datenverantwortlichen haften für Schäden, die sich aus Verletzungen des Schutzes personenbezogener Daten ergeben, gemäß den Bestimmungen des Zivilgesetzes über die Haftung aus unerlaubter Handlung (siehe auch Abschnitt 2.5 über Rechtsbehelfe) (89).

(65)

Bei der Erfüllung seiner Sicherheitspflichten muss der Datenverantwortliche von einem Datenschutzbeauftragten unterstützt werden, zu dessen Aufgaben unter anderem der Aufbau eines internen Kontrollsystems gehört, „um die Verbreitung, den Missbrauch und die missbräuchliche Verwendung personenbezogener Daten zu verhindern“ (Artikel 31 Absatz 2 Nummer 4 PIPA). Darüber hinaus ist der Datenverantwortliche verpflichtet, seine Mitarbeiter, die personenbezogene Daten verarbeiten, einer „angemessenen Kontrolle und Aufsicht“ zu unterziehen, auch im Hinblick auf die sichere Verwaltung der Daten; dazu gehört auch die erforderliche Schulung der Mitarbeiter (Artikel 28 Absätze 1 und 2 PIPA). Schließlich muss der Datenverantwortliche im Falle einer Unterverarbeitung dem „Beauftragten“ Anforderungen u. a. an die sichere Verwaltung personenbezogener Daten („technische und organisatorische Garantien“) auferlegen und deren Umsetzung durch Kontrollen überwachen (Artikel 26 Absätze 1 und 4 PIPA in Verbindung mit Artikel 28 Absatz 1 Nummern 3 und 4 und Absatz 6 des PIPA-Durchführungserlasses).

(66)

Betroffene Personen müssen über die Hauptmerkmale der Verarbeitung ihrer personenbezogenen Daten unterrichtet werden.

(67)

Dies wird im koreanischen System auf unterschiedliche Weise gewährleistet. Neben dem Auskunftsrecht nach Artikel 4 Nummer 1 (allgemein) und Artikel 20 Absatz 1 PIPA (für die von Dritten erhobenen personenbezogenen Daten) sowie dem Auskunftsrecht gemäß Artikel 35 PIPA besteht eine allgemeine Transparenzanforderung in Bezug auf den Zweck der Verarbeitung (Artikel 3 Absatz 1 PIPA) und spezifische Transparenzanforderungen für den Fall, dass die Verarbeitung auf einer Einwilligung beruht (Artikel 15 Absatz 2, Artikel 17 Absatz 2 und Artikel 18 Absatz 3 PIPA) (90). Darüber hinaus sind bestimmte Datenverantwortliche, bei denen die Verarbeitung bestimmte Schwellenwerte überschreitet, (91) gemäß Artikel 20 Absatz 2 PIPA verpflichtet, die betroffene Person, deren personenbezogene Daten sie von einem Dritten erhalten haben, über die Informationsquelle, den Zweck der Verarbeitung und das Recht der betroffenen Person, die Aussetzung der Verarbeitung zu verlangen, zu benachrichtigen, es sei denn, eine solche Benachrichtigung erweist sich als unmöglich, weil keine Kontaktdaten vorhanden sind. Ausnahmen gelten für bestimmte Akten mit personenbezogenen Daten im Besitz von Behörden, insbesondere für Akten mit Daten, die für die nationale Sicherheit, andere besonders wichtige („schwerwiegende“) nationale Interessen oder für die Zwecke der Strafverfolgung verarbeitet werden, oder wenn die Übermittlung zur Schädigung eines Dritten an Leib und Leben oder zu einer unfairen Beeinträchtigung der Eigentumsinteressen und anderen Interessen eines Dritten führen würde, jedoch nur, wenn die auf dem Spiel stehenden öffentlichen oder privaten Interessen gegenüber den Rechten der betroffenen Personen „ausdrücklich überwiegen“ (Artikel 20 Absatz 4 PIPA). Dies erfordert eine Abwägung betroffenen Interessen.

(68)

Darüber hinaus ist in Artikel 3 Absatz 5 PIPA festgelegt, dass die Datenverantwortlichen ihre Datenschutzerklärungen (und andere Informationen in Zusammenhang mit der Verarbeitung personenbezogener Daten) veröffentlichen müssen. Diese Anforderung wird in Artikel 30 PIPA in Verbindung mit Artikel 31 des PIPA-Durchführungserlasses näher erläutert. Nach diesen Bestimmungen muss die öffentliche Datenschutzerklärung unter anderem Folgendes enthalten: 1) die Arten der verarbeiteten personenbezogenen Daten, 2) den Zweck der Verarbeitung, 3) die Speicherfrist, 4) die Angabe, ob personenbezogene Daten an Dritte weitergegeben werden, (92) 5) etwaige Unterverarbeitungen, 6) Informationen über die Rechte der betroffenen Person und wie sie diese ausüben kann und 7) Kontaktdaten (einschließlich des Namens des Datenschutzbeauftragten oder der internen Abteilung, die für die Einhaltung der Datenschutzvorschriften und die Bearbeitung von Beschwerden zuständig ist). Die Datenschutzerklärung ist in einer für die betroffenen Personen leicht erkennbaren Weise öffentlich zugänglich zu machen (Artikel 30 Absatz 2 PIPA) (93) und ständig zu aktualisieren (Artikel 31 Absatz 2 des PIPA-Durchführungserlasses).

(69)

Öffentliche Einrichtungen unterliegen einer zusätzlichen Pflicht, insbesondere die folgenden Informationen bei der PIPC zu melden: 1) den Namen der öffentlichen Einrichtung, 2) die Gründe und Zwecke der Verarbeitung der personenbezogenen Daten, 3) die Einzelheiten der gespeicherten personenbezogenen Daten, 4) die Art der Verarbeitung, 5) die Speicherfrist, 6) die Zahl der betroffenen Personen, deren personenbezogene Daten gespeichert werden, 7) die Abteilung, die die Anträge der betroffenen Personen bearbeitet und 8) die Empfänger der personenbezogenen Daten, wenn die Daten routinemäßig oder wiederholt bereitgestellt werden (Artikel 32 Absatz 1 PIPA) (94). Die registrierten Akten mit personenbezogenen Daten werden von der PIPC veröffentlicht und müssen auch von öffentlichen Einrichtungen in ihrer Datenschutzerklärungen erwähnt werden (Artikel 30 Absatz 1 und Artikel 32 Absatz 4 PIPA).

(70)

Um die Transparenz für betroffene Personen in der Union, deren personenbezogene Daten auf der Grundlage dieses Beschlusses nach Korea übermittelt werden, zu erhöhen, werden in Abschnitt 3 Ziffern i und ii der Bekanntmachung 2021-5 (Anhang I) zusätzliche Transparenzanforderungen festgelegt. Erstens müssen koreanische Datenverantwortliche, die auf der Grundlage dieses Beschlusses personenbezogene Daten aus der Union erhalten, die betroffenen Personen unverzüglich (und in jedem Fall spätestens einen Monat nach der Übermittlung) über den Namen und die Kontaktdaten der übermittelnden und der empfangenden Stelle, die übermittelten personenbezogenen Daten (oder Kategorien personenbezogener Daten), den Zweck der Erhebung durch den koreanischen Datenverantwortlichen, die Speicherfrist und die nach dem PIPA geltenden Rechte unterrichten. Zweitens müssen die betroffenen Personen bei der Weitergabe von personenbezogenen Daten, die sie auf der Grundlage dieses Beschlusses von der Union erhalten haben, an Dritte unter anderem über den Empfänger, die zu übermittelnden personenbezogenen Daten oder Kategorien personenbezogener Daten, das Land, an das die Daten weitergegeben werden (sofern zutreffend), sowie über die nach dem PIPA geltenden Rechte unterrichtet werden (95). Dadurch wird nach der Bekanntmachung sichergestellt, dass EU-Bürger weiterhin über die für die Verarbeitung ihrer Daten Verantwortlichen Bescheid wissen und ihre Rechte gegenüber den betreffenden Stellen ausüben können.

(71)

Gemäß Abschnitt 3 Ziffer iii der Bekanntmachung (Anhang I) sind bestimmte begrenzte und qualifizierte Ausnahmen von diesen zusätzlichen Transparenzpflichten zulässig, die im Wesentlichen denjenigen der Verordnung (EU) 2016/679 entsprechen. Insbesondere ist die Unterrichtung der betroffenen Personen in der Union nicht erforderlich, 1) wenn und solange es notwendig ist, die Unterrichtung aus bestimmten Gründen des öffentlichen Interesses zu beschränken (z. B. wenn die Informationen für die Zwecke der nationalen Sicherheit oder für laufende strafrechtliche Ermittlungen verarbeitet werden), sofern diese Ziele des öffentlichen Interesses offensichtlich Vorrang vor den Rechten der betroffenen Person haben, 2) wenn die betroffene Person bereits über die Informationen verfügt, 3) wenn und solange wahrscheinlich ist, dass die Unterrichtung zur Schädigung einer betroffenen Person oder eines Dritten an Leib und Leben oder zu einer unfairen Beeinträchtigung der Eigentumsinteressen und anderen Interessen eines Dritten führen würde, sofern diese Rechte oder Interessen eindeutig Vorrang vor den Rechten der betroffenen Person haben oder 4) wenn es keine Kontaktdaten der betroffenen Personen gibt oder ein unverhältnismäßiger Aufwand erforderlich wäre, um sie zu unterrichten. Bei der Entscheidung darüber, ob die betroffene Person kontaktiert werden kann oder ob dies einen unverhältnismäßigen Aufwand erfordern würde, ist die Möglichkeit einer Zusammenarbeit mit dem Datenexporteur aus der EU zu berücksichtigen.

(72)

Die Vorschriften in den Erwägungsgründen (67)-(71) gewährleisten daher in Bezug auf die Transparenz ein im Wesentlichen gleichwertiges Schutzniveau wie die Bestimmungen der Verordnung (EU) 2016/679.

(73)

Betroffene Personen sollten bestimmte Rechte besitzen, die gegenüber dem Datenverantwortlichen oder dem Auftragsverarbeiter durchgesetzt werden können, insbesondere ein Auskunftsrecht, das Recht auf Berichtigung, das Recht, der Verarbeitung zu widersprechen, und das Recht auf Löschung von Daten. Gleichzeitig können diese Rechte Beschränkungen unterliegen, sofern diese Beschränkungen notwendig und verhältnismäßig sind, um wichtige Ziele von allgemeinem öffentlichem Interesse zu schützen.

(74)

Gemäß Artikel 3 Absatz 5 PIPA muss der Datenverantwortliche die in Artikel 4 PIPA aufgeführten und in den Artikeln 35 bis 37, Artikel 39 und 39-2 PIPA näher beschriebenen Rechte der betroffenen Person gewährleisten.

(75)

Erstens hat der Einzelne ein Recht auf Information und Auskunft. Wenn der Datenverantwortliche personenbezogene Daten von einem Dritten erhoben hat – was immer der Fall sein wird, wenn die Daten aus der Union übermittelt werden –, haben die betroffenen Personen im Allgemeinen das Recht, Informationen über 1) die „Quelle“ der erhobenen personenbezogenen Daten (d. h. den Übermittler), 2) den Zweck der Verarbeitung und 3) die Tatsache zu erhalten, dass die betroffene Person berechtigt ist, die Aussetzung der Verarbeitung zu verlangen (Artikel 20 Absatz 1 PIPA). Es gelten begrenzte Ausnahmen, nämlich dann, wenn es wahrscheinlich ist, dass eine solche Unterrichtung zur Schädigung eines Dritten an Leib und Leben oder „zu einer unfairen Beeinträchtigung der Eigentumsinteressen und anderen Interessen“ eines Dritten führen würde, jedoch nur dann, wenn diese Interessen eines Dritten gegenüber den Rechten der betroffenen Person „ausdrücklich überwiegen“ (Artikel 20 Absatz 4 Nummer 2 PIPA).

(76)

Darüber hinaus haben die betroffenen Personen gemäß Artikel 35 Absätze 1 und 3 PIPA in Verbindung mit Artikel 41 Absatz 4 des PIPA-Durchführungserlasses das Recht auf Auskunft über ihre personenbezogenen Daten (96). Das Auskunftsrecht umfasst die Bestätigung der Verarbeitung, Informationen über die Art der verarbeiteten Daten, den Zweck der Verarbeitung, die Speicherfrist sowie die Weitergabe an Dritte und die Bereitstellung einer Kopie der verarbeiteten personenbezogenen Daten (Artikel 4 Nummer 3 PIPA in Verbindung mit Artikel 41 Absatz 1 des PIPA-Durchführungserlasses) (97). Die Auskunft kann nur dann (in Form einer teilweisen Auskunft) beschränkt (98) oder verweigert werden, wenn dies gesetzlich vorgesehen ist, (99) wenn dies zur Schädigung eines Dritten an Leib und Leben oder zu einer unfairen Beeinträchtigung der Eigentumsinteressen und anderen Interessen eines Dritten führen würde (Artikel 35 Absatz 4 PIPA) (100). Letzteres bedeutet, dass zwischen den verfassungsrechtlich geschützten Rechten und Freiheiten des Einzelnen einerseits und den Rechten und Freiheiten anderer Personen andererseits abgewogen werden muss. Wird die Auskunft eingeschränkt oder verweigert, muss der Datenverantwortliche die betroffene Person über die Gründe hierfür und die Rechtsbehelfsmöglichkeiten gegen die Entscheidung unterrichten (Artikel 41 Absatz 5, Artikel 42 Absatz 2 des PIPA-Durchführungserlasses).

(77)

Zweitens haben die betroffenen Personen das Recht auf Berichtigung oder Löschung (101) ihrer personenbezogenen Daten, „sofern in anderen Rechtsvorschriften nicht ausdrücklich etwas anderes bestimmt ist“ (Artikel 36 Absätze 1 und 2 PIPA) (102). Sobald ein Antrag eingeht, muss der Datenverantwortliche die Angelegenheit unverzüglich prüfen, die erforderlichen Maßnahmen ergreifen (103) und die betroffene Person innerhalb von 10 Tagen davon in Kenntnis setzen. Kann dem Antrag nicht stattgegeben werden, so muss diese Unterrichtung die Gründe für die Ablehnung und die Rechtsbehelfsmöglichkeiten enthalten (siehe Artikel 36 Absatz 4 PIPA in Verbindung mit Artikel 43 Absatz 3 des PIPA-Durchführungserlasses) (104).

(78)

Schließlich haben die betroffenen Personen das Recht auf unverzügliche (105) Aussetzung der Verarbeitung ihrer personenbezogenen Daten, sofern nicht eine der aufgezählten Ausnahmen zutrifft (Artikel 37 Absätze 1 und 2 PIPA) (106). Der Datenverantwortliche kann den Antrag ablehnen, 1) wenn dies gesetzlich ausdrücklich erlaubt oder zur Erfüllung rechtlicher Pflichten erforderlich („unvermeidlich“) ist, 2) wenn die Aussetzung zur Schädigung eines Dritten an Leib und Leben oder zu einer unfairen Beeinträchtigung der Eigentumsinteressen und anderen Interessen eines Dritten führen würde, 3) wenn eine öffentliche Einrichtung ihre gesetzlich vorgeschriebenen Aufgaben ohne die Verarbeitung der Daten nicht erfüllen kann oder 4) wenn die betroffene Person den zugrunde liegenden Vertrag mit dem Datenverantwortlichen nicht ausdrücklich kündigt, obwohl die Erfüllung des Vertrags ohne eine solche Datenverarbeitung undurchführbar wäre. In diesem Fall muss der Datenverantwortliche die betroffene Person unverzüglich über die Gründe für die Verweigerung und die Rechtsbehelfsmöglichkeiten unterrichten (Artikel 37 Absatz 2 PIPA in Verbindung mit Artikel 44 Absatz 2 des PIPA-Durchführungserlasses). Gemäß Artikel 37 Absatz 4 PIPA hat der Datenverantwortliche bei der Erfüllung des Aussetzungsantrags unverzüglich „die erforderlichen Maßnahmen einschließlich der Vernichtung der betreffenden personenbezogenen Daten“ zu treffen (107).

(79)

Das Recht auf Aussetzung der Verarbeitung gilt auch, wenn personenbezogene Daten für die Zwecke der Direktwerbung verwendet werden, d. h. um für Waren oder Dienstleistungen zu werben oder zum Kauf dieser anzuregen. Darüber hinaus erfordert eine solche Weiterverarbeitung im Allgemeinen die gesonderte (zusätzliche) Einwilligung der betroffenen Person (siehe Artikel 15 Absatz 1 Nummer 1, Artikel 17 Absatz 2 Nummer 1 PIPA) (108). Bei der Einholung dieser Einwilligung muss der Datenverantwortliche die betroffene Person insbesondere über die beabsichtigte Verwendung der Daten für die Zwecke der Direktwerbung – d. h. die Tatsache, dass sie möglicherweise im Rahmen der Werbung oder des Kaufangebots für Waren oder Dienstleistungen kontaktiert wird – in einer „ausdrücklich erkennbaren Weise“ unterrichten (Artikel 22 Absätze 2 und 4 PIPA in Verbindung mit Artikel 17 Absatz 2 Nummer 1 des PIPA-Durchführungserlasses).

(80)

Um die Ausübung der Rechte des Einzelnen zu erleichtern, muss der Datenverantwortliche spezielle Verfahren einrichten und diese öffentlich zugänglich machen (Artikel 38 Absatz 4 PIPA) (109). Dazu gehören auch Verfahren zur Erhebung von Einwänden gegen die Ablehnung eines Antrags (Artikel 38 Absatz 5 PIPA). Der Datenverantwortliche hat sicherzustellen, dass das Verfahren zur Ausübung der Rechte „datenschutzfreundlich“ und nicht schwieriger ist als das Verfahren zur Erhebung der personenbezogenen Daten; dies umfasst auch die Pflicht, Informationen über das Verfahren auf seiner Website bereitzustellen (Artikel 41 Absatz 2, Artikel 43 Absatz 1 und Artikel 44 Absatz 1 des PIPA-Durchführungserlasses) (110). Einzelpersonen können einen Vertreter bevollmächtigen, einen solchen Antrag zu stellen (Artikel 38 Absatz 1 PIPA in Verbindung mit Artikel 45 des PIPA-Durchführungserlasses). Der Datenverantwortliche ist zwar berechtigt, eine Gebühr zu erheben (und im Falle eines Antrags auf Zusendung von Kopien personenbezogener Daten auch Postgebühren), doch muss der Betrag „im Rahmen der für die Bearbeitung [des Antrags] tatsächlich erforderlichen Kosten“ festgelegt werden; falls der Datenverantwortliche den Antrag ausgelöst hat, darf keine Gebühr (auch keine Postgebühr) erhoben werden (Artikel 38 Absatz 3 PIPA in Verbindung mit Artikel 47 des PIPA-Durchführungserlasses).

(81)

Das PIPA und der Durchführungserlass enthalten keine allgemeinen Bestimmungen, die sich mit der Problematik von Entscheidungen befassen, die sich auf die betroffene Person auswirken und ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten beruhen. Bei personenbezogenen Daten, die in der Union erhoben wurden, wird jedoch jede Entscheidung, die auf einer automatisierten Verarbeitung beruht, typischerweise vom Verantwortlichen in der Union getroffen (der eine direkte Beziehung zu der betroffenen Person unterhält) und unterliegt somit der Verordnung (EU) 2016/679 (111). Dazu gehören auch Übermittlungsszenarien, bei denen die Verarbeitung von einem ausländischen (z. B. koreanischen) Unternehmer vorgenommen wird, der als Beauftragter (Auftragsverarbeiter) im Namen des Verantwortlichen in der EU (oder als Unterauftragsverarbeiter im Namen des Auftragsverarbeiters in der EU, der die Daten von einem Verantwortlichen in der EU erhalten hat, der sie erhoben hat) handelt, der dann auf dieser Grundlage die Entscheidung trifft. Daher ist es unwahrscheinlich, dass das Fehlen besonderer Vorschriften für die automatisierte Entscheidungsfindung im PIPA das Schutzniveau der nach diesem Beschluss übermittelten personenbezogenen Daten beeinträchtigt.

(82)

Ausnahmsweise gelten die Bestimmungen über die Transparenz auf Anfrage (Artikel 20) und die Rechte des Einzelnen (Artikel 35 bis 37) sowie die individuelle Unterrichtungspflicht für Informations- und Kommunikationsdiensteanbieter (Artikel 39-8 PIPA) nicht für pseudonymisierte Informationen, wenn diese für die Zwecke der Statistik, der wissenschaftlichen Forschung oder der Archivierung im öffentlichen Interesse verarbeitet werden (Artikel 28-7 PIPA) (112). Im Einklang mit dem Ansatz in Artikel 11 Absatz 2 (in Verbindung mit Erwägungsgrund 57) der Verordnung (EU) 2016/679 ist dies dadurch gerechtfertigt, dass der Datenverantwortliche zur Gewährleistung der Transparenz oder zur Gewährung von Rechten des Einzelnen feststellen müsste, ob (und wenn ja, welche) Daten mit der antragstellenden Person in Verbindung stehen, was nach dem PIPA ausdrücklich verboten ist (Artikel 28-5 Absatz 1 PIPA). Besteht eine solche erneute Identifizierung darin, die Pseudonymisierung für den gesamten (pseudonymisierten) Datensatz rückgängig zu machen, so würden die personenbezogenen Daten aller anderen betroffenen Personen einem erhöhten Risiko ausgesetzt werden. Während sich die Verordnung (EU) 2016/679 auf Situationen bezieht, in denen eine erneute Identifizierung praktisch unmöglich ist, wird im PIPA ein strengerer Ansatz verfolgt, indem die erneute Identifizierung in allen Situationen, in denen pseudonymisierte Daten verarbeitet werden, ausdrücklich verboten wird.

