Die Struktur der PIPA nach den Änderungen von 2023

PIPA ist das primäre Datenschutzgesetz in Südkorea, und die geänderte Fassung ist der Referenzpunkt für jeden Publisher, der ab 2024 tätig ist. Teams, die mit dem Text vor 2023 arbeiten, schauen auf einen veralteten Rahmen.

Was die Änderungen von 2023 geändert haben

Die Änderungen von 2023 brachten mehrere strukturelle Änderungen mit sich:

• Vereinheitlichung der Pflichten des Verantwortlichen über alle Sektoren hinweg, wobei das fragmentierte Regime abgeschafft wurde, das Anbieter von Informations- und Kommunikationsdiensten zuvor anders behandelte als andere Verantwortliche
• Neustrukturierung des Rahmens für grenzüberschreitende Übermittlungen weg von der ausdrücklichen Einwilligung pro Übermittlung hin zu Angemessenheits- und Garantiemustern, die dem GDPR-Modell näherkommen
• Einführung eines klaren Rechts, nicht ausschließlich automatisierten Entscheidungen mit erheblichen Auswirkungen unterworfen zu sein, mit dem Recht, eine menschliche Überprüfung zu verlangen
• Verschärfung der Meldefrist für Datenschutzverletzungen auf 72 Stunden, entsprechend dem GDPR-Standard
• Anhebung der Obergrenze für Bußgelder auf bis zu 3 Prozent des Gesamtumsatzes bei schwerwiegenden Verstößen — eine drastische Erhöhung gegenüber den früheren, an den Umsatz aus der verletzenden Tätigkeit geknüpften Obergrenzen

Die Rolle der PIPC

Die PIPC ist die einheitliche Datenschutzbehörde mit Befugnissen, die Untersuchungen, Bußgeldverhängungen, Korrekturmaßnahmen und die öffentliche Bekanntmachung von Durchsetzungsentscheidungen umfassen. Seit 2023 agiert sie als Behörde auf Kabinettsebene mit deutlich erweiterten Ressourcen und einer sichtbar aggressiveren Durchsetzungshaltung.

Wer reguliert wird

PIPA gilt für jede Verarbeitung personenbezogener Daten koreanischer Einwohner, unabhängig davon, wo sich der Verantwortliche befindet. Ein in den USA ansässiger Publisher, der koreanische Nutzer über eine lokalisierte Website bedient, oder ein programmatischer Käufer, der auf koreanisches Inventar bietet, fällt in den Anwendungsbereich. Diese extraterritoriale Reichweite ist in der Praxis der PIPC gut etabliert und wurde in mehreren Durchsetzungsmaßnahmen gegen ausländische Plattformen seit 2023 bekräftigt.

Was als personenbezogene Information gilt

Die Definition der PIPA ist weit gefasst. Personenbezogene Informationen umfassen alle Informationen über eine lebende natürliche Person, die diese direkt oder in Kombination mit anderen Informationen identifizieren können. Die PIPC hat konsequent das gesamte Spektrum an Online-Identifikatoren — Cookies, Werbe-IDs, IP-Adressen, Geräte-Fingerabdrücke und Verhaltensprofile — als personenbezogene Informationen behandelt, wenn sie mit einer Person direkt oder auf zumutbare Weise verknüpft werden können.

Sensible Informationen

Das koreanische Recht legt eine eigene Kategorie sensibler Informationen (민감정보) fest, die strengere Einwilligungsanforderungen auslöst. Dazu gehören Weltanschauung, Überzeugungen, Gewerkschafts- oder politische Parteizugehörigkeit, politische Meinungen, Gesundheit, Sexualleben, genetische Daten, biometrische Daten zur Identifizierung und Vorstrafen. Die Verarbeitung sensibler Informationen erfordert eine gesonderte, spezifische Einwilligung — nicht die gebündelte Einwilligung, die gewöhnliche personenbezogene Informationen abdecken kann.

Eindeutige Identifikationsinformationen

Die PIPA grenzt eine weitere Kategorie ab, eindeutige Identifikationsinformationen (고유식별정보), zu der Einwohner-Registrierungsnummern, Reisepassnummern, Führerscheinnummern und Ausländer-Registrierungsnummern gehören. Ihre Verarbeitung ist streng eingeschränkt und für Marketing- oder Werbezwecke generell verboten.