(83)

Wie in den Erwägungsgründen (74)-(82) beschrieben, sind daher im koreanischen System Vorschriften über die Rechte der betroffenen Person enthalten, die ein Schutzniveau bieten, das im Wesentlichen dem der Verordnung (EU) 2016/679 entspricht.

(84)

Das Schutzniveau für personenbezogene Daten, die aus der Union an Datenverantwortliche in der Republik Korea übermittelt werden, darf nicht durch die Weiterübermittlung dieser Daten an Empfänger in einem Drittland beeinträchtigt werden.

(85)

Solche „Weiterübermittlungen“ stellen aus Sicht des koreanischen Datenverantwortlichen internationale Übermittlungen aus der Republik Korea dar. In dieser Hinsicht unterscheidet das PIPA zwischen der Auslagerung der Verarbeitung an einen Beauftragten (d. h. einen Auftragsverarbeiter) und der Übermittlung personenbezogener Daten an Dritte (113).

(86)

Erstens muss der koreanische Datenverantwortliche bei der Auslagerung der Verarbeitung personenbezogener Daten an eine in einem Drittland ansässige Stelle die Einhaltung der Bestimmungen des PIPA über die Auslagerung sicherstellen (Artikel 26 PIPA). Dies umfasst die Einführung eines rechtsverbindlichen Instruments, mit dem unter anderem die Verarbeitung durch den Beauftragten auf den Zweck der ausgelagerten Arbeit beschränkt, technische und organisatorische Garantien vorgeschrieben und die Unterverarbeitung eingeschränkt werden (siehe Artikel 26 Absatz 1 PIPA), sowie die Veröffentlichung von Informationen über die ausgelagerte Arbeit. Darüber hinaus ist der Datenverantwortliche verpflichtet, den Beauftragten über die erforderlichen Sicherheitsvorkehrungen „aufzuklären“ und zu überwachen, auch durch Kontrollen, ob er alle Pflichten des Datenverantwortlichen im Rahmen des PIPA (114) und des Auslagerungsvertrags einhält.

(87)

Verursacht der Beauftragte durch eine gegen das PIPA verstoßende Verarbeitung personenbezogener Daten einen Schaden, so haftet dafür der Datenverantwortliche, wie dies auch bei den Mitarbeitern des Datenverantwortlichen der Fall wäre (Artikel 26 Absatz 6 PIPA). Der koreanische Datenverantwortliche bleibt daher für die ausgelagerten personenbezogenen Daten verantwortlich und muss sicherstellen, dass der ausländische Beauftragte die Daten in Übereinstimmung mit dem PIPA verarbeitet. Verstößt der Beauftragte bei der Verarbeitung der Daten gegen das PIPA, kann der koreanische Datenverantwortliche dafür haftbar gemacht werden, dass er seiner Pflicht, die Einhaltung des PIPA zu gewährleisten, nicht nachgekommen ist, z. B. durch seine Aufsicht über den Beauftragten. Die in den Auslagerungsvertrag aufgenommenen Garantien und die Verantwortung des koreanischen Datenverantwortlichen für die Handlungen des Beauftragten gewährleisten die Kontinuität des Schutzes, wenn die Verarbeitung personenbezogener Daten an eine Stelle außerhalb Koreas ausgelagert wird.

(88)

Zweitens können koreanische Datenverantwortliche personenbezogene Daten an Dritte mit Sitz außerhalb Koreas weitergeben. Das PIPA enthält zwar eine Reihe von Rechtsgrundlagen, die eine Übermittlung an Dritte im Allgemeinen zulassen, doch wenn der Dritte außerhalb Koreas ansässig ist, muss der Datenverantwortliche grundsätzlich (115) die Einwilligung der betroffenen Person einholen, (116) nachdem er sie über 1) die Art der personenbezogenen Daten, 2) den Empfänger der personenbezogenen Daten, 3) den Zweck der Übermittlung im Sinne des vom Empfänger verfolgten Zwecks der Verarbeitung, 4) die Speicherfrist für die Verarbeitung durch den Empfänger sowie 5) die Tatsache, dass die betroffene Person ihre Einwilligung verweigern kann, unterrichtet hat (Artikel 17 Absätze 2 und 3 PIPA). Gemäß dem Abschnitt über die Transparenz in der Bekanntmachung 2021-5 (siehe Erwägungsgrund (70)) müssen die betroffenen Personen über das Drittland, an das ihre Daten übermittelt werden sollen, unterrichtet werden. Damit wird sichergestellt, dass die betroffenen Personen in der Union in voller Kenntnis der Sachlage entscheiden können, ob sie einer Übermittlung ins Ausland zustimmen oder nicht. Außerdem darf der Datenverantwortliche keinen Vertrag mit dem Drittempfänger abschließen, der gegen das PIPA verstößt, d. h. der Vertrag darf keine Pflichten enthalten, die den Anforderungen des PIPA an den Datenverantwortlichen widersprechen würden (117).

(89)

Personenbezogene Daten können ohne Einwilligung der betroffenen Person an Dritte (im Ausland) weitergegeben werden, wenn der Zweck der Weitergabe „in einem angemessenen Zusammenhang“ mit dem ursprünglichen Zweck der Erhebung steht (Artikel 17 Absatz 4 PIPA, siehe Erwägungsgrund (36)). Bei der Entscheidung, ob personenbezogene Daten für einen „verbundenen“ Zweck weitergegeben werden sollen, muss der Datenverantwortliche jedoch berücksichtigen, ob die Weitergabe Nachteile für den Einzelnen mit sich bringt und ob die erforderlichen Sicherheitsvorkehrungen (z. B. Verschlüsselung) ergriffen worden sind. In Anbetracht der Tatsache, dass das Drittland, in das personenbezogene Daten übermittelt werden, möglicherweise keinen ähnlichen Schutz bietet wie das PIPA, wird in Abschnitt 2 der Bekanntmachung 2021-5 anerkannt, dass derartige Nachteile entstehen und nur vermieden werden können, wenn der koreanische Datenverantwortliche und der im Ausland ansässige Empfänger durch ein rechtsverbindliches Instrument (z. B. einen Vertrag) ein Schutzniveau sicherstellen, das dem durch das PIPA gewährleisteten Schutzniveau – auch in Bezug auf die Rechte der betroffenen Personen – gleichwertig ist.

(90)

Besondere Regeln gelten für die „zweckentfremdete“ Weitergabe, d. h. die Weitergabe von Daten an einen Dritten für einen neuen (nicht zusammenhängenden) Zweck, die nur aus einem der in Artikel 18 Absatz 2 PIPA genannten Gründe erfolgen darf (vgl. Erwägungsgrund (39)). Aber auch unter diesen Bedingungen ist die Weitergabe an Dritte ausgeschlossen, wenn sie zur „unfairer Beeinträchtigung“ der Interessen der betroffenen Person oder eines Dritten führen könnte; dies erfordert einer Interessenabwägung. Darüber hinaus muss der Datenverantwortliche gemäß Artikel 18 Absatz 5 PIPA zusätzliche Garantien anwenden, wie die Aufforderung an den Dritten, den Zweck und die Methode der Verarbeitung einzuschränken oder besondere Sicherheitsvorkehrungen zu ergreifen. In Anbetracht der Tatsache, dass das Drittland, in das personenbezogene Daten übermittelt werden, möglicherweise keinen ähnlichen Schutz bietet wie das PIPA, wird in Abschnitt 2 der Bekanntmachung 2021-5 anerkannt, dass eine solche „unfaire Beeinträchtigung“ der Interessen des betroffenen Person oder eines Dritten nur dann vermieden werden kann, wenn der koreanische Datenverantwortliche und der Empfänger im Ausland durch ein rechtsverbindliches Instrument (z. B. einen Vertrag) ein dem PIPA gleichwertiges Schutzniveau gewährleisten, auch in Bezug auf die Rechte der betroffenen Person.

(91)

Durch die Vorschriften in den Erwägungsgründen (86)-(90) wird daher die Kontinuität des Schutzes bei der Weiterübermittlung personenbezogener Daten (an einen „Beauftragten“ oder einen Dritten) aus der Republik Korea in einer Weise gewährleistet, die im Wesentlichen den Bestimmungen der Verordnung (EU) 2016/679 entspricht.

(92)

Nach dem Grundsatz der Rechenschaftspflicht müssen Daten verarbeitende Unternehmen geeignete technische und organisatorische Maßnahmen treffen, um ihren Datenschutzpflichten wirksam nachzukommen und dies, insbesondere gegenüber der zuständigen Aufsichtsbehörde, nachweisen zu können.

(93)

Gemäß Artikel 3 Absätze 6 und 8 PIPA hat der Datenverantwortliche personenbezogene Daten so zu verarbeiten, dass die Möglichkeit einer Verletzung der Privatsphäre der betroffenen Person „so gering wie möglich gehalten wird“, und er hat das Vertrauen der betroffenen Person zu gewinnen, indem er die im PIPA und anderen damit zusammenhängenden Gesetzen vorgesehenen Pflichten und Verantwortlichkeiten beachtet und erfüllt. Dazu gehört die Erstellung eines internen Verwaltungsplans (Artikel 29 PIPA) sowie eine angemessene Schulung und Aufsicht des Personals (Artikel 28 PIPA).

(94)

Um die Rechenschaftspflicht zu gewährleisten, werden die Datenverantwortlichen durch Artikel 31 PIPA in Verbindung mit Artikel 32 des PIPA-Durchführungserlasses verpflichtet, einen Datenschutzbeauftragten zu benennen, der „umfassend für die Verarbeitung personenbezogener Daten verantwortlich ist“. Der Datenschutzbeauftragte hat insbesondere folgende Aufgaben zu erfüllen: 1) Erstellung und Durchführung eines Plans zum Schutz personenbezogener Daten und Ausarbeitung der Datenschutzerklärung, 2) regelmäßige Erhebungen über den Stand und die Praxis der Verarbeitung personenbezogener Daten, um etwaige Mängel zu beheben, 3) Bearbeitung von Beschwerden und Abhilfemaßnahmen, 4) Einrichtung eines internen Kontrollsystems, um die Offenlegung, den Missbrauch oder die missbräuchliche Verwendung personenbezogener Daten zu verhindern, 5) Ausarbeitung und Durchführung eines Schulungsprogramms, 6) Schutz, Kontrolle und Verwaltung von Akten mit personenbezogenen Daten und 7) Vernichtung personenbezogener Daten, sobald der Zweck der Verarbeitung erreicht ist oder die Speicherfrist abgelaufen ist. Bei der Erfüllung dieser Aufgaben kann der Datenschutzbeauftragte den Stand der Verarbeitung personenbezogener Daten und die damit verbundenen Systeme überprüfen und Informationen darüber anfordern (Artikel 31 Absatz 3 PIPA). Erhält der Datenschutzbeauftragte Kenntnis von einem Verstoß gegen das PIPA oder andere einschlägige Datenschutzvorschriften, so ergreift er unverzüglich Abhilfemaßnahmen und meldet diese der Geschäftsleitung (im Folgenden „Leiter“) des Datenverantwortlichen, falls erforderlich (Artikel 31 Absatz 4 PIPA). Nach Artikel 31 Absatz 5 PIPA dürfen dem Datenschutzbeauftragten bei der Ausübung dieser Aufgaben keine ungerechtfertigten Nachteile entstehen.

(95)

Darüber hinaus müssen sich die Datenverantwortlichen proaktiv um die Durchführung einer Abschätzung der Folgen für die Privatsphäre bemühen, wenn die Verwaltung von Akten mit personenbezogenen Daten ein Risiko für die Privatsphäre mit sich bringt (Artikel 33 Absatz 8 PIPA). Auf der Grundlage von Artikel 33 Absätze 1 und 2 PIPA in Verbindung mit den Artikeln 35, 36 und 38 des PIPA-Durchführungserlasses sind Faktoren wie die Art und der Charakter der verarbeiteten Daten (insbesondere, ob es sich um sensible Informationen handelt), ihr Umfang, die Speicherfrist und die Wahrscheinlichkeit von Verletzungen des Schutzes personenbezogener Daten für die Bewertung des Risikos für die Rechte der betroffenen Personen von Bedeutung. Mit der Abschätzung der Folgen für die Privatsphäre soll sichergestellt werden, dass die Risikofaktoren für den Schutz der Privatsphäre sowie etwaige Sicherheits- oder sonstige Gegenmaßnahmen analysiert und verbesserungsbedürftige Aspekte aufgezeigt werden (siehe Artikel 33 Absatz 1 PIPA in Verbindung mit Artikel 38 des PIPA-Durchführungserlasses).

(96)

Öffentliche Einrichtungen sind verpflichtet, eine Abschätzung der Folgen der Verarbeitung von bestimmten personenbezogenen Daten durchzuführen, die ein höheres Risiko für mögliche Verletzungen der Privatsphäre mit sich bringt (Artikel 33 Absatz 1 PIPA). Gemäß Artikel 35 des PIPA-Durchführungserlasses gilt dies unter anderem für Akten, die sensible Daten über mindestens 50 000 betroffene Personen enthalten, für Akten, die mit anderen Akten abgeglichen werden und infolgedessen Daten über mindestens 500 000 betroffene Personen enthalten, oder für Akten, die Daten über mindestens eine Million betroffene Personen enthalten. Das Ergebnis einer von einer öffentlichen Einrichtung durchgeführten Folgenabschätzung muss der PIPC mitgeteilt werden (Artikel 33 Absatz 1 PIPA), die eine Stellungnahme abgeben kann (Artikel 33 Absatz 3 PIPA).

(97)

Schließlich heißt es in Artikel 13 PIPA, dass die PIPC die erforderlichen Maßnahmen zur Förderung und Unterstützung von „selbstregulierenden Datenschutzmaßnahmen“ der Datenverantwortlichen ergreift, u. a. durch Schulungen zum Datenschutz, die Förderung und Unterstützung von Organisationen, die sich mit dem Datenschutz befassen, und durch Unterstützung der Datenverantwortlichen bei der Erarbeitung und Durchführung von Selbstregulierungsvorschriften. Darüber hinaus soll sie das ePRIVACY-Mark-System einführen und erleichtern. In diesem Zusammenhang ist in Artikel 32-2 PIPA in Verbindung mit den Artikeln 34-2 bis 34-8 des PIPA-Durchführungserlasses die Möglichkeit vorgesehen, zu bescheinigen, dass das/die System(e) eines Datenverantwortlichen für die Verarbeitung personenbezogener Daten und für den Schutz dieser Daten den Anforderungen des PIPA entsprechen. Nach diesen Vorschriften kann eine Zertifizierung (118) (für einen Zeitraum von drei Jahren) erteilt werden, wenn der Datenverantwortliche die von der PIPC festgelegten Kriterien für die Zertifizierung erfüllt, darunter die Einrichtung von organisatorischen, technischen und physischen Sicherheitsvorkehrungen zum Schutz personenbezogener Daten (119). Die PIPC muss die für die Zertifizierung relevanten Systeme des Datenverantwortlichen mindestens einmal pro Jahr überprüfen, um die Wirksamkeit der Zertifizierung aufrechtzuerhalten, wobei dies zum Widerruf der Zertifizierung führen kann (Artikel 32 Absatz 4 PIPA in Verbindung mit Artikel 34-5 des PIPA-Durchführungserlasses, „Follow-up-Management“).

(98)

Im koreanischen Rechtsrahmen wird daher der Grundsatz der Rechenschaftspflicht in einer Weise umgesetzt, die ein Schutzniveau gewährleistet, das im Wesentlichen dem der Verordnung (EU) 2016/679 entspricht, indem unter anderem verschiedene Mechanismen vorgesehen sind, um die Einhaltung des PIPA zu gewährleisten und nachzuweisen.

(99)

Wie in Erwägungsgrund (13) beschrieben, werden im Kreditdatengesetz besondere Vorschriften für die Verarbeitung personenbezogener Kreditdaten durch Wirtschaftsbeteiligte festgelegt. Bei der Verarbeitung personenbezogener Kreditdaten müssen die Wirtschaftsbeteiligten daher die allgemeinen Anforderungen des PIPA einhalten, es sei denn, das Kreditdatengesetz enthält spezifischere Vorschriften. Dies trifft z. B. zu, wenn sie im Rahmen eines Geschäftsvorgangs mit einer Person Daten zu einer Kreditkarte oder einem Bankkonto verarbeiten. Als sektorale Rechtsvorschrift für die Verarbeitung von (personenbezogenen und nicht personenbezogenen) Kreditdaten beinhaltet das Kreditdatengesetz nicht nur spezifische Datenschutzgarantien (z. B. in Bezug auf Transparenz und Sicherheit), sondern regelt auch ganz allgemein die besonderen Umstände, unter denen personenbezogene Kreditdaten verarbeitet werden dürfen. Dies spiegelt sich insbesondere in den detaillierten Anforderungen für die Verwendung, die Übermittlung von Daten an Dritte und die Speicherung dieser Daten wider.

(100)

Wie das PIPA beruht auch das Kreditdatengesetz auf dem Grundsatz der Rechtmäßigkeit und Verhältnismäßigkeit. Erstens ist nach Artikel 15 Absatz 1 des Kreditdatengesetzes die Erhebung personenbezogener Kreditdaten im Einklang mit Artikel 3 Absätze 1 und 2 PIPA nur mit angemessenen und fairen Mitteln und in dem geringstmöglichen Umfang zulässig, der für einen bestimmten Zweck erforderlich ist. Zweitens wird im Kreditdatengesetz speziell die Rechtmäßigkeit der Verarbeitung personenbezogener Kreditdaten geregelt, indem ihre Erhebung, Verwendung und Übermittlung an Dritte eingeschränkt wird und diese Verarbeitungstätigkeiten generell von der Einwilligung der betroffenen Person abhängig gemacht werden.

(101)

Persönliche Kreditdaten können auf der Grundlage eines der im PIPA vorgesehenen Gründe oder auf der Grundlage spezifischer, im Kreditdatengesetz festgelegter Gründe erhoben werden. Da in Artikel 45 der Verordnung (EU) 2016/679 eine Übermittlung personenbezogener Daten durch einen Verantwortlichen oder einen Auftragsverarbeiter in der Union vorausgesetzt wird, die direkte Erhebung (z. B. bei der Person oder auf einer Website) durch einen Datenverantwortlichen in Korea jedoch nicht erfasst wird, sind für diesen Beschluss nur die Einwilligung und die nach dem PIPA verfügbaren Gründe relevant. Zu diesen Gründen gehören insbesondere Fälle, in denen die Übermittlung zur Erfüllung eines Vertrags mit der betreffenden Person oder zur Wahrung der berechtigten Interessen des koreanischen Datenverantwortlichen erforderlich ist (Artikel 15 Absatz 1 Nummern 4 und 6 PIPA) (120).

(102)

Einmal erhobene persönliche Kreditdaten können folgendermaßen verwendet werden: 1) für den ursprünglichen Zweck, für den sie durch die Person (direkt) bereitgestellt wurden, (121) 2) für einen Zweck, der mit dem ursprünglichen Zweck der Erhebung vereinbar ist, (122) 3) um zu entscheiden, ob eine von der Person gewünschte Geschäftsbeziehung aufgenommen oder aufrechterhalten werden soll, (123) 4) für die Zwecke der Statistik, der Forschung und der Archivierung im öffentlichen Interesse, (124) wenn die Informationen pseudonymisiert sind (125), 5) wenn eine weitere Einwilligung eingeholt wird oder 6) in Übereinstimmung mit dem Gesetz.

(103)

Beabsichtigt ein Wirtschaftsbeteiligter, personenbezogene Kreditdaten an einen Dritten weiterzugeben, muss er die Einwilligung der betroffenen Person einholen, (126) nachdem er sie über den Empfänger der Daten, den Zweck der Verarbeitung durch den Empfänger, die Einzelheiten der zu übermittelnden Daten, die Speicherfrist durch den Empfänger und das Recht, die Einwilligung zu verweigern, unterrichtet hat (Artikel 32 Absatz 1 des Kreditdatengesetzes und Artikel 28 Absatz 2 des Durchführungserlasses zum Kreditdatengesetz) (127). Diese Anforderung an die Einwilligung gilt nicht in bestimmten Situationen, nämlich wenn personenbezogene Kreditdaten weitergegeben werden: (128) 1) an einen Beauftragten zum Zwecke der Auslagerung, (129) 2) an einen Dritten im Falle einer Unternehmensübertragung, -spaltung oder -fusion, 3) für die Zwecke der Statistik, der Forschung und der Archivierung im öffentlichen Interesse, wenn die Daten pseudonymisiert sind, 4) für einen Zweck, der mit dem ursprünglichen Zweck der Erhebung vereinbar ist, 5) an einen Dritten, der die Daten verwendet, um eine Forderung gegen die betroffene Person einzutreiben, (130) 6) zur Befolgung eines gerichtlichen Beschlusses, 7) an einen Staatsanwalt oder einen Polizeibeamten in einer Notsituation, in der eine Gefahr für Leib und/oder Leben der Person besteht und keine Zeit für den Erlass einer richterlichen Anordnung vorhanden ist, (131) 8) an die zuständigen Steuerbehörden zwecks Einhaltung der Steuervorschriften oder 9) in Übereinstimmung mit anderen Gesetzen. Im Falle einer Weitergabe aus einem dieser Gründe muss die betroffene Person im Voraus darüber unterrichtet werden (Artikel 32 Absatz 7 des Kreditdatengesetzes).

(104)

Ferner wird im Kreditdatengesetz die Dauer der Verarbeitung personenbezogener Kreditdaten auf der Grundlage eines der genannten Gründe zur Verwendung oder Weitergabe an Dritte nach Beendigung der Geschäftsbeziehung mit der betreffenden Person ausdrücklich geregelt (132). Es dürfen lediglich Daten gespeichert werden, die für den Aufbau oder die Aufrechterhaltung der Geschäftsbeziehung erforderlich sind, wobei zusätzliche Sicherheitsvorkehrungen ergriffen werden müssen (sie sind getrennt von Kreditdaten von Personen, die in einer laufenden Geschäftsbeziehung stehen, zu speichern, durch besondere Sicherheitsvorkehrungen zu schützen und nur für befugte Personen zugänglich zu machen) (133). Alle anderen Daten sind zu löschen (Artikel 17-2 Absatz 1 Nummer 2 des Durchführungserlasses zum Kreditdatengesetz). Um festzustellen, welche Daten für die Geschäftsbeziehung erforderlich waren, müssen verschiedene Faktoren berücksichtigt werden, darunter die Frage, ob es möglich gewesen wäre, die Beziehung ohne die Daten herzustellen, und ob sie sich unmittelbar auf die Waren oder Dienstleistungen beziehen, die der Person zur Verfügung gestellt wurden (Artikel 17-2 Absatz 2 des Durchführungserlasses zum Kreditdatengesetz).

(105)

Selbst in Fällen, in denen personenbezogene Kreditdaten grundsätzlich über das Ende der Geschäftsbeziehung hinaus gespeichert werden dürfen, müssen sie innerhalb von drei Monaten, nachdem der weitere Zweck der Verarbeitung erreicht wurde, (134) oder auf jeden Fall nach fünf Jahren gelöscht werden (Artikel 20-2 des Kreditdatengesetzes). Unter bestimmten Umständen können personenbezogene Kreditdaten länger als fünf Jahre gespeichert werden, insbesondere wenn dies erforderlich ist, um einer gesetzlichen Pflicht nachzukommen, wenn dies für die grundlegenden Interessen in Bezug auf das Leben, den Körper oder das Eigentum einer Person erforderlich ist, für die Archivierung von pseudonymisierten Daten (die für die Zwecke der wissenschaftlichen Forschung, der Statistik oder der Archivierung im öffentlichen Interesse verwendet wurden) oder für Versicherungszwecke (insbesondere für Versicherungsleistungen oder zur Verhinderung eines Versicherungsbetruges) (135). In diesen Ausnahmefällen gelten besondere Sicherheitsvorkehrungen (z. B. Unterrichtung der betroffenen Person über die Weiterverwendung, Trennung der aufbewahrten Daten von den Daten, die sich auf Personen beziehen, zu denen noch eine Geschäftsbeziehung besteht, Einschränkung der Auskunftsrechte, siehe Artikel 17-2 Absätze 1 und 2 des Durchführungserlasses zum Kreditdatengesetz).

(106)

Im Kreditdatengesetz werden auch die Grundsätze der Richtigkeit und der Datenqualität weiter präzisiert, indem vorgeschrieben wird, dass personenbezogene Kreditdaten „registriert, geändert und verwaltet“ werden, um sie richtig und auf dem neuesten Stand zu halten (Artikel 18 Absatz 1 des Kreditdatengesetzes und Artikel 15 Absatz 3 des Durchführungserlasses zum Kreditdatengesetz) (136). Bei der Übermittlung von Kreditdaten an bestimmte andere Stellen (z. B. Rating-Agenturen) sind die Wirtschaftsbeteiligten außerdem ausdrücklich verpflichtet, die Richtigkeit der Daten zu überprüfen, um sicherzustellen, dass nur korrekte Daten vom Empfänger registriert und verwaltet werden (Artikel 15 Absatz 1 des Durchführungserlasses zum Kreditdatengesetz in Verbindung mit Artikel 18 Absatz 1 des Kreditdatengesetzes). Im Allgemeinen sind nach dem Kreditdatengesetz Aufzeichnungen über die Erhebung, Verwendung, Weitergabe an Dritte und Vernichtung personenbezogener Kreditdaten zu führen (Artikel 20 Absatz 2 des Kreditdatengesetzes) (137).

(107)

Darüber hinaus unterliegt die Verarbeitung personenbezogener Kreditdaten besonderen Anforderungen in Bezug auf die Datensicherheit. So müssen nach dem Kreditdatengesetz technische, physische und organisatorische Maßnahmen ergriffen werden, um den unrechtmäßigen Zugang zu Computersystemen sowie die Veränderung, Zerstörung oder sonstige Gefährdung der verarbeiteten Daten zu verhindern (z. B. durch Zugangskontrollen, siehe Artikel 19 des Kreditdatengesetzes und Artikel 16 des Durchführungserlasses zum Kreditdatengesetz). Darüber hinaus muss beim Austausch personenbezogener Kreditdaten mit einem Dritten eine Vereinbarung geschlossen werden, in der spezifische Sicherheitsvorkehrungen festgelegt sind (Artikel 19 Absatz 2 des Kreditdatengesetzes). Kommt es zu einer Verletzung des Schutzes personenbezogener Kreditdaten, sind Maßnahmen zur Schadensbegrenzung zu ergreifen und die betroffenen Personen unverzüglich zu unterrichten (Artikel 39-4 Absätze 1 bis 2 des Kreditdatengesetzes). Darüber hinaus muss der Datenschutzbeauftragte über die Unterrichtung der Personen und die durchgeführten Maßnahmen informiert werden (Artikel 39-4 Absatz 4 des Kreditdatengesetzes).

(108)

Im Kreditdatengesetz sind auch besondere Transparenzpflichten festgelegt, wenn die Einwilligung zur Verwendung oder Weitergabe personenbezogener Kreditdaten eingeholt werden soll (Artikel 32 Absatz 4 und Artikel 34-2 des Kreditdatengesetzes und Artikel 30-3 des Durchführungserlasses zum Kreditdatengesetz) und ganz allgemein, bevor Daten an einen Dritten weitergegeben werden (Artikel 32 Absatz 7 des Kreditdatengesetzes) (138). Darüber hinaus haben Einzelpersonen das Recht, auf Anfrage Informationen über die Verwendung und Weitergabe ihrer Kreditdaten an Dritte in den letzten drei Jahren vor der Anfrage zu erhalten (einschließlich des Zwecks und der Zeitpunkte einer solchen Verwendung oder Weitergabe) (139).

(109)

Nach dem Kreditdatengesetz haben Einzelpersonen auch ein Recht auf Auskunft über ihre persönlichen Kreditdaten (Artikel 38 Absatz 1 des Kreditdatengesetzes) und auf Berichtigung unrichtiger Daten (Artikel 38 Absätze 2 bis 3 des Kreditdatengesetzes) (140). Neben dem allgemeinen Recht auf Löschung nach dem PIPA (siehe Erwägungsgrund (77)) ist im Kreditdatengesetz ein spezielles Recht auf Löschung personenbezogener Kreditdaten vorgesehen, die über die in Erwägungsgrund (104) genannten Speicherfristen hinaus aufbewahrt wurden, d. h. fünf Jahre (für personenbezogene Kreditdaten, die zur Begründung oder Aufrechterhaltung einer Geschäftsbeziehung erforderlich waren) oder drei Monate (für andere Arten personenbezogener Kreditdaten) (141). Ein Antrag auf Löschung kann ausnahmsweise abgelehnt werden, wenn eine weitere Speicherung unter den in Erwägungsgrund (105). beschriebenen Umständen erforderlich ist. Beantragt eine Person die Löschung von Daten, auf die eine der Ausnahmen zutrifft, so müssen für die betroffenen Kreditdaten besondere Sicherheitsvorkehrungen ergriffen werden (Artikel 38-3 Absatz 3 des Kreditdatengesetzes und Artikel 33-3 des Durchführungserlasses zum Kreditdatengesetz). Beispielsweise müssen die Daten getrennt von anderen Informationen gespeichert werden, dürfen nur von einer befugten Person eingesehen werden und müssen besonderen Sicherheitsvorkehrungen unterworfen sein.

(110)

Abgesehen von den in Erwägungsgrund (109) genannten Rechten hat jede betroffene Person nach dem Kreditdatengesetz das Recht, einen Datenverantwortlichen aufzufordern, sie nicht mehr zu Direktwerbungszwecken zu kontaktieren (Artikel 37 Absatz 2 des Gesetzes), sowie ein Recht auf Datenübertragbarkeit. Was Letzteres betrifft, so können Einzelpersonen gemäß dem Kreditdatengesetz die Übermittlung ihrer persönlichen Kreditdaten an sich selbst oder an bestimmte Dritte (z. B. Finanzinstitute und Kreditrating-Unternehmen) beantragen. Die personenbezogenen Kreditdaten müssen in einem Format verarbeitet und an den Dritten übermittelt werden, das von einem informationsverarbeitenden Gerät (z. B. einem Computer) verarbeitet werden kann.

(111)

Soweit im Kreditdatengesetz spezifischere Vorschriften als im PIPA enthalten sind, ist die Kommission daher der Ansicht, dass auch diese Vorschriften ein Schutzniveau gewährleisten, das dem durch die Verordnung (EU) 2016/679 gewährleisteten Schutzniveau der Sache nach gleichwertig ist.

(112)

Um sicherzustellen, dass in der Praxis ein angemessenes Datenschutzniveau gewährleistet ist, sollte eine unabhängige Aufsichtsbehörde mit der Befugnis zur Überwachung und Durchsetzung der Einhaltung der Datenschutzvorschriften eingerichtet werden. Diese Behörde sollte bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse vollkommen unabhängig und unparteiisch handeln.

(113)

In der Republik Korea ist die unabhängige Behörde, die für die Überwachung und Durchsetzung des PIPA zuständig ist, die PIPC. Die PIPC setzt sich aus einem Vorsitzenden, einem stellvertretenden Vorsitzenden und sieben Kommissionsmitgliedern zusammen. Der Vorsitzende und der stellvertretende Vorsitzende werden vom Präsidenten auf Vorschlag des Premierministers ernannt. Von den Kommissionsmitgliedern werden zwei vom Präsidenten auf Vorschlag des Vorsitzenden und fünf auf Vorschlag der Nationalversammlung ernannt (davon zwei auf Vorschlag von Vertretern der politischen Partei, der der Präsident angehört und drei auf Vorschlag von Vertretern anderer politischer Parteien (Artikel 7-2 Absatz 2 PIPA), wodurch das Ernennungsverfahren nicht parteiisch wird) (142). Dieses Verfahren steht im Einklang mit den Anforderungen, die für die Ernennung von Mitgliedern von Datenschutzbehörden in der Union gelten (Artikel 53 Absatz 1 der Verordnung (EU) 2016/679). Darüber hinaus dürfen die Kommissionsmitglieder keine gewinnorientierten Geschäfte betreiben, keine politischen Aktivitäten ausüben und keine Ämter in der öffentlichen Verwaltung oder in der Nationalversammlung bekleiden (Artikel 7-6 und Artikel 7-7 Absatz 1 Nummer 3 PIPA) (143). Für alle Kommissionsmitglieder gelten besondere Vorschriften, nach denen sie im Falle eines möglichen Interessenkonflikts nicht an den Beratungen teilnehmen dürfen (Artikel 7-11 PIPA). Die PIPC wird von einem Sekretariat unterstützt (Artikel 7-13) und kann Unterkommissionen (bestehend aus drei Kommissionsmitgliedern) einsetzen, um geringfügige Verstöße und wiederkehrende Angelegenheiten zu behandeln (Artikel 7-12 PIPA).

(114)

Jedes Mitglied der PIPC wird für drei Jahre ernannt und kann einmal wieder ernannt werden (Artikel 7-4 Absatz 1 PIPA). Kommissionsmitglieder können nur unter bestimmten Umständen entlassen werden, nämlich wenn sie aufgrund einer langfristigen geistigen oder körperlichen Behinderung nicht mehr in der Lage sind, ihr Amt auszuüben, wenn sie gegen das Gesetz verstoßen oder wenn einer der Gründe für die Amtsenthebung vorliegt (Artikel 7-5 PIPA) (144). Dadurch erhalten sie einen institutionellen Schutz bei der Ausübung ihrer Aufgaben.

(115)

Im Allgemeinen wird die Unabhängigkeit der PIPC in Artikel 7 Absatz 1 PIPA ausdrücklich garantiert, und nach Artikel 7-5 Absatz 2 PIPA sind die Kommissionsmitglieder verpflichtet, ihre Aufgaben unabhängig, nach dem Gesetz und nach ihrem Gewissen zu erfüllen (145). Die beschriebenen institutionellen und verfahrenstechnischen Garantien, auch in Bezug auf die Ernennung und Entlassung seiner Mitglieder, gewährleisten, dass die PIPC völlig unabhängig und frei von externen Einflüssen oder Anweisungen handelt. Als zentrale Verwaltungsbehörde stellt die PIPC jährlich einen eigenen Haushaltsplan auf (der vom Finanzministerium als Teil des Gesamthaushaltsplans vor der Verabschiedung durch die Nationalversammlung geprüft wird) und ist für ihre eigene Personalverwaltung zuständig. Die PIPC verfügt über ein Budget von derzeit rund 35 Millionen EUR und beschäftigt 154 Mitarbeiter (darunter 40 auf Informations- und Kommunikationstechnologie spezialisierte Mitarbeiter, 32 Mitarbeiter mit Schwerpunkt Ermittlungen und 40 Rechtssachverständige).

(116)

Die Aufgaben und Befugnisse der PIPC sind hauptsächlich in den Artikeln 7-8 und 7-9 sowie in den Artikeln 61 bis 66 PIPA geregelt (146). Zu den Aufgaben von PIPC gehören insbesondere die Beratung zu Gesetzen und Vorschriften im Zusammenhang mit dem Datenschutz, die Entwicklung von Datenschutzstrategien und -leitlinien, die Untersuchung von Verstößen gegen die Rechte des Einzelnen, die Bearbeitung von Beschwerden und die Schlichtung von Streitigkeiten, die Durchsetzung der Einhaltung des PIPA, die Gewährleistung von Bildung und Förderung im Bereich des Datenschutzes sowie der Austausch und die Zusammenarbeit mit Datenschutzbehörden in Drittländern (147).

(117)

Auf der Grundlage von Artikel 68 PIPA in Verbindung mit Artikel 62 des PIPA-Durchführungserlasses wurden bestimmte Aufgaben der PIPC an die koreanische Internet- und Sicherheitsbehörde delegiert, und zwar 1) Bildung und Öffentlichkeitsarbeit, 2) Schulung von Fachleuten und Entwicklung von Kriterien für Datenschutz-Folgenabschätzungen, 3) Bearbeitung von Anträgen auf Benennung einer sogenannten Einrichtung für Datenschutz-Folgenabschätzungen, 4) Bearbeitung von Anträgen auf indirekten Auskunft über die personenbezogenen Daten im Besitz von Behörden (Artikel 35 Absatz 2 PIPA) und 5) Anforderung von Materialien und Durchführung von Kontrollen im Zusammenhang mit Beschwerden, die über das sogenannte Datenschutz-Callcenter eingehen. Im Rahmen der Bearbeitung von Beschwerden über das Datenschutz-Callcenter leitet die koreanische Internet- und Sicherheitsbehörde den Fall an die PIPC oder an die Staatsanwaltschaft weiter, wenn sie einen Verstoß gegen das Gesetz feststellt. Die Möglichkeit, eine Beschwerde beim Datenschutz-Callcenter einzureichen, hindert Einzelpersonen nicht daran, direkt eine Beschwerde bei der PIPC einzureichen oder sich an die PIPC zu wenden, sollte ihre Beschwerde ihrer Ansicht nach von der koreanischen Internet- und Sicherheitsbehörde nicht zufriedenstellend bearbeitet worden sein.

(118)

Um die Einhaltung des PIPA zu gewährleisten, hat der Gesetzgeber an die PIPC sowohl Ermittlungs- als auch Durchsetzungsbefugnisse übertragen, die von Empfehlungen bis hin zu Geldbußen reichen. Diese Befugnisse werden durch eine Regelung strafrechtlicher Sanktionen ergänzt.

(119)

In Bezug auf die Ermittlungsbefugnisse kann die PIPC, sofern ein Verstoß gegen das PIPA vermutet wird oder gemeldet wurde oder wenn dies zum Schutz der Rechte der betroffenen Personen vor Verstößen erforderlich ist, Kontrollen vor Ort durchführen und alle relevanten Materialien (wie Artikel und Dokumente) von den Datenverantwortlichen anfordern (Artikel 63 PIPA in Verbindung mit Artikel 60 des PIPA-Durchführungserlasses) (148).

(120)

In Bezug auf die Durchsetzung kann die PIPC gemäß Artikel 61 Absatz 2 PIPA den Datenverantwortlichen Empfehlungen zur Verbesserung des Schutzes personenbezogener Daten bei bestimmten Verarbeitungstätigkeiten geben. Die Datenverantwortlichen müssen sich nach Treu und Glauben bemühen, diese Empfehlungen umzusetzen, und sind verpflichtet, die PIPC über das Ergebnis zu informieren. Darüber hinaus kann die PIPC Abhilfemaßnahmen anordnen, wenn berechtigte Gründe für die Annahme bestehen, dass ein Verstoß gegen das PIPA vorliegt und die Unterlassung von Maßnahmen wahrscheinlich zu einem schwer zu behebenden Schaden führen wird (Artikel 64 Absatz 1 PIPA) (149). In Abschnitt 5 der Bekanntmachung 2021-5 (Anhang I) wird mit verbindlicher Wirkung klargestellt, dass diese Bedingungen bei der Verletzung einer PIPA-Bestimmung, mit der die Datenschutzrechte natürlicher Personen in Bezug auf personenbezogene Daten gewährleistet werden, erfüllt sind (150). Zu den Maßnahmen, zu denen die PIPC befugt ist, gehören die Anordnung der Einstellung des Verhaltens, das den Verstoß verursacht hat, die vorübergehende Aussetzung der Datenverarbeitung oder andere notwendige Maßnahmen. Die Nichterfüllung einer Abhilfemaßnahme kann mit einer Geldbuße in Höhe von maximal 50 Millionen Won geahndet werden (Artikel 75 Absatz 2 Nummer 13 PIPA).

(121)

In Bezug auf bestimmte Behörden (wie die Nationalversammlung, zentrale Verwaltungsbehörden, lokale Gebietskörperschaften und Gerichte) ist in Artikel 64 Absatz 4 PIPA vorgesehen, dass die PIPC eine der in Erwägungsgrund (120) genannten Abhilfemaßnahmen „empfehlen“ kann und dass diese Behörden verpflichtet sind, einer solchen Empfehlung nachzukommen, sofern keine außergewöhnlichen Umstände vorliegen. Gemäß Abschnitt 5 der Bekanntmachung 2021-5 handelt es sich dabei um außergewöhnliche tatsächliche oder rechtliche Umstände, die der PIPC zum Zeitpunkt der Abgabe seiner Empfehlung nicht bekannt waren. Die betroffene Behörde kann sich nur dann auf solche außergewöhnlichen Umstände berufen, wenn sie eindeutig nachweist, dass kein Verstoß vorliegt, und die PIPC feststellt, dass dies tatsächlich nicht der Fall ist. Andernfalls ist die Behörde verpflichtet, der Empfehlung der PIPC zu folgen und eine „Abhilfemaßnahme zu ergreifen, unter anderem die sofortige Einstellung der betreffenden Handlung, und Schadenersatz zu leisten.“

(122)

Die PIPC kann auch andere Verwaltungsbehörden mit spezifischen Zuständigkeiten nach sektoralen Rechtsvorschriften (z. B. Gesundheit, Bildung) ersuchen, allein oder gemeinsam mit der PIPC eine Untersuchung von (mutmaßlichen) Verstößen gegen den Datenschutz durch Datenverantwortliche, die in diesen Sektoren in ihrem Zuständigkeitsbereich tätig sind, durchzuführen und Abhilfemaßnahmen anzuordnen (Artikel 63 Absätze 4 bis 5 PIPA). In diesem Fall legt die PIPC die Gründe, den Gegenstand und den Umfang der Untersuchung fest (151). Die zuständige Verwaltungsbehörde muss ihrerseits der PIPC einen Kontrollplan vorlegen und die PIPC über das Ergebnis der Kontrolle informieren. Die PIPC kann eine spezifische Abhilfemaßnahme empfehlen, die von der betreffenden Behörde nach Möglichkeit umgesetzt werden muss. In jedem Fall schränkt ein solches Ersuchen die Befugnis der PIPC, eigene Untersuchungen durchzuführen oder Sanktionen zu verhängen, nicht ein.