Warum das für Cookies relevant ist

Ein Cookie, der lediglich eine einfache Session-ID speichert, ist eine gewöhnliche personenbezogene Information und fällt unter das allgemeine Einwilligungsregime. Ein Cookie, der ein Zielgruppensegment mit sensiblen Kategorien befüllt — Gesundheitsinteressen, politische Neigungen, religiöse Zugehörigkeiten — betritt das Territorium sensibler Informationen und erfordert den gesonderten, spezifischen Einwilligungsfluss. Publisher, die Zielgruppen ansprechen, die sich mit der sensiblen Liste der PIPA überschneiden, sollten diese Segmente nicht unter einer allgemeinen Werbeeinwilligung betreiben.

Cookie-Einwilligung unter PIPA im Jahr 2026

Südkorea folgt einem strengen Opt-in-Einwilligungsmodell. Die Haltung der PIPC zu Cookies ist konsistent und wurde durch mehrere Durchsetzungsentscheidungen im Laufe von 2024 und 2025 bekräftigt.

Die fünf Elemente einer wirksamen Einwilligung

PIPA verlangt, dass die Einwilligung für nicht-essentielle Cookies und ähnliche Technologien:

• Zweckspezifisch ist — eine allgemeine Dacheinwilligung ist nicht wirksam, jeder Verarbeitungszweck benötigt seine eigene Einwilligung
• Informiert ist — der Nutzer muss verstehen, welche Daten erhoben werden, warum, wer sie erhält und wie lange
• Freiwillig ist — eine Ablehnung muss möglich sein, ohne dem Nutzer einen Dienst zu verweigern, auf den er sonst Anspruch hat
• Durch eine aktive Handlung ausgedrückt wird — vorausgefüllte Checkboxen, konkludente Einwilligungen und Scrollen als Einwilligung sind allesamt unwirksam
• Für jede Zweckkategorie separat eingeholt wird — Essentielle, Analyse, Werbung, Personalisierung und grenzüberschreitende Übermittlung benötigen jeweils eine eigene, getrennt eingeholte Einwilligung

Wie ein konformes CMP aussieht

Ein für koreanischen Traffic im Jahr 2026 konfiguriertes CMP sollte präsentieren:

• Ein sichtbares Banner, bevor ein nicht-essentieller Cookie gesetzt wird, standardmäßig auf Koreanisch (한국어) für koreanische Nutzer
• Separate Aktionen „Zustimmen", „Ablehnen" und „Anpassen" mit gleicher visueller Prominenz — die PIPC hat ausdrücklich Banner-Designs beanstandet, bei denen „Ablehnen" weniger sichtbar ist als „Zustimmen"
• Granulare Steuerelemente pro Zweck, einschließlich einer expliziten Umschaltoption für grenzüberschreitende Übermittlungen
• Einen separaten, klar beschrifteten Ablauf für die Verarbeitung sensibler Informationen, der hinter einer eigenen Aktion verborgen ist
• Einen dauerhaften, leicht auffindbaren Mechanismus zum Widerruf der Einwilligung nach der ersten Wahl
• Eine koreanischsprachige Datenschutzerklärung (개인정보 처리방침) mit vollständigen Offenlegungen

Einwilligungsnachweise

Der Verantwortliche muss Nachweise über die Einwilligung führen — wer hat eingewilligt, wann, wozu, über welche Benutzeroberfläche. Exportierbare, zeitgestempelte Einwilligungsprotokolle sind die Grunderwartung, und unzureichende Einwilligungsnachweise wurden in mehreren Durchsetzungsmaßnahmen der PIPC angeführt.

Grenzüberschreitende Übermittlungen nach den Änderungen von 2023

Koreas Regime für grenzüberschreitende Übermittlungen wurde gründlicher restrukturiert als nahezu jedes andere nationale Datenschutz-Update nach 2023. Das neue Rahmenwerk zu verstehen, ist die größte einzelne Compliance-Lücke für ausländische Publisher im Jahr 2026.

Der neue Übermittlungsrahmen

Die geänderte PIPA sieht vier Wege für rechtmäßige grenzüberschreitende Übermittlungen vor:

• Angemessenheitsentscheidungen, die von der PIPC für Zielländer oder -sektoren erlassen werden
• Zertifizierung des ausländischen Empfängers im Rahmen eines von der PIPC anerkannten Zertifizierungssystems
• Standardverträge, die von der PIPC genehmigt wurden und analog zu den GDPR-Standardvertragsklauseln funktionieren
• Gesonderte ausdrückliche Einwilligung der betroffenen Person für die spezifische Übermittlung als Restmechanismus

Warum das relevant ist

Vor den Änderungen von 2023 stützten sich die meisten grenzüberschreitenden Datenflüsse auf den vierten Weg — die Einwilligung pro Übermittlung — was umfangreiche, komplexe CMPs erzeugte und für programmatische Stacks schwer zu pflegen war. Der Rahmen von 2023 erlaubt es Verantwortlichen, sich auf Standardverträge oder Zertifizierungen zu stützen, was die Einwilligungslast reduziert und sich an die internationale Praxis anpasst. Publisher, die ihre Lieferantenverträge nicht aktualisiert haben, um auf die PIPC-Standardverträge zu verweisen, operieren standardmäßig noch immer unter dem alten Regime, was nun eher eine Compliance-Verbindlichkeit als ein Aktivposten ist.

Der praktische Ansatz für 2026

Die meisten ausländischen Publisher führen nun PIPC-Standardverträge mit ihren ausländischen Auftragsverarbeitern aus, dokumentieren den Übermittlungsmechanismus in der Datenschutzerklärung und behalten die gesonderte Einwilligung pro Übermittlung nur als Rückfalloption für Sonderfälle. Dies ist praktikabel, verteidigbar und deutlich einfacher als das Vorherige.

Automatisierte Entscheidungsfindung und algorithmische Transparenz

Die Änderungen von 2023 führten ein Recht ein, nicht ausschließlich automatisierten Entscheidungen mit erheblichen Auswirkungen unterworfen zu sein, sowie ein Recht, eine menschliche Überprüfung solcher Entscheidungen zu verlangen. Für Publisher gilt dies am sichtbarsten für algorithmisches Content-Curation, personalisierte Preisgestaltung und jede Zielgruppenansprache, die erhebliche differenzielle Ergebnisse produziert.

Offenlegungspflichten

Verantwortliche müssen in der Datenschutzerklärung offenlegen, dass eine automatisierte Entscheidungsfindung stattfindet, die grundlegende Logik beschreiben und die potenziell erheblichen Auswirkungen erläutern. Das bedeutet nicht, proprietäre Algorithmen offenzulegen — aber es erfordert eine aussagekräftige Zusammenfassung in verständlicher Sprache, die ein typischer Nutzer verstehen könnte.

Das Überprüfungsrecht

Nutzer, die von einer erheblichen automatisierten Entscheidung betroffen sind, können eine menschliche Überprüfung, Korrektur oder Erläuterung verlangen. Der Verantwortliche muss einen Kanal für diese Anfrage bereitstellen und innerhalb der Standard-PIPA-Fristen antworten.

Rechte der betroffenen Personen

Die PIPA gewährt die bekannte Rechtebündel, angewandt durch den koreanischen Rahmen:

• Recht auf Information über die Verarbeitung
• Auskunftsrecht über verarbeitete Daten
• Recht auf Berichtigung unrichtiger Daten
• Recht auf Einschränkung der Verarbeitung
• Recht auf Löschung, wenn die Verarbeitung nicht mehr gerechtfertigt ist
• Recht auf Widerruf der Einwilligung so einfach wie sie erteilt wurde
• Widerspruchsrecht gegen automatisierte Entscheidungsfindung mit erheblichen Auswirkungen
• Recht auf Beschwerde bei der PIPC

Antwortfristen

Verantwortliche müssen auf die meisten Anfragen betroffener Personen innerhalb von 10 Tagen antworten, mit der Möglichkeit einer einmaligen Verlängerung um weitere 10 Tage mit Benachrichtigung — deutlich knapper als die 30-Tage-Frist der DSGVO. Dies ist eine der häufigeren operativen Lücken für ausländische Publisher, die in der Regel über Tooling und Runbooks verfügen, die auf den 30-tägigen DSGVO-Rhythmus ausgerichtet sind.

Sanktionen und Durchsetzungshaltung im Jahr 2026

Die Durchsetzungsaktivität der PIPC hat sich seit 2023 stark intensiviert, und 2025 brachte einige der höchsten Bußgelder in ihrer Geschichte — mehrere davon gegen ausländische Plattformen und Publisher.