(123)

Zusätzlich zu ihren Abhilfebefugnissen kann die PIPC bei Verstößen gegen verschiedene Vorschriften des PIPA Geldbußen zwischen 10 und 50 Millionen Won verhängen (Artikel 75 PIPA) (152). Dazu gehören unter anderem die Nichteinhaltung der Anforderungen an die Rechtmäßigkeit der Verarbeitung, das Versäumnis, die erforderlichen Sicherheitsvorkehrungen zu ergreifen, das Versäumnis, die betroffenen Personen im Falle einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, die Nichteinhaltung der Anforderungen an die Weiterverarbeitung, das Versäumnis, eine Datenschutzerklärung auszuarbeiten und zu veröffentlichen, das Versäumnis, einen Datenschutzbeauftragten zu benennen, oder das Versäumnis, auf Ersuchen der betroffenen Person in Ausübung ihrer individuellen Rechte tätig zu werden, sowie bestimmte Verfahrensverstöße (Verweigerung der Zusammenarbeit bei einer Untersuchung). Bei Verstößen gegen mehrere Bestimmungen des PIPA durch denselben Datenverantwortlichen kann für jeden einzelnen Verstoß eine Geldbuße verhängt werden, wobei die Zahl der betroffenen Personen bei der Festsetzung der Höhe der Geldbuße berücksichtigt wird.

(124)

Darüber hinaus kann die PIPC bei begründetem Verdacht auf einen Verstoß gegen das PIPA oder andere „Datenschutzgesetze“ bei der zuständigen Ermittlungsbehörde (z. B. der Staatsanwaltschaft, siehe Artikel 65 Absatz 1 PIPA) Strafanzeige erstatten. Darüber hinaus kann die PIPC dem Datenverantwortlichen empfehlen, Disziplinarmaßnahmen gegen die verantwortliche Person zu ergreifen (einschließlich der verantwortlichen Führungskraft, siehe Artikel 65 Absatz 2 PIPA). Nach Erhalt einer solchen Empfehlung muss der Datenverantwortliche dieser nachkommen (153) und das Ergebnis der PIPC schriftlich mitteilen (Artikel 65 des PIPA in Verbindung mit Artikel 58 des PIPA-Durchführungserlasses).

(125)

Bei Empfehlungen gemäß Artikel 61, Abhilfemaßnahmen gemäß Artikel 64, Anklagen oder Empfehlungen für Disziplinarmaßnahmen gemäß Artikel 65 und der Verhängung von Geldbußen gemäß Artikel 75 PIPA kann die PIPC den Sachverhalt – d. h. den Verstoß, die Einrichtung, die gegen das Gesetz verstoßen hat, und die auferlegte(n) Maßnahme(n) – durch Veröffentlichung auf ihrer Website oder in einer allgemeinen, landesweit erscheinenden Tageszeitung bekannt machen (Artikel 66 PIPA in Verbindung mit Artikel 61 Absatz 1 des PIPA-Durchführungserlasses) (154).

(126)

Schließlich wird die Einhaltung der Datenschutzanforderungen des PIPA (sowie anderer „Datenschutzgesetze“) durch ein System strafrechtlicher Sanktionen unterstützt. In diesem Zusammenhang enthalten die Artikel 70 bis 73 PIPA Strafbestimmungen, die entweder zu einer Geldbuße (zwischen 20 und 100 Millionen Won) oder zu einer Freiheitsstrafe (mit einer Höchststrafe zwischen 2 und 10 Jahren) führen können. Zu den einschlägigen Verstößen gehören unter anderem die Verwendung personenbezogener Daten oder die Weitergabe solcher Daten an Dritte ohne die erforderliche Einwilligung, die Verarbeitung sensibler Daten entgegen dem Verbot in Artikel 23 Absatz 1 PIPA, die Nichteinhaltung geltender Sicherheitsvorschriften mit der Folge, dass personenbezogene Daten verloren gehen bzw. gestohlen, weitergegeben, gefälscht, verändert oder beschädigt werden, das Versäumnis, die erforderlichen Maßnahmen zur Berichtigung, Löschung oder Sperrung personenbezogener Daten zu ergreifen, oder die unrechtmäßige Übermittlung personenbezogener Daten in ein Drittland (155). Gemäß Artikel 74 PIPA haftet in jedem dieser Fälle der Angestellte, Beauftragte oder Vertreter des Datenverantwortlichen sowie der Datenverantwortliche selbst (156).

(127)

Neben den im PIPA vorgesehenen strafrechtlichen Sanktionen kann die missbräuchliche Verwendung personenbezogener Daten auch eine Straftat nach dem Strafgesetzbuch darstellen. Dies gilt insbesondere für die Verletzung des Brief- und Schriftgeheimnisses und des Geheimnisses elektronischer Aufzeichnungen (Artikel 316), die Weitergabe von dem Berufsgeheimnis unterliegenden Daten (Artikel 317), den Betrug unter Verwendung von Computern (Artikel 347-2) sowie die Veruntreuung und den Vertrauensbruch (Artikel 355).

(128)

Das koreanische System kombiniert daher verschiedene Arten von Sanktionen, von Abhilfemaßnahmen über Verwaltungsstrafen bis hin zu strafrechtlichen Sanktionen, die eine besonders starke abschreckende Wirkung auf die Datenverantwortlichen und die mit den Daten umgehenden Personen haben dürften. Unmittelbar nach seiner Einrichtung im Jahr 2020 begann die PIPC, von ihren Befugnissen Gebrauch zu machen. Aus dem PIPC-Jahresbericht 2021 geht hervor, dass die PIPC bereits eine Reihe von Empfehlungen ausgesprochen, Geldbußen verhängt und Abhilfemaßnahmen angeordnet hat, und zwar sowohl gegen den öffentlichen Sektor (rund 34 Behörden) als auch gegen private Unternehmen (rund 140 Unternehmen) (157). Zu den bemerkenswerten Fällen gehören beispielsweise die Verhängung einer Geldbuße in Höhe von 6,7 Mrd. Won im Dezember 2020 gegen ein Unternehmen, das gegen verschiedene Bestimmungen des PIPA verstoßen hatte (u. a. Sicherheitsanforderungen, Anforderungen an die Einwilligung für die Übermittlung der Daten an Dritte und Transparenzanforderungen) (158), und einer Geldbuße in Höhe von 103,3 Mio. Won im April 2021 gegen ein KI-Technologieunternehmen, das u. a. gegen die Vorschriften über die Rechtmäßigkeit der Verarbeitung, insbesondere die Einwilligung, und die Verarbeitung pseudonymisierter Daten verstoßen hatte (159). Im August 2021 schloss die PIPC eine weitere Untersuchung der Tätigkeit von drei Unternehmen ab, die zu Abhilfemaßnahmen und der Verhängung von Geldbußen von bis zu 6,47 Mrd. Won führte (u. a. wegen unterlassener Unterrichtung von Personen über die Weitergabe personenbezogener Daten an Dritte, einschließlich der Übermittlung an Drittländer) (160). Außerdem hat Südkorea bereits vor der jüngsten Reform erhebliche Erfolge bei der Durchsetzung der Vorschriften erzielt, wobei die zuständigen Behörden das gesamte Spektrum der Durchsetzungsmaßnahmen eingesetzt haben, einschließlich Verwaltungsstrafen, Abhilfemaßnahmen und „Namensnennung und Offenlegung“ in Bezug auf eine Vielzahl von Datenverantwortlichen, einschließlich Kommunikationsdiensteanbieter (Korea Communications Commission), sowie Wirtschaftsbeteiligte, Finanzinstitute, Behörden, Universitäten und Krankenhäuser (Ministerium für Inneres und Sicherheit) (161). Auf dieser Grundlage kommt die Kommission zu dem Schluss, dass das koreanische System die wirksame Durchsetzung der Datenschutzvorschriften in der Praxis gewährleistet und damit ein Schutzniveau garantiert, das im Wesentlichen dem der Verordnung (EU) 2016/679 entspricht.

(129)

Um einen angemessenen Schutz und insbesondere die Durchsetzung der Rechte des Einzelnen zu gewährleisten, sollten der betroffenen Person wirksame behördliche und gerichtliche Rechtsbehelfe, einschließlich Schadenersatz, zur Verfügung stehen.

(130)

Das koreanische System stellt dem Einzelnen verschiedene Mechanismen zur Verfügung, um seine Rechte wirksam durchzusetzen und einen (gerichtlichen) Rechtsbehelf geltend zu machen.

(131)

Personen, die der Ansicht sind, dass ihre Datenschutzrechte oder -interessen verletzt wurden, können sich in einem ersten Schritt an den jeweiligen Datenverantwortlichen wenden. Gemäß Artikel 30 Absatz 1 Nummer 5 PIPA muss die Datenschutzerklärung des Datenverantwortlichen unter anderem Informationen über die Rechte der betroffenen Personen und deren Ausübung enthalten. Darüber hinaus muss sie Kontaktdaten – wie den Namen und die Telefonnummer des Datenschutzbeauftragten oder der für den Datenschutz zuständigen Abteilung – enthalten, damit Beschwerden eingereicht werden können. Im Unternehmen des Datenverantwortlichen ist der Datenschutzbeauftragte mit der Bearbeitung von Beschwerden, der Verabschiedung von Abhilfemaßnahmen im Falle eines Verstoßes gegen den Datenschutz und der Entschädigung betraut (Artikel 31 Absatz 2 Nummer 3 und Absatz 4 PIPA). Letzteres ist beispielsweise im Falle einer Verletzung des Schutzes personenbezogener Daten von Bedeutung, da der Datenverantwortliche die betroffene Person u. a. über die Kontaktstelle(n) für die Meldung von Schäden unterrichten muss (Artikel 34 Absatz 1 Nummer 5 PIPA).

(132)

Darüber hinaus werden Einzelpersonen im PIPA mehrere Möglichkeiten geboten, gegen Datenverantwortliche vorzugehen. Erstens kann jede Person, die der Ansicht ist, dass ihre Datenschutzrechte oder -interessen durch den Datenverantwortlichen verletzt wurden, einen solchen Verstoß direkt bei der PIPC und/oder einer der von der PIPC für die Entgegennahme und Bearbeitung von Beschwerden benannten spezialisierten Einrichtungen melden; dazu gehört auch die koreanische Internet- und Sicherheitsbehörde, die zu diesem Zweck ein Callcenter für personenbezogene Daten (das sogenannte „Datenschutz-Callcenter“) betreibt (Artikel 62 Absätze 1 und 2 PIPA in Verbindung mit Artikel 59 des PIPA-Durchführungserlasses). Das Datenschutz-Callcenter untersucht und stellt Verstöße fest, berät in Bezug auf die Verarbeitung personenbezogener Daten (Artikel 62 Absatz 3 PIPA) und kann Verstöße an die PIPC melden (kann aber selbst keine Durchsetzungsmaßnahmen ergreifen). Das Datenschutz-Callcenter erhält eine große Anzahl von Beschwerden oder Anfragen (z. B. 177 457 im Jahr 2020, 159 255 im Jahr 2019 und 164 497 im Jahr 2018) (162). Nach Angaben der PIPC gingen bei der PIPC selbst zwischen August 2020 und August 2021 rund 1 000 Beschwerden ein. Die PIPC kann als Reaktion auf eine Beschwerde einen Verbesserungsvorschlag unterbreiten, Abhilfemaßnahmen ergreifen, eine „Anklage“ bei der zuständigen Ermittlungsbehörde (einschließlich eines Staatsanwalts) erheben oder eine Empfehlung für Disziplinarmaßnahmen aussprechen (siehe Artikel 61, 64 und 65 PIPA). Entscheidungen der PIPC (z. B. die Verweigerung der Bearbeitung einer Beschwerde oder die Zurückweisung einer Beschwerde in der Sache) können nach dem Gesetz über die Verwaltungsgerichtsbarkeit angefochten werden (163).

(133)

Zweitens können betroffene Personen gemäß den Artikeln 40 bis 50 PIPA in Verbindung mit den Artikeln 48-14 bis 57 des PIPA-Durchführungserlasses Ansprüche bei einem sogenannten „Streitschlichtungsausschuss“ geltend machen; dieser setzt sich aus Vertretern zusammen, die vom Vorsitzenden der PIPC aus Mitgliedern des höheren Verwaltungsdienstes der PICP und aus Personen ernannt werden, die aufgrund ihrer Erfahrung im Bereich des Datenschutzes aus bestimmten infrage kommenden Gruppen ausgewählt werden (siehe Artikel 40 Absätze 2, 3 und 7 PIPA, Artikel 48-14 des PIPA-Durchführungserlasses) (164). Die Möglichkeit, eine Schlichtung vor dem Schlichtungsausschuss in Anspruch zu nehmen, bietet einen alternativen Weg, um Abhilfe zu schaffen, schränkt jedoch nicht das Recht des Einzelnen ein, sich stattdessen an die PIPC oder Gerichte zu wenden. Zur Prüfung des Falles kann der Ausschuss die Streitparteien auffordern, die erforderlichen Unterlagen vorzulegen und/oder einschlägige Zeugen vorzuladen (Artikel 45 PIPA). Nach Klärung der Angelegenheit erstellt der Ausschuss einen Entwurf für einen Schlichtungsspruch (165), dem die Mehrheit seiner Mitglieder zustimmen muss. Der Schlichtungsentwurf kann die Aussetzung des Verstoßes, die erforderlichen Abhilfemaßnahmen (einschließlich Rückgabe oder Entschädigung) sowie alle Maßnahmen umfassen, die erforderlich sind, um eine Wiederholung des gleichen Verstoßes oder ähnlicher Verstöße zu verhindern (Artikel 47 Absatz 1 PIPA). Stimmen beide Parteien dem Schlichtungsspruch zu, hat er die gleiche Wirkung wie ein gerichtlicher Vergleich (Artikel 47 Absatz 5 PIPA). Es ist keiner der Parteien verwehrt, während der Schlichtung ein Gerichtsverfahren einzuleiten; in diesem Fall wird die Schlichtung ausgesetzt (siehe Artikel 48 Absatz 2 PIPA) (166). Aus den jährlichen Zahlen der PIPC geht hervor, dass Einzelpersonen regelmäßig das Verfahren vor dem Schlichtungsausschuss in Anspruch nehmen, das häufig zu einem erfolgreichen Abschluss führt. So bearbeitete der Ausschuss im Jahr 2020 126 Fälle, von denen 89 vor dem Ausschuss gelöst wurden (davon 77 Fälle, in denen die Parteien bereits vor Abschluss des Schlichtungsverfahrens eine Einigung erzielten, und 12 Fälle, in denen die Parteien den Schlichtungsvorschlag akzeptierten), was einer Schlichtungsquote von 70,6 % entspricht (167). Im Jahr 2019 bearbeitete der Ausschuss 139 Fälle, von denen 92 geklärt werden konnten, was einer Schlichtungsquote von 62,2 % entspricht.

(134)

Wenn mindestens 50 Personen einen Schaden erlitten haben oder ihre Datenschutzrechte in gleicher oder ähnlicher Weise infolge desselben Vorfalls verletzt wurden, (168) kann eine betroffene Person oder eine Datenschutzorganisation zudem eine kollektive Streitschlichtung im Namen einer solchen Gesamtheit beantragen; andere betroffene Personen können beantragen, einer solchen Schlichtung beizutreten, die vom Streitschlichtungsausschuss öffentlich bekannt gegeben wird (Artikel 49 Absätze 1 bis 3 PIPA in Verbindung mit den Artikeln 52 bis 54 des PIPA-Durchführungserlasses) (169). Der Schlichtungsausschuss kann mindestens eine Person, die das gemeinsame Interesse am geeignetsten vertritt, als Parteivertreter auswählen (Artikel 49 Absatz 4 PIPA). Lehnt der Datenverantwortliche die kollektive Streitschlichtung ab oder akzeptiert er den Schlichtungsspruch nicht, können bestimmte Organisationen (170) eine Sammelklage einreichen, um gegen den Verstoß vorzugehen (Artikel 51 bis 57 PIPA).

(135)

Drittens hat die betroffene Person im Falle einer Verletzung des Schutzes der Privatsphäre, durch die sie einen „Schaden“ erleidet, ein Recht auf angemessene Rechtsbehelfe in einem „zügigen und fairen Verfahren“ (Artikel 4 Nummer 5 in Verbindung mit Artikel 39 PIPA) (171). Der Datenverantwortliche kann sich durch den Nachweis des fehlenden Verschuldens („Vorsatz“ oder Fahrlässigkeit) exkulpieren. Wenn die betroffene Person durch Verlust, Diebstahl, Verbreitung, Fälschung, Veränderung oder Beschädigung ihrer personenbezogenen Daten einen Schaden erleidet, kann das Gericht unter Berücksichtigung einer Reihe von Faktoren eine Entschädigung bis zum Dreifachen des tatsächlichen Schadens festsetzen (Artikel 39 Absätze 3 und 4 PIPA). Alternativ kann die betroffene Person einen „angemessenen Betrag“ als Entschädigung verlangen, der 3 Millionen Won nicht übersteigt (Artikel 39-2 Absätze 1 und 2 PIPA). Darüber hinaus kann nach dem Zivilgesetz von jeder Person Schadenersatz verlangt werden, „die einer anderen Person durch eine rechtswidrige Handlung vorsätzlich oder fahrlässig einen Schaden zufügt“, (172) oder von einer Person, „die eine andere Person, ihre Freiheit oder ihren Ruhm verletzt oder einer anderen Person ein seelisches Leid zugefügt hat“ (173). Eine solche deliktische Haftung aufgrund der Verletzung von Datenschutzvorschriften wurde vom Obersten Gerichtshof bestätigt (174). Wurde der Schaden durch rechtswidriges Handeln einer Behörde verursacht, kann darüber hinaus ein Anspruch auf Entschädigung nach dem Gesetz über staatlichen Schadenersatz geltend gemacht werden (175). Ein Anspruch nach dem Gesetz über staatlichen Schadenersatz kann bei einem speziellen „Schadenersatzrat“ (Compensation Council) oder direkt vor den koreanischen Gerichten erhoben werden (176). Die Haftung des Staates deckt auch immaterielle Schaden (z. B. seelisches Leid) ab (177). Handelt es sich bei dem Opfer um einen Ausländer, findet das Gesetz über staatlichen Schadenersatz Anwendung, sofern das Herkunftsland koreanischen Staatsangehörigen ebenfalls staatlichen Schadenersatz gewährleistet (178).

(136)

Viertens hat der Oberste Gerichtshof anerkannt, dass Einzelpersonen das Recht haben, Unterlassungsansprüche geltend zu machen, wenn ihre verfassungsmäßigen Rechte, einschließlich des Rechts auf den Schutz personenbezogener Daten, verletzt werden (179). In diesem Zusammenhang kann ein Gericht beispielsweise anordnen, dass die Datenverantwortlichen eine rechtswidrige Tätigkeit aussetzen oder einstellen. Darüber hinaus können Datenschutzrechte, einschließlich der durch das PIPA geschützten Rechte, durch zivilrechtliche Klagen durchgesetzt werden. Diese horizontale Anwendung des verfassungsrechtlichen Schutzes der Privatsphäre auf die Beziehungen zwischen privaten Parteien wurde vom Obersten Gerichtshof anerkannt (180).

(137)

Schließlich können Einzelpersonen gemäß der Strafprozessordnung (Artikel 223) bei einem Staatsanwalt oder einem Beamten der Kriminalpolizei einen Strafantrag stellen (181).

(138)

Das koreanische System bietet daher verschiedene Möglichkeiten, einen Rechtsbehelf einzulegen, angefangen bei leicht zugänglichen, kostengünstigen Möglichkeiten (z. B. durch Kontaktaufnahme mit dem Datenschutz-Callcenter oder durch (kollektive) Schlichtung) bis hin zu verwaltungsrechtlichen Schritten (vor der PIPC) und gerichtlichen Schritten, wobei auch die Möglichkeit besteht, Schadenersatz zu fordern.

(139)

Die Kommission hat auch die Einschränkungen und Garantien geprüft, einschließlich der Kontrollmechanismen und der Rechtsbehelfe für den Einzelnen, die nach koreanischem Recht in Bezug auf die Erhebung und nachfolgende Verwendung personenbezogener Daten durch koreanische Behörden, die im öffentlichen Interesse an Datenverantwortliche in Korea übermittelt wurden, insbesondere zur Strafverfolgung und zur nationalen Sicherheit (im Folgenden „staatlicher Zugriff“), verfügbar sind. In diesem Zusammenhang hat die koreanische Regierung der Kommission offizielle Erklärungen, Zusicherungen und Pflichten zukommen lassen, die auf höchster Minister- und Behördenebene unterzeichnet wurden und in Anhang II dieses Beschlusses enthalten sind.

(140)

Bei der Beurteilung der Frage, ob die Bedingungen für den staatlichen Zugriff auf Daten, die gemäß diesem Beschluss an die Republik Korea übermittelt werden, das Kriterium der „wesentlichen Gleichwertigkeit“ nach Artikel 45 Absatz 1 der Verordnung (EU) 2016/679 in der Auslegung des Gerichtshofs der Europäischen Union im Lichte der Charta der Grundrechte erfüllen, hat die Kommission insbesondere die folgenden Kriterien berücksichtigt.

(141)

Erstens muss jede Einschränkung des Rechts auf den Schutz personenbezogener Daten gesetzlich vorgesehen sein, und die gesetzliche Grundlage für den Eingriff in dieses Recht muss selbst den Umfang der Einschränkung der Ausübung des betreffenden Rechts festlegen (182).