Verwaltungsbußgelder

Die Änderungen von 2023 hoben die Obergrenze für Bußgelder auf bis zu 3 Prozent des Gesamtumsatzes für die schwerwiegendsten Verstöße an. Niedrigere Bußgelder gelten für Versäumnisse bei Einwilligung, Benachrichtigung, Datensicherheit, Verletzungsmeldung und grenzüberschreitender Übermittlung. Die PIPC war 2025 bereit, die Höchststufe anzuwenden, was nicht ihr historisches Muster war.

Strafrechtliche Haftung

Die PIPA sieht strafrechtliche Sanktionen — einschließlich Freiheitsstrafe — für die schwerwiegendsten Verstöße vor, wie den rechtswidrigen Verkauf personenbezogener Informationen oder vorsätzliche großangelegte Datenverletzungen. Diese sind selten, aber real und wurden in Fällen aus dem Jahr 2025 angewendet.

Durchsetzungsschwerpunkte

Die Maßnahmen der PIPC aus dem Jahr 2025 häufen sich um wiederkehrende Probleme: unzureichende oder mehrdeutige Einwilligungsbanner, grenzüberschreitende Übermittlungen ohne einen gültigen Post-2023-Mechanismus, unzureichende Verletzungsmeldung und die Nichterfüllung der Rechte betroffener Personen innerhalb der 10-Tage-Frist. Ausländische Publisher wurden in allen vier Kategorien angeführt.

Audit-Checkliste für koreanischen Traffic im Jahr 2026

• Das CMP-Banner wird auf Koreanisch (한국어) mit „Zustimmen", „Ablehnen" und „Anpassen" mit gleicher visueller Prominenz ausgespielt
• Einwilligungszwecke sind granular und stellen die Verarbeitung sensibler Informationen hinter einen eigenen spezifischen Einwilligungsfluss
• Grenzüberschreitende Übermittlungen stützen sich auf einen PIPC-Standardvertrag, Zertifizierung oder Angemessenheit — nicht auf eine veraltete Einwilligung pro Übermittlung
• Die Datenschutzerklärung (개인정보 처리방침) ist auf Koreanisch mit vollständigen Angaben zu Auftragsverarbeitern, Zwecken, Speicherfristen und Rechten verfügbar, einschließlich der Logik automatisierter Entscheidungsfindung, sofern zutreffend
• Einwilligungsprotokolle sind zeitgestempelt, exportierbar und mindestens für die Dauer der Verarbeitung zuzüglich einer prüfbaren Marge aufbewahrt
• Der Workflow für Anfragen betroffener Personen kann innerhalb von 10 Tagen von Anfang bis Ende auf Koreanisch beantwortet werden
• Das Runbook für Verletzungsmeldungen ist auf das 72-Stunden-Fenster der PIPC ausgerichtet
• Offenlegungen zur automatisierten Entscheidungsfindung sind in der Datenschutzerklärung, wo erhebliche Entscheidungen mit solchen Systemen getroffen werden
• Die Lieferantenliste wurde auf Notwendigkeit geprüft, mit Entfernung ungenutzter oder redundanter Lieferanten

Ausblick auf 2026

Südkoreas Datenschutzregime hat sich von einem der auf dem Papier strengeren Rahmenwerke in Asien zu einem der in der Durchsetzung strengeren Regime weltweit entwickelt. Die Änderungen von 2023 beseitigten die strukturellen Hürden, die Compliance teuer gemacht hatten, und die PIPC hat die seitdem vergangenen zwei Jahre genutzt, um sich auf die Durchsetzung des restlichen Gesetzes zu konzentrieren. Publisher mit einem GDPR-konformen Einwilligungs-Stack benötigen verhältnismäßig kleine Anpassungen, um Korea-bereit zu sein: koreanischsprachiges CMP und Datenschutzerklärung, PIPC-Standardverträge für grenzüberschreitende Datenflüsse, der 10-tägige Antwortrhythmus und Sorgfalt beim Umgang mit der Liste sensibler Informationen. Publisher, die Korea noch immer als leichteren Markt behandeln, werden 2026 und 2027 als erheblich teurer erleben als die Vorjahre. Die gute Nachricht ist, dass die Lücke operativer, nicht architektonischer Natur ist und in Wochen geschlossen werden kann, wenn sie priorisiert wird.