(142)

Zweitens: Um dem Erfordernis der Verhältnismäßigkeit zu genügen, wonach Ausnahmen und Einschränkungen in Bezug auf den Schutz personenbezogener Daten nur insoweit gelten dürfen, als dies in einer demokratischen Gesellschaft zur Verwirklichung spezifischer Ziele von allgemeinem Interesse, die den von der Union anerkannten Zielen gleichwertig sind, unbedingt erforderlich ist, muss die Rechtsvorschrift des betreffenden Drittlands, nach der der Eingriff zulässig ist, klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und Mindesterfordernisse aufstellen, sodass die Personen, deren Daten übermittelt wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken ermöglichen (183). In der Rechtsvorschrift muss insbesondere angegeben sein, unter welchen Umständen und unter welchen Voraussetzungen eine Maßnahme, die die Verarbeitung solcher Daten vorsieht, getroffen werden darf; (184) ferner muss die Erfüllung dieser Anforderungen einer unabhängigen Aufsicht unterliegen (185).

(143)

Drittens müssen diese Rechtsvorschriften und ihre Anforderungen nach dem nationalen Recht rechtsverbindlich sein. Dies betrifft in erster Linie die Behörden des betreffenden Drittlandes, aber diese rechtlichen Anforderungen müssen auch vor Gericht gegen diese Behörden durchsetzbar sein (186). Insbesondere müssen betroffene Personen die Möglichkeit haben, Rechtsbehelfe vor einem unabhängigen und unparteiischen Gericht einzulegen, um Zugang zu den sie betreffenden personenbezogenen Daten zu erlangen oder die Berichtigung oder Löschung solcher Daten zu erwirken (187).

(144)

Die Einschränkungen und Garantien für die Erhebung und anschließende Verwendung personenbezogener Daten durch koreanische Behörden ergeben sich aus dem übergeordneten verfassungsrechtlichen Rahmen, den speziellen Gesetzen, in denen ihre Tätigkeiten in den Bereichen Strafverfolgung und nationale Sicherheit geregelt sind, sowie aus den Vorschriften, die speziell für die Verarbeitung personenbezogener Daten gelten.

(145)

Erstens unterliegt der Zugriff auf personenbezogene Daten durch koreanische Behörden den allgemeinen Grundsätzen der Rechtmäßigkeit, Erforderlichkeit und Verhältnismäßigkeit, die sich aus der koreanischen Verfassung ergeben (188). Insbesondere ist die Einschränkung der Grundrechte und -freiheiten (einschließlich des Rechts auf Schutz der Privatsphäre und des Briefgeheimnisses) (189) nur per Gesetz und nur dann zulässig, wenn dies für die nationale Sicherheit oder zur Aufrechterhaltung der öffentlichen Ordnung für das Gemeinwohl erforderlich ist. Solche Einschränkungen dürfen den Wesensgehalt des betreffenden Rechts oder der betreffenden Freiheit nicht beeinträchtigen. Speziell für Durchsuchungen und Beschlagnahmen ist in der Verfassung vorgesehen, dass sie nur nach Maßgabe der Gesetze, auf der Grundlage einer richterlichen Anordnung und unter Einhaltung eines ordnungsgemäßen Verfahrens durchgeführt werden dürfen (190). Schließlich kann sich der Einzelne vor dem Verfassungsgericht auf seine Rechte und Freiheiten berufen, wenn er glaubt, dass sie von Behörden bei der Ausübung ihrer Befugnisse verletzt worden sind (191). Ebenso haben Personen, die durch eine rechtswidrige Handlung, die ein öffentlicher Bediensteter in Ausübung seiner Dienstpflichten begangen hat, geschädigt wurden, Anspruch auf einen angemessenen Schadenersatz (192).

(146)

Zweitens spiegeln sich, wie in den Abschnitten 3.2.1 und 3.3.1 ausführlicher beschrieben, die in Erwägungsgrund (145) genannten allgemeinen Grundsätze auch in den speziellen Gesetzen wider, in denen die Befugnisse der Strafverfolgungs- und nationalen Sicherheitsbehörden geregelt sind. In Bezug auf strafrechtliche Ermittlungen ist beispielsweise in der Strafprozessordnung (Criminal Procedure Act –CPA) festgelegt, dass Zwangsmaßnahmen nur dann ergriffen werden dürfen, wenn dies in der CPA ausdrücklich vorgesehen ist und nur soweit, wie es zur Erreichung des Ermittlungszwecks erforderlich ist (193). Ebenso ist nach Artikel 3 des Gesetzes zum Schutz der Privatsphäre in der Kommunikation (Communications Privacy Protection Act – CPPA) der Zugang zu privater Kommunikation nur auf gesetzlicher Grundlage und vorbehaltlich der darin festgelegten Einschränkungen und Garantien zulässig. Im Bereich der nationalen Sicherheit heißt es im Gesetz über den nationalen Nachrichtendienst (im Folgenden „NIS-Gesetz“), dass jeder Zugang zu Kommunikations- oder Standortdaten gesetzeskonform sein muss und dass Machtmissbrauch und Gesetzesverstöße strafrechtliche Sanktionen nach sich ziehen (194).

(147)

Drittens unterliegt die Verarbeitung personenbezogener Daten durch Behörden, auch für die Zwecke der Strafverfolgung und der nationalen Sicherheit, den Datenschutzbestimmungen des PIPA (195). Nach Artikel 5 Absatz 1 des PIPA sind die Behörden grundsätzlich verpflichtet, Strategien auszuarbeiten, um den „Missbrauch personenbezogener Daten, indiskrete Überwachung und Verfolgung usw. zu verhindern und die Achtung der Menschenwürde und der Privatsphäre des Einzelnen zu verbessern.“ Darüber hinaus muss jeder Datenverantwortliche personenbezogene Daten so verarbeiten, dass die Wahrscheinlichkeit eines Eingriffs in die Privatsphäre der betroffenen Person möglichst gering ist (Artikel 3 Absatz 6 PIPA).

(148)

Für die Verarbeitung personenbezogener Daten zu Strafverfolgungszwecken gelten alle Anforderungen des PIPA, die in Abschnitt 2 ausführlich beschrieben wurden. Dazu gehören die Grundprinzipien (wie Rechtmäßigkeit und Verarbeitung nach Treu und Glauben, Zweckbindung, Richtigkeit, Datenminimierung, Speicherbegrenzung, Sicherheit und Transparenz), Pflichten (z. B. in Bezug auf die Meldung von Verletzungen des Schutzes personenbezogener Daten und sensible Daten) und Rechte (auf Auskunft, Berichtigung, Löschung und Aussetzung der Verarbeitung).

(149)

Die Verarbeitung personenbezogener Daten zu Zwecken der nationalen Sicherheit unterliegt im Rahmen des PIPA zwar einer begrenzten Anzahl von Bestimmungen, doch gelten die Grundprinzipien sowie die Vorschriften über Aufsicht, Durchsetzung und Rechtsbehelfe (196). In den Artikeln 3 und 4 PIPA sind die allgemeinen Datenschutzgrundsätze (Rechtmäßigkeit und Verarbeitung nach Treu und Glauben, Zweckbindung, Richtigkeit, Datenminimierung, Sicherheit und Transparenz) sowie die Rechte des Einzelnen (Recht auf Information, Auskunftsrecht, Recht auf Berichtigung, Löschung und Aussetzung der Verarbeitung) festgelegt (197). Nach Artikel 4 Absatz 5 PIPA haben betroffene Personen außerdem das Recht, für Schäden, die sich aus der Verarbeitung der personenbezogenen Daten ergeben, in einem zügigen und fairen Verfahren eine angemessene Wiedergutmachung zu erhalten. Ergänzt wird dies durch spezifischere Pflichten, personenbezogene Daten nur in dem zur Erreichung des beabsichtigten Zwecks erforderlichen Mindestmaß und für die Mindestdauer zu verarbeiten, die erforderlichen Maßnahmen zur Gewährleistung einer sicheren Datenverwaltung und einer angemessenen Verarbeitung zu ergreifen (z. B. technische, organisatorische und physische Sicherheitsvorkehrungen) sowie Maßnahmen zur angemessenen Behandlung individueller Beschwerden zu ergreifen (198). Schließlich gelten die allgemeinen Grundsätze der Rechtmäßigkeit, Erforderlichkeit und Verhältnismäßigkeit nach der koreanischen Verfassung (siehe Erwägungsgrund (145)) auch für die Verarbeitung personenbezogener Daten für die Zwecke der nationalen Sicherheit.

(150)

Diese allgemeinen Einschränkungen und Garantien können von Einzelpersonen vor unabhängigen Aufsichtsgremien (z. B. der PIPC und/oder der Nationalen Menschenrechtskommission, siehe die Erwägungsgründe (177)-(178)) und vor Gerichten (siehe die Erwägungsgründe (179)-(183)) geltend gemacht werden, um einen Rechtsbehelfe einzulegen.

(151)

In den Rechtsvorschriften der Republik Korea sind neben einer Reihe von Einschränkungen für den Zugang zu und die Verwendung von personenbezogenen Daten für die Zwecke der Strafverfolgung Aufsichtsmechanismen und Rechtsbehelfe vorgesehen;, die den in den Erwägungsgründen (141) bis (143) dieses Beschlusses genannten Anforderungen entsprechen. Die folgenden Abschnitte enthalten eine detaillierte Bewertung der Bedingungen, unter denen ein solcher Zugriff erfolgen kann, sowie der Garantien, die für die Nutzung dieser Befugnisse gelten.

(152)

Von koreanischen Datenverantwortlichen verarbeitete personenbezogene Daten, die nach diesem Beschluss (199) aus der Union übermittelt würden, können von koreanischen Behörden zu Strafverfolgungszwecken im Rahmen einer Durchsuchung oder Beschlagnahme (auf der Grundlage des CPA), durch den Zugriff auf Kommunikationsdaten (auf der Grundlage des CPPA) oder durch die Einholung von Teilnehmerdaten durch Ersuchen um freiwillige Offenlegung (auf der Grundlage des Gesetzes über Telekommunikationsunternehmen, Telecommunications Business Act – TBA) erhoben werden (200).

(153)

Gemäß dem CPA darf eine Durchsuchung oder Beschlagnahme nur erfolgen, wenn eine Person einer Straftat verdächtigt wird, die Durchsuchung oder Beschlagnahme für die Ermittlungen erforderlich ist und ein Zusammenhang zwischen den Ermittlungen und der zu durchsuchenden Person oder dem zu untersuchenden oder zu beschlagnahmenden Gegenstand hergestellt wird (201). Darüber hinaus darf eine Durchsuchung oder Beschlagnahme (wie jede Zwangsmaßnahme) nur in dem geringstmöglichen Umfang genehmigt/durchgeführt werden (202). Bei Durchsuchungen von Computerfestplatten oder anderen Datenträgern werden grundsätzlich nur die erforderlichen (kopierten oder ausgedruckten) Daten selbst und nicht der gesamte Datenträger beschlagnahmt (203). Der Datenträger darf nur dann beschlagnahmt werden, wenn es als im Wesentlichen unmöglich erachtet wird, die erforderlichen Daten getrennt auszudrucken oder zu kopieren, oder wenn es als im Wesentlichen nicht praktikabel erachtet wird, den Zweck der Durchsuchung auf andere Weise zu erfüllen (204). Im CPA werden daher klare und präzise Regeln für den Umfang und die Anwendung dieser Maßnahmen festgelegt, um sicherzustellen, dass der Eingriff in die Rechte des Einzelnen im Falle einer Durchsuchung oder Beschlagnahme das Maß des Erforderlichen für eine bestimmte strafrechtliche Ermittlung nicht überschreitet und in einem angemessenen Verhältnis zum verfolgten Zweck steht.

(154)

Im Hinblick auf die Verfahrensgarantien ist nach dem CPA für die Durchführung einer Durchsuchung oder Beschlagnahme eine richterliche Anordnung erforderlich (205). Eine Durchsuchung oder Beschlagnahme ohne richterliche Anordnung ist nur ausnahmsweise zulässig, nämlich in dringenden Fällen, (206) an Ort und Stelle bei der Festnahme oder Verhaftung eines Tatverdächtigen (207) oder wenn ein Gegenstand von einem Tatverdächtigen oder einer dritten Person (bei personenbezogenen Daten von der betroffenen Person selbst) entsorgt oder freiwillig übergeben wird (208). Unzulässige Durchsuchungen und Beschlagnahmen werden strafrechtlich geahndet, (209) und alle Beweise, die unter Verstoß gegen das CPA erhoben wurden, gelten als unzulässig (210). Schließlich müssen die betroffenen Personen stets unverzüglich über eine Durchsuchung oder Beschlagnahme (einschließlich der Beschlagnahme ihrer Daten) unterrichtet werden, (211) was wiederum die Ausübung ihrer materiellen Rechte und ihres Rechts auf Rechtsbehelf ermöglicht (siehe insbesondere die Möglichkeit, die Vollstreckung eines Beschlagnahmebeschlusses anzufechten, vgl. Erwägungsgrund (180)).

(155)

Auf der Grundlage des CPPA können die koreanischen Strafverfolgungsbehörden zwei Arten von Maßnahmen ergreifen: (212) zum einen die Erhebung von „Kommunikationsbestätigungsdaten“ (213), die das Datum des Telekommunikationsvorgangs, seine Anfangs- und Endzeit, die Zahl der ausgehenden und eingehenden Anrufe sowie die Rufnummer der anderen Person, die Häufigkeit der Nutzung, und Protokolldateien über die Nutzung von Telekommunikationsdiensten und Standortdaten (z. B. von den Sendemasten, die die Signale empfangen) umfassen und zum anderen „kommunikationsbeschränkende Maßnahmen“, zu denen sowohl die Erhebung von Inhaltsdaten herkömmlicher Postsendungen als auch die direkte Überwachung des Inhalts eines Telekommunikationsvorgangs gehören (214).

(156)

Auf Kommunikationsbestätigungsdaten darf nur zugegriffen werden, wenn dies zur Durchführung strafrechtlicher Ermittlungen oder zur Vollstreckung einer Strafe (215) auf der Grundlage einer gerichtlichen Anordnung erforderlich ist (216). In diesem Zusammenhang ist es nach dem CPPA erforderlich, dass sowohl im Antrag auf die Anordnung (z. B. über die Gründe für den Antrag, die Beziehung zur Zielperson bzw. zum Teilnehmer und die erforderlichen Daten) als auch in der Anordnung selbst (z. B. über das Ziel, den Zweck und den Umfang der Maßnahme) detaillierte Angaben gemacht werden (217). Eine Erhebung ohne richterliche Anordnung ist nur dann zulässig, wenn aus Gründen der Dringlichkeit keine richterliche Genehmigung eingeholt werden kann; in diesem Fall muss die Anordnung eingeholt und der Telekommunikationsdiensteanbieter unmittelbar nach der Anforderung der Daten informiert werden (218). Wenn das Gericht die nachträgliche Genehmigung verweigert, müssen die erhobenen Daten vernichtet werden (219).

(157)

Als zusätzliche Garantien in Bezug auf die Erhebung von Kommunikationsbestätigungsdaten werden im CPPA besondere Anforderungen an die Aufzeichnung und Transparenz gestellt (220). So müssen sowohl die Strafverfolgungsbehörden (221) als auch die Telekommunikationsanbieter (222) Aufzeichnungen über die gestellten Anträge und die Weitergabe von Daten führen. Darüber hinaus müssen die Strafverfolgungsbehörden die betroffenen Personen grundsätzlich über die Erhebung ihrer Kommunikationsbestätigungsdaten unterrichten (223). Eine solche Unterrichtung kann nur in Ausnahmefällen auf der Grundlage einer Genehmigung des Leiters der zuständigen Bezirksstaatsanwaltschaft aufgeschoben werden (224). Die Genehmigung darf nur erteilt werden, wenn die Unterrichtung 1) die Gefährdung der nationalen Sicherheit und der öffentlichen Sicherheit und Ordnung, 2) Tod oder Körperverletzung, 3) die Behinderung eines fairen Gerichtsverfahrens (z. B. durch die Vernichtung von Beweismaterial oder die Bedrohung von Zeugen) oder 4) die Verleumdung des Verdächtigen, der Opfer oder anderer mit dem Fall in Verbindung stehender Personen oder die Verletzung ihrer Privatsphäre nach sich ziehen kann. In diesen Fällen muss die Unterrichtung innerhalb von 30 Tagen erfolgen, sobald die Gründe für den Aufschub nicht mehr bestehen (225). Die betroffenen Personen haben das Recht, bei der Unterrichtung Auskunft über die Gründe für die Erhebung ihrer Daten zu erhalten (226).

(158)

Strengere Regeln gelten für kommunikationsbeschränkende Maßnahmen, die nur dann angewandt werden dürfen, wenn wesentliche Gründe für den Verdacht vorliegen, dass bestimmte im CPPA ausdrücklich aufgeführte schwere Straftaten geplant sind, begangen werden oder begangen wurden (227). Außerdem dürfen kommunikationsbeschränkende Maßnahmen nur als letztes Mittel ergriffen werden, wenn es schwierig ist, auf andere Weise die Begehung einer Straftat zu verhindern, einen Straftäter festzunehmen oder Beweise zu sammeln (228). Damit die Verletzung der Privatsphäre bei der Kommunikation so gering wie möglich ist, müssen diese Maßnahmen unverzüglich eingestellt werden, sobald die Fortsetzung des Zugriffs nicht mehr erforderlich ist (229). Daten, die auf unrechtmäßige Weise durch kommunikationsbeschränkende Maßnahmen erhoben wurden, werden nicht als Beweismaterial in Gerichts- oder Disziplinarverfahren zugelassen (230).

(159)

Im Hinblick auf die Verfahrensgarantien ist für die Durchführung kommunikationsbeschränkender Maßnahmen nach dem CPPA eine richterliche Anordnung erforderlich (231). Auch in diesem Fall sind nach dem CPPA der Antrag auf Erlass einer richterlichen Anordnung und die Anordnung selbst mit detaillierten Informationen zu versehen, (232) einschließlich der Begründung des Antrags und der zu erhebenden Kommunikationsdaten (die sich auf den Verdächtigen beziehen müssen, gegen den ermittelt wird.) (233) Solche Maßnahmen dürfen nur dann ohne Anordnung ergriffen werden, wenn eine unmittelbare Bedrohung durch die organisierte Kriminalität oder eine andere schwere Straftat, die unmittelbar zum Tod oder zur schweren Körperverletzung führen kann, droht und ein Notfall vorliegt, der die Durchführung des regulären Verfahrens unmöglich macht (234). In diesem Fall muss jedoch unmittelbar nach der Maßnahme ein Antrag auf Anordnung gestellt werden (235). Kommunikationsbeschränkende Maßnahmen dürfen nur über einen Zeitraum von zwei Monaten durchgeführt werden (236) und können nur mit gerichtlicher Genehmigung verlängert werden, wenn die Voraussetzungen für die Durchführung der Maßnahmen weiterhin gegeben sind (237). Der verlängerte Zeitraum darf insgesamt ein Jahr bzw. drei Jahre bei bestimmten besonders schweren Straftaten (z. B. Verbrechen in Zusammenhang mit Aufständen, Angriffen aus dem Ausland, der nationalen Sicherheit) nicht überschreiten (238).

(160)

Wie bei der Erhebung von Kommunikationsbestätigungsdaten sind Telekommunikationsanbieter (239) und Strafverfolgungsbehörden (240) nach dem CPPA verpflichtet, Aufzeichnungen über die Durchführung von kommunikationsbeschränkenden Maßnahmen zu führen, und es ist eine Unterrichtung der betroffenen Person vorgesehen, die in Ausnahmefällen aufgeschoben werden kann, wenn dies aus wichtigen Gründen des öffentlichen Interesses erforderlich ist (241).

(161)

Schließlich wird die Nichteinhaltung mehrerer Einschränkungen und Garantien des CPPA (z. B. die Pflicht zur Einholung einer richterlichen Anordnung, zur Führung von Aufzeichnungen und zur Benachrichtigung der betroffenen Person) sowohl im Hinblick auf die Erhebung von Kommunikationsbestätigungsdaten als auch auf den Einsatz von kommunikationsbeschränkenden Maßnahmen strafrechtlich geahndet (242).

(162)

Die Befugnisse der Strafverfolgungsbehörden zur Erhebung von Kommunikationsdaten auf der Grundlage des CPPA (sowohl der Kommunikationsinhalts- als auch der Kommunikationsbestätigungsdaten) sind daher durch klare und präzise Regeln eingeschränkt und unterliegen einer Reihe von Garantien. Diese Garantien gewährleisten insbesondere die Aufsicht über die Durchführung solcher Maßnahmen, sowohl vorab (durch vorherige gerichtliche Genehmigung) als auch im Nachhinein (durch Aufzeichnungs- und Berichterstattungspflichten), und erleichtern den Zugang des Einzelnen zu wirksamen Rechtsbehelfen (indem sie sicherstellen, dass er über die Erhebung seiner Daten unterrichtet wird).

(163)

Zusätzlich zu den in den Erwägungsgründen (153)-(162) beschriebenen Zwangsmaßnahmen können die koreanischen Strafverfolgungsbehörden Telekommunikationsanbieter um freiwillige Übermittlung von „Kommunikationsdaten“ zur Unterstützung eines Strafverfahrens, einer Ermittlung oder der Vollstreckung einer Strafe ersuchen (Artikel 83 Absatz 3 TBA). Diese Möglichkeit besteht nur in Bezug auf begrenzte Datensätze, d. h. den Namen, die Melderegisterzahl, die Anschrift und die Telefonnummer von Nutzern, das jeweilige Datum, an dem die Nutzer ihren Vertrag abgeschlossen oder beendet haben, sowie Nutzeridentifikationscodes (d. h. Codes, die zur Identifizierung des rechtmäßigen Nutzers von Computersystemen oder Kommunikationsnetzen verwendet werden) (243). Da nur Personen, die direkt Dienste eines koreanischen Telekommunikationsanbieters in Anspruch nehmen, als „Nutzer“ gelten, (244) fallen EU-Bürger, deren Daten in die Republik Korea übermittelt wurden, normalerweise nicht in diese Kategorie (245).

(164)

Für solche freiwilligen Offenlegungen gelten unterschiedliche Einschränkungen, sowohl für die Ausübung der Befugnisse der Strafverfolgungsbehörde als auch für die Antwort des Telekommunikationsanbieters. Generell müssen die Strafverfolgungsbehörden im Einklang mit den verfassungsrechtlichen Grundsätzen der Erforderlichkeit und Verhältnismäßigkeit (Artikel 12 Absatz 1 und Artikel 37 Absatz 2 der Verfassung) handeln, auch wenn sie die freiwillige Offenlegung der Daten anfordern. Darüber hinaus müssen sie das PIPA einhalten, insbesondere indem sie nur ein Mindestmaß an personenbezogenen Daten erheben, soweit dies zur Erreichung eines rechtmäßigen Zwecks erforderlich ist, und zwar in einer Weise, die die Auswirkungen auf die Privatsphäre des Einzelnen möglichst gering hält (z. B. Artikel 3 Absätze 1 und 6 PIPA). So muss ein Ersuchen um Offenlegung von Kommunikationsdaten auf der Grundlage des TBA schriftlich erfolgen und Ausführungen über die Gründe für das Ersuchen, die Verbindung zu dem betreffenden Nutzer und den Umfang der angeforderten Daten enthalten (246).

(165)

Die Telekommunikationsanbieter sind nicht verpflichtet, solchen Ersuchen nachzukommen, und dürfen dies nur in Übereinstimmung mit dem PIPA tun. So müssen sie insbesondere die verschiedenen Interessen gegeneinander abwägen und dürfen die Daten nicht weitergeben, wenn dies zur unfairen Beeinträchtigung der Interessen der betroffenen Person oder eines Dritten führen könnte (247). Dies trifft zum Beispiel zu, wenn die ersuchende Behörde ihre Befugnisse offensichtlich missbraucht hat (248). Die Telekommunikationsanbieter müssen Aufzeichnungen über die Offenlegungen im Rahmen des TBA führen und dem Minister für Wissenschaft und IKT zweimal pro Jahr Bericht erstatten (249).

(166)

Darüber hinaus müssen Telekommunikationsanbieter gemäß Abschnitt 3 der Bekanntmachung Nr. 2021-5 (Anhang I) grundsätzlich die betroffene Person unterrichten, wenn sie einem Ersuchen freiwillig nachkommen (250). Auf diese Weise kann die betroffene Person ihre Rechte wahrnehmen und im Falle einer unrechtmäßigen Weitergabe ihrer Daten Rechtsbehelfe einlegen, und zwar entweder gegen den Datenverantwortlichen (z. B. für die Weitergabe der Daten unter Verstoß gegen das Datenschutzgesetz oder für die Beantwortung eines eindeutig unverhältnismäßigen Ersuchens) oder gegen die Strafverfolgungsbehörde (z. B. für Handlungen, die über die Grenzen des Erforderlichen und Angemessenen hinausgehen, oder für die Nichteinhaltung der Verfahrensvorschriften des TBA).

(167)

Die Verarbeitung personenbezogener Daten, die von koreanischen Strafverfolgungsbehörden erhoben werden, unterliegt allen Anforderungen des PIPA, einschließlich der Zweckbindung (Artikel 3 Absätze 1 bis 2 PIPA), der Rechtmäßigkeit der Nutzung und der Weitergabe an Dritte (Artikel 15, 17 und 18 PIPA), der internationalen Übermittlung (Artikel 17 und 18 PIPA in Verbindung mit Abschnitt 2 der Bekanntmachung 2021-5) (251), der Verhältnismäßigkeit bzw. Datenminimierung (Artikel 3 Absätze 1 und 6 PIPA) und der Speicherbegrenzung (Artikel 21 PIPA) (252).

(168)

Die Verwendung von Kommunikationsinhaltsdaten, die im Rahmen von kommunikationsbeschränkenden Maßnahmen erworben wurden, wird im CPPA ausdrücklich auf folgende Situationen beschränkt: bei Ermittlung, Verfolgung oder Verhütung schwerer Straftaten, (253) bei Disziplinarverfahren wegen dieser Straftaten, bei Schadenersatzansprüchen, die von einer an der Kommunikation beteiligten Partei geltend gemacht werden, oder wenn dies durch andere Gesetze ausdrücklich erlaubt ist (254). Darüber hinaus darf der erfasste Inhalt der Telekommunikation über das Internet nur mit Genehmigung des Gerichts, das die kommunikationsbeschränkenden Maßnahmen genehmigt hat, (255) gespeichert werden, um die Daten für die Ermittlung, Verfolgung oder Verhütung schwerer Straftaten zu verwenden (256). Im Allgemeinen ist es nach dem CPPA verboten, vertrauliche Daten, die durch kommunikationsbeschränkende Maßnahmen eingeholt wurden, weiterzugeben und solche Daten zu verwenden, um den Ruf derjenigen zu schädigen, die von den Maßnahmen betroffen waren (257).

(169)

Die Tätigkeit der Strafverfolgungsbehörden wird in Korea von verschiedenen Stellen beaufsichtigt (258).

(170)

Erstens unterliegt die Polizei der internen Aufsicht durch einen Generalinspektor, (259) der die Rechtmäßigkeitskontrolle durchführt, auch im Hinblick auf mögliche Menschenrechtsverletzungen. Diese Behörde wurde zur Umsetzung des Gesetzes über Prüfungen im öffentlichen Sektor eingerichtet, mit dem die Einrichtung von Stellen für die Eigenprüfung gefördert und spezifische Anforderungen an deren Zusammensetzung und Aufgaben festgelegt werden. So wird der Leiter einer Stelle für die Eigenprüfung nach dem Gesetz für einen Zeitraum von zwei bis fünf Jahren von einer Person außerhalb der zuständigen Behörde (z. B. ein ehemaliger Richter oder Professor) ernannt (260). Er kann nur aus berechtigten Gründen entlassen werden (z. B. wenn er aus gesundheitlichen Gründen nicht in der Lage ist, seine Aufgaben zu erfüllen, oder wenn gegen ihn ein Disziplinarverfahren eingeleitet wird) (261) und seine Unabhängigkeit ist weitestgehend gewährleistet (262). Die Behinderung einer Eigenprüfung wird mit Geldbußen geahndet (263). Die Prüfungsberichte (die Empfehlungen, Anträge auf Disziplinarmaßnahmen, Anträge auf Schadenersatz oder Korrekturen enthalten können) werden dem Leiter der zuständigen Behörde, dem Rechnungshof (Board of Audit and Inspection – BAI), (264) übermittelt und im Allgemeinen veröffentlicht (265). Die Ergebnisse der Umsetzung des Berichts müssen auch dem BAI mitgeteilt werden (266) (siehe Erwägungsgrund (173) über die Aufsichtsfunktion und -befugnisse des BAI).

(171)

Zweitens überwacht die PIPC die Einhaltung des PIPA und anderer Gesetze zum Schutz der Privatsphäre natürlicher Personen bei der Datenverarbeitung durch Strafverfolgungsbehörden, einschließlich der Gesetze, die die Sammlung von (elektronischen) Beweismitteln zu Strafverfolgungszwecken regeln, wie in Abschnitt 3.2.1 beschrieben (267). Da die PIPC insbesondere die Rechtmäßigkeit und die Datenerhebung und -verarbeitung nach Treu und Glauben überwacht (Artikel 3 Absatz 1 PIPA), gegen die verstoßen wird, wenn personenbezogene Daten unter Verletzung dieser Gesetze abgerufen und verwendet werden, (268) kann die PIPC auch die Einhaltung der in Abschnitt 3.2.1 beschriebenen Einschränkungen und Garantien untersuchen und durchsetzen (269). Bei der Ausübung dieser Aufsichtsfunktion kann die PIPC von all ihren Untersuchungs- und Abhilfebefugnissen Gebrauch machen, wie in Abschnitt 2.4.2 ausführlich beschrieben. Bereits vor der jüngsten Reform des PIPA (d. h. in ihrer früheren Aufsichtsfunktion für den öffentlichen Sektor) nahm die PIPC mehrere Aufsichtstätigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch Strafverfolgungsbehörden wahr, z. B. im Zusammenhang mit der Vernehmung von Verdächtigen (Fall Nr. 2013-16 vom 26. August 2013) sowie in Bezug auf die Benachrichtigung von Personen über die Verhängung von Geldbußen (Fall Nr. 2015-02-04 vom 26. Januar 2015) und die gemeinsame Nutzung von Daten mit anderen Behörden (Fall Nr. 2018-15-146 vom 9. Juli 2018, Fall Nr. 2018-25-308 vom 10. Dezember 2018, Fall Nr. 2019-02-015 vom 29. Januar 2019), die Erfassung von Fingerabdrücken oder Fotos (Fall Nr. 2019-17-273 vom 9. September 2019) und den Einsatz von Drohnen (Fall Nr. 2020-01-004 vom 13. Januar 2020). In diesen Fällen untersuchte die PIPC die Einhaltung mehrerer Bestimmungen des PIPA (z. B. die Rechtmäßigkeit der Verarbeitung, die Grundsätze der Zweckbindung und der Datenminimierung), aber auch einschlägige Bestimmungen anderer Gesetze, wie des Strafverfahrensgesetzes, und gab erforderlichenfalls Empfehlungen ab, um die Verarbeitung mit den Datenschutzanforderungen in Einklang zu bringen.

(172)

Drittens gibt es eine unabhängige Aufsicht durch die Nationale Menschenrechtskommission (270) (National Human Rights Commission – NHRC), die im Rahmen ihres allgemeinen Mandats zum Schutz der in den Artikeln 10 bis 22 der Verfassung verankerten Grundrechte Verstöße gegen das Recht auf Privatsphäre und Briefgeheimnis untersuchen kann. Die NHRC setzt sich aus 11 Kommissionsmitgliedern zusammen, die bestimmte Qualifikationen aufweisen müssen (271) und vom Präsidenten nach einem gesetzlich festgelegten Verfahren ernannt werden. Im Einzelnen werden vier Kommissionsmitglieder auf Vorschlag der Nationalversammlung, vier auf Vorschlag des Präsidenten und drei auf Vorschlag des Obersten Richters des Obersten Gerichtshofs ernannt (272). Der Vorsitzende wird vom Präsidenten aus dem Kreis der Kommissionsmitglieder ernannt und muss von der Nationalversammlung bestätigt werden (273). Die Kommissionsmitglieder (einschließlich des Vorsitzenden) werden für eine verlängerbare Amtszeit von drei Jahren ernannt und dürfen nur abberufen werden, wenn sie zu einer Freiheitsstrafe verurteilt wurden oder wegen anhaltender körperlicher oder geistiger Schwäche nicht mehr in der Lage sind, ihre Aufgaben wahrzunehmen (in diesem Fall müssen zwei Drittel der Kommissionsmitglieder der Abberufung zustimmen) (274). Im Rahmen der Untersuchungen kann die NHRC die Vorlage von sachdienlichen Unterlagen verlangen, Inspektionen durchführen und Personen zur Anhörung vorladen (275). Im Hinblick auf Abhilfebefugnisse kann die NHRC (öffentliche) Empfehlungen zur Verbesserung oder Korrektur bestimmter Strategien und Vorgehensweisen aussprechen, worauf die Behörden mit einem vorgeschlagenen Umsetzungsplan antworten müssen (276). Setzt die betreffende Behörde die Empfehlungen nicht um, so muss sie die Kommission darüber unterrichten, (277) die ihrerseits die Nationalversammlung über dieses Versäumnis informieren und/oder es öffentlich machen kann. Nach der offiziellen Erklärung der koreanischen Regierung (Anhang II Abschnitt 2.3.5) halten sich die koreanischen Behörden im Allgemeinen an die Empfehlungen der NHRC und haben einen starken Anreiz dafür, da ihre Umsetzung im Rahmen einer allgemeinen, kontinuierlichen Prüfung unter der Aufsicht des Büros des Premierministers beurteilt wurde. Wie die jährlichen Zahlen über ihre Tätigkeit zeigen, überwacht die NHRC aktiv die Tätigkeit der Strafverfolgungsbehörden entweder auf der Grundlage von Einzelpetitionen oder durch Untersuchungen von Amts wegen (278).

(173)

Viertens wird die allgemeine Aufsicht über die Rechtmäßigkeit der Tätigkeit der Behörden vom Rechnungshof wahrgenommen, der zunächst die Einnahmen und Ausgaben des Staates prüft, aber auch allgemein die Einhaltung der Pflichten von Behörden, die Funktionsweise der öffentlichen Verwaltung zu verbessern (279). Der Rechnungshof ist formell dem Präsidenten der Republik Korea unterstellt, hat in Bezug auf seine Aufgaben jedoch eine unabhängige Stellung inne (280). Darüber hinaus genießt er volle Unabhängigkeit bei der Ernennung, Entlassung und Organisation seines Personals sowie bei der Aufstellung seines Haushalts (281). Der BAI besteht aus einem Vorsitzenden (der vom Präsidenten mit Zustimmung der Nationalversammlung ernannt wird) (282) und sechs Kommissionsmitgliedern (die vom Präsidenten auf Vorschlag des Vorsitzenden ernannt werden), (283) die bestimmte, gesetzlich festgelegte Qualifikationen aufweisen müssen (284) und nur im Falle eines Amtsenthebungsverfahrens, einer Verurteilung zu einer Freiheitsstrafe oder der Unfähigkeit zur Ausübung ihres Amtes aufgrund langfristiger geistiger oder körperlicher Schwäche entlassen werden können (285). Der Rechnungshof führt jährlich eine allgemeine Prüfung durch, kann aber auch Sonderprüfungen zu Fragen von besonderem Interesse vornehmen. Bei der Durchführung einer Prüfung oder Kontrolle kann der BAI die Vorlage von Unterlagen und die Anwesenheit von Personen verlangen (286). Der BAI kann Empfehlungen aussprechen, Disziplinarmaßnahmen beantragen oder eine Strafanzeige einreichen (287).

(174)

Schließlich übt die Nationalversammlung die parlamentarische Aufsicht über die öffentlichen Behörden in Form von Untersuchungen und Kontrollen (288) ihrer Tätigkeit aus (289). Sie kann die Offenlegung von Dokumenten verlangen, Zeugen vorladen, (290) Abhilfemaßnahmen empfehlen (wenn sie rechtswidrige oder unangemessene Handlungen feststellt) (291) und die Ergebnisse ihrer Feststellungen veröffentlichen (292). Verlangt die Nationalversammlung, dass Abhilfemaßnahmen ergriffen werden – die beispielsweise die Gewährung einer Entschädigung, die Einleitung von Disziplinarmaßnahmen oder die Verbesserung interner Verfahren umfassen können –, muss die betreffende Behörde unverzüglich handeln und der Nationalversammlung über das Ergebnis berichten (293).

(175)

Das koreanische System bietet verschiedene (gerichtliche) Möglichkeiten, Rechtsschutz einschließlich Schadenersatz zu erhalten.

(176)

Erstens gewährt das PIPA dem Einzelnen ein Recht auf Auskunft, Berichtigung, Löschung und Sperrung in Bezug auf personenbezogene Daten, die zu Strafverfolgungszwecken verarbeitet werden (294).

(177)

Zweitens können Einzelpersonen die verschiedenen im PIPA vorgesehenen Rechtsbehelfe in Anspruch nehmen, wenn ihre Daten von einer Strafverfolgungsbehörde unter Verstoß gegen das PIPA oder unter Verletzung der Einschränkungen und Garantien für die Erhebung personenbezogener Daten in anderen Gesetzen (d. h. dem CPA oder CPPA, siehe Erwägungsgrund (171)) verarbeitet wurden. So können natürliche Personen bei der PIPC Beschwerden einlegen (unter anderem über das von der koreanischen Internet- und Sicherheitsbehörde betriebene Datenschutz-Callcenter) (295) oder bei dem Schlichtungsausschuss für Streitigkeiten über personenbezogene Daten (296). Diese Rechtsbehelfsmöglichkeiten unterliegen keinen weiteren Zulässigkeitsvoraussetzungen. Auf der Grundlage des Gesetzes über die Verwaltungsgerichtsbarkeit können Einzelpersonen darüber hinaus die Entscheidungen oder die Untätigkeit der PIPC anfechten (siehe Erwägungsgrund (132)).

(178)

Drittens kann jede Person (297) eine Beschwerde bei der NHRC über eine Verletzung des Rechts auf Privatsphäre und Datenschutz durch eine koreanische Strafverfolgungsbehörde einreichen. Die NHRC kann die Korrektur oder Verbesserung einschlägiger Gesetze, Einrichtungen, Strategien oder Vorgehensweisen (298) oder die Durchführung von Abhilfemaßnahmen wie Schlichtungsverfahren (299), Abstellung der Menschenrechtsverletzung, Schadenersatz und Maßnahmen zur Verhütung eines erneuten Vorkommens der gleichen oder ähnlicher Verletzungen empfehlen (300). Nach der offiziellen Erklärung der koreanischen Regierung (Anhang II Abschnitt 2.4.2) kann dies auch die Löschung unrechtmäßig erhobener personenbezogener Daten umfassen. Die NHRC ist zwar nicht befugt, verbindliche Entscheidungen zu treffen, bietet aber einen informelleren, kostengünstigeren und leichter zugänglichen Rechtsbehelf, insbesondere weil, wie in Anhang II, Abschnitt 2.4.2 erläutert, der Nachweis einer tatsächlichen Schädigung nicht erforderlich ist, damit eine Beschwerde geprüft werden kann (301). Dadurch wird sichergestellt, dass Beschwerden von Einzelpersonen über die Erhebung ihrer Daten geprüft werden können, selbst wenn eine Person nicht in der Lage ist, nachzuweisen, dass ihre Daten tatsächlich erhoben wurden (z. B. weil die Person noch nicht benachrichtigt wurde). Aus den jährlichen Tätigkeitsberichten der NHRC geht hervor, dass auch Einzelpersonen in der Praxis von dieser Möglichkeit Gebrauch machen, um die Tätigkeit der Strafverfolgungsbehörden anzufechten, auch im Hinblick auf den Umgang mit personenbezogenen Daten (302). Ist eine Person mit dem Ergebnis eines Verfahrens vor der NHRC nicht zufrieden, kann sie die Entscheidungen der NHRC (z. B. die Entscheidung, die Untersuchung einer Beschwerde nicht fortzusetzen (303)) und die Empfehlungen vor den koreanischen Gerichten gemäß dem Gesetz über die Verwaltungsgerichtsbarkeit anfechten (siehe Erwägungsgrund (181)) (304). Darüber hinaus kann ein Verfahren vor der NHRC den Zugang zu Gerichten weiter erleichtern, da eine Person gemäß den in den Erwägungsgründen (181)-(183) beschriebenen Verfahren weitere Rechtsmittel gegen die Behörde einlegen könnte, die ihre Daten nach den Feststellungen der NHRC unrechtmäßig verarbeitet hat.

(179)

Schließlich stehen verschiedene Rechtsbehelfe zur Verfügung, die es dem Einzelnen ermöglichen, sich auf die in Abschnitt 3.2.1 beschriebenen Einschränkungen und Garantien zu berufen, um Rechtsschutz zu erhalten (305).

(180)

In Bezug auf Beschlagnahmen (einschließlich von Daten) besteht nach dem CPA die Möglichkeit, die Vollstreckung eines Beschlagnahmebeschlusses durch eine „Quasi-Beschwerde“ anzufechten, indem beim zuständigen Gericht ein Antrag auf Widerruf oder Änderung einer Verfügung eines Staatsanwalts oder Polizeibeamten gestellt wird (306).

(181)

Generell können Einzelpersonen die Handlungen (307) oder Unterlassungen (308) von Behörden (einschließlich Strafverfolgungsbehörden) nach dem Gesetz über die Verwaltungsgerichtsbarkeit anfechten (309). Eine Verwaltungsmaßnahme gilt als „anfechtbare Verfügung“, wenn sie sich unmittelbar auf die Rechte und Pflichten der Bürger auswirkt, (310) was, wie die koreanische Regierung bestätigt (Anhang II Abschnitt 2.4.3), bei Maßnahmen zur Erhebung personenbezogener Daten zutrifft. Dies gilt sowohl für die direkte Erhebung von Daten (z. B. durch das Abfangen von Nachrichten) als auch für verpflichtende Offenlegungsersuchen (z. B. an einen Diensteanbieter) und für Ersuchen um freiwillige Zusammenarbeit. Damit eine Klage nach dem Gesetz über die Verwaltungsgerichtsbarkeit zulässig ist, muss der Kläger ein rechtliches Interesse an der Geltendmachung seines Anspruchs haben (311). Nach der Rechtsprechung des Obersten Gerichtshofs wird ein „rechtliches Interesse“ als „rechtlich geschütztes Interesse“ ausgelegt, d. h. als ein unmittelbares und konkretes Interesse, das durch Gesetze und Vorschriften, auf denen verwaltungsrechtliche Verfügungen beruhen, geschützt ist (im Unterschied zu einem allgemeinen, mittelbaren und abstrakten öffentlichen Interesse) (312). Natürliche Personen haben ein rechtliches Interesse, wenn Verstöße gegen die Einschränkungen und Garantien für die Erhebung ihrer personenbezogenen Daten zu Strafverfolgungszwecken (nach speziellen Gesetzen oder gemäß dem PIPA) begangen werden. Auf der Grundlage des Gesetzes über die Verwaltungsgerichtsbarkeit kann ein Gericht beschließen, eine rechtswidrige Verfügung zu widerrufen oder zu ändern, die Nichtigkeit festzustellen (d. h. festzustellen, dass eine Verfügung keine Rechtswirkung hat oder in der Rechtsordnung nicht vorhanden ist) oder festzustellen, dass eine Unterlassung rechtswidrig ist (313). Ein rechtskräftiges Urteil nach dem Gesetz über die Verwaltungsgerichtsbarkeit ist für die Parteien bindend (314).

(182)

Neben der Anfechtung staatlicher Maßnahmen im Wege der Verwaltungsgerichtsbarkeit können Einzelpersonen auch eine Verfassungsbeschwerde beim Verfassungsgericht wegen einer Verletzung ihrer Grundrechte durch die Ausübung oder Nichtausübung staatlicher Gewalt (mit Ausnahme von Gerichtsurteilen) einreichen (315). Etwaige andere verfügbare Rechtsbehelfe müssen zuvor erschöpft worden sein. Ausländer können nach der Rechtsprechung des Verfassungsgerichts Verfassungsbeschwerde einlegen, soweit ihre Grundrechte in der koreanischen Verfassung anerkannt werden (siehe die Erläuterungen in Abschnitt 1.1) (316). Das Verfassungsgericht kann die Ausübung der Staatsgewalt, die zu der Verletzung geführt hat, für ungültig erklären oder feststellen, dass eine bestimmte Unterlassung verfassungswidrig ist (317). In diesem Fall ist die betreffende Behörde verpflichtet, Maßnahmen zu ergreifen, um der Entscheidung des Gerichts zu entsprechen.

(183)

Darüber hinaus können natürliche Personen vor den koreanischen Gerichten auf Schadenersatz klagen. Dazu gehört in erster Linie die Möglichkeit, gemäß Artikel 39 eine Entschädigung für von Strafverfolgungsbehörden begangene Verstöße gegen das PIPA zu fordern (siehe auch Erwägungsgrund (135)). Auf der Grundlage des Gesetzes über staatlichen Schadenersatz können Einzelpersonen ganz allgemein Anspruch auf Schadenersatz für Schäden erheben, die ihnen öffentliche Bedienstete unter Verstoß gegen das Gesetz bei der Ausübung ihres Amtes zugefügt haben (siehe auch Erwägungsgrund (135)) (318).

(184)

Durch die in den Erwägungsgründen (176)-(183) beschriebenen Mechanismen stehen betroffenen Personen wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe zur Verfügung, die es ihnen insbesondere ermöglichen, ihre Rechte durchzusetzen, unter anderem das Auskunftsrecht hinsichtlich ihrer personenbezogenen Daten oder das Recht auf Berichtigung oder Löschung dieser Daten.

(185)

Das Recht der Republik Korea umfasst eine Reihe von Einschränkungen und Garantien in Bezug auf den Zugriff zu und die Verwendung von personenbezogenen Daten für die Zwecke der nationalen Sicherheit; ferner sieht es Aufsichtsmechanismen und Rechtsbehelfe vor, die den in den Erwägungsgründen (141) bis (143) dieses Beschlusses genannten Anforderungen entsprechen. Die folgenden Abschnitte enthalten eine detaillierte Prüfung der Bedingungen, unter denen ein solcher Zugriff erfolgen kann, sowie der Garantien, die für die Nutzung dieser Befugnisse gelten.

(186)

In der Republik Korea darf auf personenbezogene Daten zu Zwecken der nationalen Sicherheit auf der Grundlage des CPPA, des TBA und des Gesetzes über die Terrorismusbekämpfung zum Schutz der Bürger und der öffentlichen Sicherheit (im Folgenden „Antiterrorismusgesetz“) zugegriffen werden (319). Die wichtigste Behörde (320) mit Zuständigkeiten im Bereich der nationalen Sicherheit ist der nationale Nachrichtendienst (National Intelligence Service – NIS) (321). Die Erhebung und Verwendung personenbezogener Daten durch den NIS muss den einschlägigen gesetzlichen Bestimmungen (einschließlich PIPA und CPPA) (322) und den vom Präsidenten ausgearbeiteten und von der Nationalversammlung überprüften allgemeinen Leitlinien entsprechen (323). Grundsätzlich muss der NIS politische Neutralität wahren und die Freiheit und die Rechte natürlicher Personen schützen (324). Darüber hinaus dürfen die Mitarbeiter des NIS ihre Amtsgewalt nicht dazu missbrauchen, Institutionen, Organisationen oder Einzelpersonen zu etwas zu zwingen, wozu sie nicht (gesetzlich) verpflichtet sind, und sie dürfen niemanden bei der Ausübung seiner Rechte behindern (325).

(187)

Auf der Grundlage des CPPA können koreanische Behörden (326) Kommunikationsbestätigungsdaten (d. h das Datum des Telekommunikationsvorgangs, seine Anfangs- und Endzeit, die Zahl der ausgehenden und eingehenden Anrufe sowie die Rufnummer der anderen Person, die Häufigkeit der Nutzung, Protokolldateien über die Nutzung von Telekommunikationsdiensten und Standortdaten, siehe Erwägungsgrund (155)) und Kommunikationsinhaltsdaten (durch kommunikationsbeschränkende Maßnahmen, siehe Erwägungsgrund (155)) für die Zwecke der Strafverfolgung und der nationalen Sicherheit (gemäß dem Mandat des NIS, siehe die obige Fußnote 322) erheben. Diese Befugnisse beziehen sich auf zwei Arten von Daten: 1) Kommunikation, bei der eine oder beide Parteien koreanische Staatsangehörige sind (327) und 2) Kommunikation a) aus Ländern, die der Republik Korea feindlich gesinnt sind, b) von ausländischen Behörden, Organisationen oder Staatsangehörigen, die antikoreanischer Aktivitäten verdächtigt werden (328) oder c) von Mitgliedern von Organisationen auf der koreanischen Halbinsel, die faktisch nicht unter die Staatshoheit der Republik Korea fallen, und der im Ausland sitzender Dachorganisation (329). Kommunikationsdaten von EU-Bürgern, die auf der Grundlage dieses Beschlusses von der Union an die Republik Korea übermittelt wird, können daher nur dann nach dem CPPA für die Zwecke der nationalen Sicherheit erhoben werden (vorbehaltlich der in den Erwägungsgründen (188)-(192) genannten Bedingungen), wenn die Kommunikation entweder zwischen einem EU-Bürger und einem koreanischen Staatsangehörigen stattfindet oder – falls sie ausschließlich Kommunikation zwischen nichtkoreanischen Staatsangehörigen betreffen – unter eine der drei genannten Kategorien 2a), b) und c) fallen.

(188)

In beiden Szenarien dürfen Kommunikationsbestätigungsdaten nur zur Abwehr von Gefahren für die nationale Sicherheit erhoben werden, (330) während kommunikationsbeschränkende Maßnahmen nur ergriffen werden dürfen, wenn eine schwerwiegende Gefahr für die nationale Sicherheit besteht und die Erhebung zur Abwehr dieser Gefahr erforderlich ist (331). Darüber hinaus darf der Zugriff auf den Inhalt eines Kommunikationsvorgangs nur das letzte Mittel zur Gewährleistung der nationalen Sicherheit sein und es müssen Anstrengungen unternommen werden, um die Verletzung der Privatsphäre bei der Kommunikation so gering wie möglich zu halten (332) und so sicherzustellen, dass sie in einem angemessenen Verhältnis zu dem angestrebten Ziel der nationalen Sicherheit steht. Sowohl Kommunikationsinhaltsdaten als auch Kommunikationsbestätigungsdaten dürfen nur über einen Zeitraum von höchstens vier Monaten erhoben werden und die Erhebung muss unverzüglich eingestellt werden, wenn das verfolgte Ziel früher erreicht wird (333). Sind die entsprechenden Voraussetzungen weiterhin erfüllt, kann die Frist mit vorheriger Genehmigung eines Gerichts (für die in Erwägungsgrund (189) beschriebenen Maßnahmen) oder des Präsidenten (für die in Erwägungsgrund (190) beschriebenen Maßnahmen) (334) um bis zu vier Monate verlängert werden.

(189)

Die gleichen Verfahrensgarantien gelten für die Erhebung von Kommunikationsbestätigungs- und den Kommunikationsinhaltdaten (335). Handelt es sich bei mindestens einer der an der Kommunikation beteiligten Personen um einen koreanischen Staatsangehörigen, muss der Nachrichtendienst einen schriftlichen Antrag an die Oberste Staatsanwaltschaft stellen, die ihrerseits eine Anordnung bei einem Obersten Richter des Obersten Gerichtshofs beantragen muss (336). Im CPPA sind die Informationen aufgeführt, die im Antrag an die Staatsanwaltschaft, im Antrag auf Erlass der Anordnung und in der Anordnung selbst enthalten sein müssen. Dazu gehören insbesondere die Begründung des Antrags und die Hauptgründe für den Verdacht, Belege sowie Informationen über den Zweck, den Empfänger (d. h. die Zielperson(en)), den Umfang und die Dauer der geplanten Maßnahme (337). Eine Erhebung ohne Anordnung darf nur dann erfolgen, wenn eine die nationale Sicherheit gefährdende Verschwörung vorliegt und Dringlichkeit besteht, sodass es unmöglich ist, die genannten Verfahren zu durchlaufen (338). Auch in diesem Fall muss jedoch unmittelbar nach der Maßnahme ein Antrag auf Anordnung gestellt werden (339). Im CPPA werden daher der Umfang und die Bedingungen dieser Arten der Datenerhebung klar definiert und sie unterliegen besonderen (Verfahrens-)Garantien (einschließlich einer vorherigen gerichtlichen Genehmigung), wodurch sichergestellt wird, dass der Einsatz solcher Maßnahmen auf das erforderliche und verhältnismäßige Maß beschränkt wird. Darüber hinaus schließt die Pflicht, sowohl im Antrag auf Erlass einer Anordnung als auch in der Anordnung selbst detaillierte Daten anzugeben, die Möglichkeit eines anlassunabhängigen Zugangs aus.

(190)

Für die Kommunikation zwischen nichtkoreanischen Staatsangehörigen, die unter eine der drei in Erwägungsgrund (187) aufgeführten Kategorien fällt, ist ein Antrag beim Direktor des NIS zu stellen, der nach Prüfung der Angemessenheit der vorgeschlagenen Maßnahmen vorab die schriftliche Genehmigung des Präsidenten der Republik Korea einholen muss (340). Der vom Nachrichtendienst erstellte Antrag muss dieselben detaillierten Informationen enthalten wie ein Antrag auf eine gerichtliche Anordnung (siehe Erwägungsgrund (189)), insbesondere über die Begründung des Antrags und die Hauptgründe für den Verdacht, Belege und Informationen über die Zwecke, die Zielperson(en), den Umfang und die Dauer der geplanten Maßnahmen (341). In dringenden Fällen (342) ist vorab die Genehmigung des Ministers einzuholen, dem der jeweilige Nachrichtendienst untersteht; der Nachrichtendienst muss jedoch unmittelbar nach Ergreifen der Eilmaßnahmen die Genehmigung des Präsidenten beantragen (343). Auch in Bezug auf die Erhebung der Kommunikationsdaten zwischen ausschließlich nicht-koreanischen Staatsangehörigen beschränkt das CPPA den Einsatz solcher Maßnahmen auf das erforderliche und verhältnismäßige Maß, indem es die begrenzten Kategorien von Personen, die solchen Maßnahmen unterworfen werden können, klar eingrenzt und detaillierte Kriterien festlegt, die die Nachrichtendienste nachweisen müssen, um einen Antrag auf Erhebung von Daten zu rechtfertigen. Außerdem wird so die Möglichkeit eines anlassunabhängigen Zugangs ausgeschlossen. Zwar werden solche Maßnahmen nicht im Voraus unabhängig genehmigt, doch wird die unabhängige Aufsicht im Nachhinein insbesondere durch die PIPC und die NHRC gewährleistet (siehe z. B. Erwägungsgründe (199)-(200)).

(191)

Darüber hinaus werden im CPPA mehrere zusätzliche Sicherheitsvorkehrungen vorgesehen, die zu einer Ex-post-Kontrolle beitragen und dem Einzelnen den Zugang zu wirksamen Rechtsbehelfen erleichtern. Erstens sind im CPPA für alle Arten von Erhebungen zu Zwecken der nationalen Sicherheit unterschiedliche Aufzeichnungs- und Meldeanforderungen vorgesehen. Insbesondere wenn die Nachrichtendienste private Unternehmen um ihre Zusammenarbeit ersuchen, müssen sie ihnen die gerichtliche Anordnung bzw. die Genehmigung des Präsidenten oder eine Kopie des Deckblatts einer Erklärung über die Dringlichkeit von Zensurmaßnahmen vorlegen, die das betreffende Unternehmen in seinen Akten aufbewahren muss (344). Werden private Wirtschaftsbeteiligte zur Zusammenarbeit gezwungen, müssen sowohl die ersuchende Behörde als auch der betreffende Wirtschaftsbeteiligte Aufzeichnungen über den Zweck und den Zielgegensand der Maßnahmen sowie über das Datum der Durchführung führen (345). Darüber hinaus haben die Nachrichtendienste dem Direktor des NIS über die von ihnen gesammelten Daten und die Ergebnisse der Überwachungstätigkeit Bericht zu erstatten (346).

(192)

Zweitens müssen Personen über die Erhebung ihrer Daten (Kommunikationsbestätigungsdaten oder den Kommunikationsinhalt) zu Zwecken der nationalen Sicherheit unterrichtet werden, wenn es sich um Kommunikation handelt, bei der mindestens eine der Parteien koreanischer Staatsangehöriger ist (347). Diese Unterrichtung muss schriftlich innerhalb von 30 Tagen nach Beendigung der Datenerhebung erfolgen (auch wenn die Daten im Rahmen des Eilverfahrens erhoben wurden) und kann nur aufgeschoben werden, wenn und solange die nationale Sicherheit gefährdet oder das Leben und die körperliche Unversehrtheit von Personen beeinträchtigt würde (348). Unabhängig von einer solchen Unterrichtung können Einzelpersonen auf verschiedenen Wegen Rechtsbehelfe erlangen, wie in Abschnitt 3.3.4 näher erläutert.

(193)

Gemäß dem Antiterrorismusgesetz kann der NIS unter Einhaltung der in anderen Gesetzen festgelegten Einschränkungen und Garantien Daten über Terrorverdächtige (349) erheben (350). Insbesondere kann der NIS Kommunikationsdaten (auf der Grundlage des CPPA) und andere persönliche Daten (durch ein Ersuchen um freiwillige Offenlegung) erhalten (351). Für die Erhebung von Kommunikationsdaten (d. h. Kommunikationsinhalts- oder Kommunikationsbestätigungsdaten) gelten die in Abschnitt 3.3.1.1 beschriebenen Einschränkungen und Garantien, einschließlich des Erfordernisses, eine gerichtlich genehmigte Anordnung einzuholen. Bei Ersuchen um freiwillige Offenlegung anderer Arten personenbezogener Daten von Terrorverdächtigen muss der NIS die Anforderungen der Verfassung und des PIPA an die Erforderlichkeit und Verhältnismäßigkeit erfüllen (siehe Erwägungsgrund (164)) (352). Datenverantwortliche, die solche Ersuchen erhalten, können diesen unter den im PIPA festgelegten Bedingungen freiwillig nachkommen (z. B. nach dem Grundsatz der Datenminimierung und durch Begrenzung der Auswirkungen auf die Privatsphäre des Einzelnen) (353). In diesem Fall müssen sie auch der Anforderung, die betroffene Person zu unterrichten, gemäß der Bekanntmachung Nr. 2021-5 nachkommen (siehe Erwägungsgrund (166)).

(194)

Auf der Grundlage des TBA können Telekommunikationsanbieter einem Ersuchen um freiwillige Offenlegung von Teilnehmerdaten (siehe Erwägungsgrund (163)) nachkommen, den ein Nachrichtendienst an sie richtet, um durch die Erhebung dieser Daten eine Gefahr für die nationale Sicherheit abzuwenden (354). Für solche Ersuchen des NIS gelten die gleichen Einschränkungen (die sich aus der Verfassung, dem PIPA und dem TBA ergeben) wie im Bereich der Strafverfolgung (siehe Erwägungsgrund (164)) (355). Telekommunikationsanbieter sind nicht verpflichtet, diesen Ersuchen stattzugeben, und können dies nur unter den im PIPA festgelegten Bedingungen tun (insbesondere nach dem Grundsatz der Datenminimierung und durch Begrenzung der Auswirkungen auf die Privatsphäre des Einzelnen, siehe auch Erwägungsgrund (193)). Es gelten die gleichen Anforderungen hinsichtlich der Aufzeichnung und Unterrichtung der betroffenen Person wie im Bereich der Strafverfolgung (siehe Erwägungsgründe (165) und (166)).

(195)

Die Verarbeitung personenbezogener Daten, die von koreanischen Behörden für die Zwecke der nationalen Sicherheit erhoben werden, unterliegt den Grundsätzen der Zweckbindung (Artikel 3 Absätze 1 bis 2 PIPA), der Rechtmäßigkeit und der Verarbeitung nach Treu und Glauben (Artikel 3 Absatz 1 PIPA), der Verhältnismäßigkeit bzw. Datenminimierung (Artikel 3 Absätze 1, 6 und 58 PIPA), der Richtigkeit (Artikel 3 Absatz 3 PIPA), der Transparenz (Artikel 3 Absatz 5 PIPA), der Sicherheit (Artikel 58 Absatz 4 PIPA) und der Speicherbegrenzung (Artikel 58 Absatz 4 PIPA) (356). Eine etwaige Weitergabe personenbezogener Daten an Dritte (einschließlich Drittländer) kann nur im Einklang mit diesen Grundsätzen (insbesondere Zweckbindung und Datenminimierung) erfolgen, nachdem die Einhaltung der Grundsätze der Erforderlichkeit und Verhältnismäßigkeit (Artikel 37 Absatz 2 der Verfassung) geprüft und die Auswirkungen auf die Rechte der betroffenen Personen berücksichtigt wurden (Artikel 3 Absatz 6 PIPA).

(196)

Die Verwendung von Kommunikationsinhalts- und Kommunikationsbestätigungsdaten ist nach dem CPPA auf Gerichtsverfahren beschränkt, wenn sich eine Partei, die von der Kommunikation betroffen ist, bei einer Schadenersatzklage auf diese Daten beruft, oder auf zulässige Verwendungen nach anderen Gesetzen (357).

(197)

Die Arbeit der koreanischen nationalen Sicherheitsbehörden wird von verschiedenen Stellen überwacht (358).

(198)

Erstens sind im Antiterrorismusgesetz spezielle Aufsichtsmechanismen für die Terrorismusbekämpfung vorgesehen, einschließlich der Erhebung von Daten über Terrorverdächtige. Auf der Verwaltungsebene werden die Maßnahmen zur Terrorismusbekämpfung von der Kommission für Terrorismusbekämpfung überwacht; (359) der Direktor des NIS ist verpflichtet, der Kommission über Ermittlungen und das Aufspüren von Terrorverdächtigen Bericht zu erstatten, um die für die Terrorismusbekämpfung erforderlichen Daten und Materialien zu sammeln (360). Darüber hinaus überwacht der Menschenrechtsbeauftragte (Human Rights Protection Officer – HRPO) speziell die Einhaltung der Grundrechte bei der Terrorismusbekämpfung (361). Der HRPO wird vom Vorsitzenden der Kommission für Terrorismusbekämpfung aus einem Kreis von Personen ernannt, die bestimmte, im Durchführungserlass zum Antiterrorismusgesetz (362) aufgeführte Qualifikationen aufweisen, und zwar für eine (verlängerbare) Amtszeit von zwei Jahren; er kann nur aus bestimmten, begrenzten und berechtigten Gründen seines Amtes enthoben werden (363). In Ausübung seiner Aufsichtsfunktion kann der HRPO allgemeine Empfehlungen zur Verbesserung des Schutzes der Menschenrechte (364) und spezifische Empfehlungen für Abhilfemaßnahmen abgeben, wenn eine Menschenrechtsverletzung festgestellt wurde (365). Die Behörden sind verpflichtet, den HRPO über die Folgemaßnahmen zu seinen Empfehlungen zu informieren (366).

(199)

Zweitens überwacht die PIPC die Einhaltung der Datenschutzvorschriften durch die nationalen Sicherheitsbehörden, und zwar sowohl die geltenden Bestimmungen des PIPA (siehe Erwägungsgrund (149)) als auch die Einschränkungen und Garantien, die für die Erhebung personenbezogener Daten nach anderen Gesetzen gelten (CPPA, Antiterrorismusgesetz und TBA, siehe auch Erwägungsgrund (171)) (367). Bei der Ausübung dieser Aufsichtsfunktion kann die PIPC von all ihren Untersuchungs- und Abhilfebefugnissen Gebrauch machen, wie in Abschnitt 2.4.2 ausführlich beschrieben.

(200)

Drittens unterliegt die Tätigkeit der nationalen Sicherheitsbehörden der unabhängigen Aufsicht der NHRC gemäß den in Erwägungsgrund (172) beschriebenen Verfahren (368).

(201)

Viertens erstreckt sich die Aufsichtsfunktion des BAI auch auf die nationalen Sicherheitsbehörden, obwohl der NIS unter außergewöhnlichen Umständen bestimmte Daten oder Materialien verweigern kann, z. B. wenn es sich um Staatsgeheimnisse handelt und die Offenlegung ernsthafte Auswirkungen auf die nationale Sicherheit hätte (369).

(202)

Schließlich wird die parlamentarische Aufsicht über die Tätigkeit des NIS von der Nationalversammlung wahrgenommen (über einen speziellen Geheimdienstausschuss) (370). Die Nationalversammlung verfügt nach dem CPPA über eine besondere Aufsichtsfunktion in Bezug auf den Einsatz von kommunikationsbeschränkenden Maßnahmen für die Zwecke der nationalen Sicherheit (371). Insbesondere kann die Nationalversammlung Kontrollen vor Ort von Abhörgeräten durchführen und sowohl den NIS als auch die Telekommunikationsanbieter, die Kommunikationsinhaltsdaten weitergegeben haben, auffordern, darüber zu berichten. Die Nationalversammlung kann auch ihre allgemeinen Aufsichtsaufgaben wahrnehmen (in Übereinstimmung mit den in Erwägungsgrund (174) beschriebenen Verfahren). Der Direktor des NIS ist nach dem NIS-Gesetz verpflichtet, unverzüglich zu antworten, wenn der Nachrichtendienstausschuss einen Bericht zu einer bestimmten Angelegenheit anfordert, (372) wobei für bestimmte besonders sensible Daten besondere Vorschriften gelten. So kann der Direktor des NIS eine Antwort oder eine Aussage vor dem Ausschuss nur unter außergewöhnlichen Umständen verweigern, d. h. wenn sich das Ersuchen auf Staatsgeheimnisse im Zusammenhang mit militärischen, diplomatischen oder mit nordkoreanischen Angelegenheiten bezieht, wenn deren öffentliches Bekanntwerden schwerwiegende Auswirkungen auf das „Schicksal der Nation“ haben könnte (373). In diesem Fall kann der Geheimdienstausschuss den Premierminister um eine Erklärung ersuchen, und wenn innerhalb von sieben Tagen keine Erklärung abgegeben wird, darf die Antwort oder Aussage nicht verweigert werden.

(203)

Auch im Bereich der nationalen Sicherheit bietet das koreanische System verschiedene (gerichtliche) Möglichkeiten, Rechtsbehelfe zu erlangen, darunter auch Schadenersatz. Durch diese Mechanismen stehen betroffenen Personen wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe zur Verfügung, die es ihnen insbesondere ermöglichen, ihre Rechte durchzusetzen, unter anderem das Auskunftsrecht hinsichtlich ihrer personenbezogenen Daten oder das Recht auf Berichtigung oder Löschung dieser Daten.

(204)

Erstens können natürliche Personen gemäß Artikel 3 Absatz 5 und Artikel 4 Absätze 1, 3 und 4 PIPA gegenüber den nationalen Sicherheitsbehörden ihre Rechte auf Auskunft, Berichtigung, Löschung und Aussetzung der Verarbeitung ausüben. In Abschnitt 6 der Bekanntmachung Nr. 2021-5 (Anhang I dieses Beschlusses) wird näher erläutert, wie diese Rechte im Zusammenhang mit der Datenverarbeitung für die Zwecke der nationalen Sicherheit gelten. Insbesondere kann eine nationale Sicherheitsbehörde die Ausübung der Rechte verzögern, beschränken oder ablehnen, nur soweit und solange dies zum Schutz eines wichtigen Ziels von öffentlichem Interesse erforderlich und verhältnismäßig ist (z. B. soweit und solange die Gewährung der Rechte eine laufende Ermittlung oder die nationale Sicherheit gefährden würde), oder wenn die Gewährung der Rechte zur Schädigung eines Dritten an Leib und Leben führen könnte. Die Berufung auf eine solche Einschränkung erfordert daher eine Abwägung der Rechte und Interessen des Einzelnen gegen das betroffene öffentliche Interesse und darf auf keinen Fall das Recht in seinem Wesensgehalt antasten (Artikel 37 Absatz 2 der Verfassung). Wird der Antrag abgelehnt oder die Ausübung der Rechte eingeschränkt, so sind der betroffenen Person unverzüglich die Gründe dafür mitzuteilen.

(205)

Zweitens haben Einzelpersonen das Recht, im Rahmen des PIPA Rechtsbehelfe zu erwirken, wenn ihre Daten von einer nationalen Sicherheitsbehörde unter Verstoß gegen das PIPA oder gegen die Einschränkungen und Garantien in anderen Gesetzen, in denen die Erhebung personenbezogener Daten geregelt ist, verarbeitet wurden (insbesondere im CPPA, siehe hierzu Erwägungsgrund (171)) (374). Dieses Recht kann durch eine Beschwerde bei der PIPC (auch über das von der koreanischen Internet- und Sicherheitsbehörde betriebene Datenschutz-Callcenter) ausgeübt werden (375). Um den Zugang zu Rechtsbehelfen gegen koreanische Sicherheitsbehörden zu erleichtern, können EU-Bürger außerdem eine Beschwerde über ihre nationale Datenschutzbehörde bei der PIPC einreichen (376). In solchen Fällen benachrichtigt die PIPC die betroffene Person über die nationale Datenschutzbehörde, sobald die Untersuchung abgeschlossen ist, und unterrichtet sie ggf. über die verhängten Abhilfemaßnahmen. Auf der Grundlage des Gesetzes über die Verwaltungsgerichtsbarkeit können Einzelpersonen darüber hinaus die Entscheidungen oder die Untätigkeit der PIPC anfechten (siehe Erwägungsgrund (132)).

(206)

Drittens können Einzelpersonen beim HRPO eine Beschwerde über die Verletzung ihres Rechts auf Privatsphäre/Datenschutz im Rahmen von Terrorismusbekämpfungsmaßnahmen (d. h. gemäß dem Antiterrorismusgesetz) (377) einreichen, der Abhilfemaßnahmen empfehlen kann. Da keinerlei Zulässigkeitsvoraussetzungen vor dem Menschenrechtsbeauftragten bestehen, wird eine Beschwerde auch dann bearbeitet, wenn die betroffene Person nicht nachweisen kann, dass sie tatsächlich einen Schaden erlitten hat (z. B. durch die angeblich unrechtmäßige Erhebung ihrer Daten durch eine nationale Sicherheitsbehörde) (378). Die zuständige Behörde muss den HRPO über alle Maßnahmen informieren, die sie zur Umsetzung ihrer Empfehlungen ergriffen hat.

(207)

Viertens können Einzelpersonen eine Beschwerde über die Erhebung ihrer Daten durch die nationalen Sicherheitsbehörden bei der NHRC einreichen und gemäß dem in Erwägungsgrund (178) beschriebenen Verfahren Rechtsbehelfe erlangen (379).

(208)

Schließlich stehen verschiedene Rechtsbehelfe zur Verfügung, (380) die es dem Einzelnen ermöglichen, sich auf die in Abschnitt 3.3.1 beschriebenen Einschränkungen und Garantien zu berufen, um Rechtsschutz zu erhalten. Insbesondere können Einzelpersonen die Rechtmäßigkeit von Maßnahmen der nationalen Sicherheitsbehörden auf der Grundlage des Gesetzes über die Verwaltungsgerichtsbarkeit (gemäß dem in Erwägungsgrund(181) beschriebenen Verfahren) oder des Verfassungsgerichtsgesetzes (siehe Erwägungsgrund (182)) anfechten. Darüber hinaus können sie Schadenersatz auf der Grundlage des Gesetzes über staatlichen Schadenersatz erhalten (wie in Erwägungsgrund (183) näher beschrieben).

(209)

Die Kommission ist der Ansicht, dass in der Republik Korea durch das PIPA, die besonderen Vorschriften für bestimmte Sektoren (wie in Abschnitt 2 analysiert) und die zusätzlichen Garantien in der Bekanntmachung Nr. 2021-5 (Anhang I) ein Schutzniveau für aus der Europäischen Union übermittelte personenbezogene Daten gewährleistet wird, das der Sache nach demjenigen gleichwertig ist, das durch die Verordnung (EU) 2016/679 garantiert wird.

(210)

Darüber hinaus ist die Kommission der Auffassung, dass die Aufsichtsmechanismen und Rechtsbehelfe im koreanischen Recht es insgesamt ermöglichen, Verstöße gegen die Datenschutzvorschriften durch Datenverantwortliche in Korea zu erkennen und in der Praxis zu bekämpfen und der betroffenen Person Rechtsbehelfe anzubieten, um Auskunft über ihre personenbezogenen Daten zu erhalten und schließlich die Berichtigung oder Löschung dieser Daten zu erwirken.

(211)

Schließlich ist die Kommission auf der Grundlage der verfügbaren Informationen über die koreanische Rechtsordnung, einschließlich der in Anhang II enthaltenen Erklärungen, Zusicherungen und Pflichten der koreanischen Regierung, der Auffassung, dass jeder Eingriff in die Grundrechte der Personen, deren personenbezogene Daten aus der Europäischen Union an die Republik Korea übermittelt werden, durch koreanischen Behörden aus Gründen des öffentlichen Interesses, insbesondere zu Zwecken der Strafverfolgung und der nationalen Sicherheit, auf das zur Erreichung des betreffenden berechtigten Ziels unbedingt erforderliche Maß beschränkt ist und dass ein wirksamer Rechtsschutz gegen solche Eingriffe besteht.

(212)

In Anbetracht der Feststellungen dieses Beschlusses ist daher zu beschließen, dass die Republik Korea ein angemessenes Schutzniveau im Sinne von Artikel 45 der Verordnung (EU) 2016/679, wie er unter Berücksichtigung der Charta der Grundrechte der Europäischen Union auszulegen ist, für personenbezogene Daten gewährleistet, die aus der Europäischen Union in die Republik Korea an die den Bestimmungen des PIPA unterliegenden Verantwortlichen für personenbezogene Daten in der Republik Korea übermittelt werden, mit Ausnahme religiöser Organisationen, soweit sie personenbezogene Daten für ihre Missionierungstätigkeiten verarbeiten, politischen Parteien, soweit sie personenbezogene Daten im Zusammenhang mit der Nominierung von Kandidaten verarbeiten und Datenverantwortlichen, die der Aufsicht der Finanzdienstleistungskommission über die Verarbeitung personenbezogener Kreditdaten gemäß dem Kreditdatengesetz unterliegen, soweit sie solche Daten verarbeiten.

(213)

Die Mitgliedstaaten und ihre Organe müssen die notwendigen Maßnahmen treffen, um Rechtsakten der Unionsorgane nachzukommen, da für diese Rechtsakte eine Vermutung der Rechtmäßigkeit gilt, sodass sie Rechtswirkungen entfalten, solange sie nicht zurückgenommen, im Rahmen einer Nichtigkeitsklage für nichtig erklärt oder infolge eines Vorabentscheidungsersuchens oder einer Einrede der Rechtswidrigkeit für ungültig erklärt wurden.

(214)

Daher ist ein nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlassener Angemessenheitsbeschluss der Kommission für alle Organe der Mitgliedstaaten, an die er gerichtet ist, einschließlich ihrer unabhängigen Aufsichtsbehörden, verbindlich. So können insbesondere Übermittlungen von einem Verantwortlichen oder Auftragsverarbeiter in der Europäischen Union an Datenverantwortliche in der Republik Korea ohne weitere Genehmigung vorgenommen werden.

(215)

Es sei daran erinnert, dass gemäß Artikel 58 Absatz 5 der Verordnung (EU) 2016/679 und wie vom Gerichtshof der Europäischen Union im Urteil in der Rechtssache Schrems (381) erläutert Folgendes gilt: Wenn eine nationale Datenschutzbehörde, auch auf eine Beschwerde hin, die Vereinbarkeit eines Angemessenheitsbeschlusses der Kommission mit den Grundrechten des Einzelnen auf Privatsphäre und Datenschutz infrage stellt, muss das nationale Recht Rechtsbehelfe vorsehen, die es der Datenschutzbehörde ermöglichen, diese Rügen vor einem nationalen Gericht geltend zu machen, das gegebenenfalls ein Vorabentscheidungsverfahren beim Gerichtshof einleiten muss (382).

(216)

Nach der Rechtsprechung des Gerichtshofs (383) und Artikel 45 Absatz 4 der Verordnung (EU) 2016/679 sollte die Kommission nach Erlass eines Angemessenheitsbeschlusses die relevanten Entwicklungen in dem Drittland fortlaufend überwachen, um festzustellen, ob ein Drittland weiterhin ein im Wesentlichen gleichwertiges Schutzniveau bietet. Eine solche Kontrolle ist auf jeden Fall erforderlich, wenn der Kommission Informationen vorliegen, die Anlass zu begründeten Zweifeln geben.

(217)

Daher sollte die Kommission die Situation in der Republik Korea in Bezug auf den Rechtsrahmen und die tatsächliche Praxis bei der Verarbeitung personenbezogener Daten, wie in diesem Beschluss geprüft, fortlaufend überwachen, einschließlich der Einhaltung der in Anhang II enthaltenen Erklärungen, Zusicherungen und Pflichten durch die koreanischen Behörden. Um diesen Prozess zu erleichtern, werden die koreanischen Behörden ersucht, die Kommission umgehend über wesentliche Entwicklungen im Zusammenhang mit diesem Beschluss zu unterrichten, und zwar in Bezug auf die Verarbeitung personenbezogener Daten durch Unternehmer und Behörden sowie hinsichtlich der Einschränkungen und Garantien, die für den Zugriff der Behörden auf personenbezogene Daten gelten.

(218)

Damit die Kommission ihre Überwachungsfunktion wirksam ausüben kann, sollten die Mitgliedstaaten die Kommission über alle relevanten Maßnahmen der nationalen Datenschutzbehörden informieren, insbesondere über Anfragen oder Beschwerden von betroffenen EU-Bürgern in Bezug auf die Übermittlung personenbezogener Daten aus der Europäischen Union an Datenverantwortliche in der Republik Korea. Ferner sollte die Kommission über jegliche Hinweise darauf informiert werden, dass die Maßnahmen der koreanischen Behörden, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder für die nationale Sicherheit zuständig sind, einschließlich der Aufsichtsbehörden, nicht das erforderliche Schutzniveau gewährleisten.

(219)

In Anwendung des Artikels 45 Absatz 3 der Verordnung (EU) 2016/679 (384) und angesichts der Tatsache, dass sich das von der koreanischen Rechtsordnung gewährte Schutzniveau ändern könnte, sollte die Kommission nach der Annahme dieses Beschlusses regelmäßig prüfen, ob die Feststellungen über die Angemessenheit des von der Republik Korea gewährleisteten Schutzniveaus noch sachlich und rechtlich gerechtfertigt sind.

(220)

Zu diesem Zweck sollte dieser Beschluss innerhalb von drei Jahren nach seinem Inkrafttreten einer ersten Überprüfung unterzogen werden. Nach dieser ersten Überprüfung entscheidet die Kommission in enger Abstimmung mit dem nach Artikel 93 Absatz 1 der Verordnung (EU) 2016/679 eingesetzten Ausschuss je nach Ergebnis, ob der Dreijahreszyklus beibehalten werden sollte. In jedem Fall sollten die anschließenden Überprüfungen mindestens alle vier Jahre stattfinden (385). Die Überprüfung sollte sich auf alle Aspekte der Funktionsweise dieses Beschlusses erstrecken, insbesondere auf die Anwendung der in Anhang I dieses Beschlusses enthaltenen zusätzlichen Garantien mit besonderem Augenmerk auf den Schutz im Falle der Weiterübertragung, auf die einschlägigen Entwicklungen in der Rechtsprechung, die Vorschriften über die Verarbeitung pseudonymisierter Daten für die Zwecke der Statistik, der wissenschaftlichen Forschung und der Archivierung im öffentlichen Interesse sowie die Anwendung der Ausnahmen nach Artikel 28 Absatz 7 PIPA, die Wirksamkeit der Ausübung der Rechte des Einzelnen, auch vor der kürzlich reformierten PIPC, und auf die Anwendung der Ausnahmen von diesen Rechten, die Anwendung der teilweisen Ausnahmen nach dem PIPA sowie die Einschränkungen und Garantien in Bezug auf den Zugang der Behörden (wie in Anhang II dieses Beschlusses dargelegt), einschließlich der Zusammenarbeit der PIPC mit den EU-Datenschutzbehörden bei individuellen Beschwerden. Sie sollte auch die Wirksamkeit der Aufsicht und Durchsetzung in Bezug auf das PIPA und im Bereich der Strafverfolgung und der nationalen Sicherheit (insbesondere durch die PIPC und die NHRC) umfassen.

(221)

Zur Durchführung der Überprüfung sollte die Kommission mit der PIPC zusammenkommen, gegebenenfalls unter Mitwirkung anderer koreanischen Behörden, die für den staatlichen Zugriff zuständig sind, einschließlich der zuständigen Aufsichtsbehörden. Die Teilnahme an diesem Treffen sollte Vertretern der Mitglieder des Europäischen Datenschutzausschusses offenstehen. Im Rahmen der Überprüfung sollte die Kommission die PIPC ersuchen, umfassende Informationen über alle Aspekte, die für die Feststellung der Angemessenheit von Belang sind, vorzulegen, auch über die Einschränkungen und Garantien in Bezug auf den staatlichen Zugriff (386). Die Kommission sollte auch Erläuterungen zu allen für diesen Beschluss maßgeblichen, ihr vorliegenden Informationen einholen, einschließlich öffentlicher Berichte von koreanischen Behörden oder anderen Beteiligten in Korea, dem Europäischen Datenschutzausschuss, einzelnen Datenschutzbehörden, zivilgesellschaftlichen Gruppen, Medienberichten oder jeder anderen verfügbaren Informationsquelle.

(222)

Auf der Grundlage der Überprüfung sollte die Kommission einen öffentlichen Bericht erstellen, der dem Europäischen Parlament und dem Rat vorgelegt wird.

(223)

Lassen verfügbare Informationen – insbesondere Informationen, die sich aus der Überwachung dieses Beschlusses ergeben oder von den koreanischen Behörden oder der Mitgliedstaaten zur Verfügung gestellt werden – darauf schließen, dass das von der Republik Korea gewährleistete Schutzniveau möglicherweise nicht mehr angemessen ist, sollte die Kommission die zuständigen koreanischen Behörden umgehend davon in Kenntnis setzen und sie ersuchen, innerhalb einer bestimmten, angemessenen Frist geeignete Maßnahmen zu ergreifen.

(224)

Falls die zuständigen koreanischen Behörden nach Ablauf dieser Frist keine derartigen Maßnahmen ergriffen haben oder nicht auf andere Weise glaubhaft gemacht haben, dass dieser Beschluss weiterhin auf einem angemessenen Schutzniveau beruht, wird die Kommission das Verfahren gemäß Artikel 93 Absatz 2 der Verordnung (EU) 2016/679 einleiten, um diesen Beschluss teilweise oder vollständig auszusetzen oder aufzuheben.

(225)

Alternativ wird die Kommission dieses Verfahren einleiten, um den Beschluss zu ändern, indem sie insbesondere Datenübermittlungen zusätzlichen Bedingungen unterwirft oder den Anwendungsbereich der Angemessenheitsfeststellung auf Datenübermittlungen beschränkt, für die auch weiterhin ein angemessenes Schutzniveau gewährleistet ist.

(226)

Konkret sollte die Kommission das Verfahren zur Aussetzung oder Aufhebung einleiten, wenn Hinweise darauf vorliegen, dass die zusätzlichen Garantien in Anhang I von Unternehmern, die nach diesem Beschluss personenbezogene Daten erhalten, nicht eingehalten und/oder nicht wirksam durchgesetzt werden, oder dass die koreanischen Behörden den Erklärungen, Zusicherungen und Pflichten in Anhang II nicht nachkommen.

(227)

Die Kommission sollte ferner die Einleitung des Verfahrens zur Änderung, Aussetzung oder Aufhebung dieses Beschlusses in Betracht ziehen, wenn die zuständigen koreanischen Behörden im Rahmen der Überprüfung oder anderweitig nicht die Informationen oder Erläuterungen liefern, die für die Bewertung des Schutzniveaus für personenbezogene Daten, die aus der Europäischen Union an die Republik Korea übermittelt werden, oder für die Einhaltung dieses Beschlusses erforderlich sind. In diesem Zusammenhang sollte die Kommission Überlegungen dazu anstellen, inwieweit die relevanten Informationen aus anderen Quellen bezogen werden können.

(228)

In hinreichend begründeten Fällen äußerster Dringlichkeit wird die Kommission von der Möglichkeit Gebrauch machen, nach dem in Artikel 93 Absatz 3 der Verordnung (EU) 2016/679 genannten Verfahren sofort geltende Durchführungsrechtsakte zur Aussetzung, Aufhebung oder Änderung des Beschlusses zu erlassen.

(229)

Der Europäische Datenschutzausschuss hat seine Stellungnahme (387) veröffentlicht, der bei der Ausarbeitung dieses Beschlusses Rechnung getragen wurde.

(230)

Die in diesem Beschluss vorgesehenen Maßnahmen entsprechen der Stellungnahme des gemäß Artikel 93 Absatz 1 der Verordnung (EU) 2016/679 eingesetzten Ausschusses —