33,7 Millionen Daten geleakt, und was wir dabei übersehen
Ich habe bei Coupang eingekauft. Ich habe es oft genutzt, weil die Raketenlieferung so bequem war. Ich habe mich an den magischen Service gewöhnt, bei dem ich im Morgengrauen bestelle und es am Morgen ankommt.
Doch eines Tages kam eine Nachricht.
“Ihre persönlichen Daten wurden geleakt.”
Mein Name, meine E-Mail-Adresse, meine Lieferadresse, das Passwort für den gemeinsamen Hauseingang könnten irgendwohin geflossen sein. Das bedeutet, dass jemand das Passwort für meine Haustür kennen könnte. Ich bekam Gänsehaut.
33,7 Millionen Menschen. Das entspricht 3 von 4 Erwachsenen in Südkorea. Wir alle sind Opfer. Wir haben das Recht, wütend zu sein.
Aber wenn ich mir die aktuelle Situation ansehe, empfinde ich ein seltsames Unbehagen.
Hagelnde Kritik und ‘Show-Reaktionen’
Die Medien prügeln auf Coupang ein. Täglich erscheinen neue Artikel. Das Parlament hält eine gemeinsame Anhörung von 6 ständigen Ausschüssen ab. Die Demokratische Partei bringt das ‘Kim Bom-suk Einreiseverbotsgesetz’ ein. Sie wollen ihn wie Yoo Seung-jun dauerhaft an der Einreise hindern. Im Online-Café für die Sammelklage haben sich über 650.000 Menschen versammelt. Alle werfen Steine auf Coupang.
Coupang kündigte verspätet einen Entschädigungsplan an. 50.000 Won pro Person, insgesamt 1,685 Billionen Won, hieß es. Man warb damit als größte präventive Entschädigung aller Zeiten. Doch als man genau hinsah, war die Realität anders. Der Betrag, der tatsächlich bei Coupang verwendet werden konnte, betrug nur 5.000 Won. Der Rest war für Coupang Travel (20.000 Won), Coupang R.Lux (Luxusgüter, 20.000 Won) und Coupang Eats (5.000 Won).
Coupang Travel? Coupang R.Lux? Die meisten Verbraucher wissen nicht einmal, was das ist. Es kam Spott auf: “Man schreibt Entschädigung und liest Marketing.” Die Opfer waren wütend. Reaktionen wie “Löst es das Problem, Coupons zu verteilen, nachdem man persönliche Daten verspielt hat?” häuften sich.
Kim Bom-suk, Vorstandsvorsitzender von Coupang Inc., lehnte die Teilnahme an der Parlamentsanhörung ab. Er reichte eine Abwesenheitserklärung mit der Begründung ‘geschäftliche Termine im Ausland’ ein. Das Parlament zeigte ihn wegen Verstoßes gegen das Gesetz über Zeugenaussagen und Gutachten an. Man drohte sogar mit der Ausstellung eines Vorführbefehls, einer parlamentarischen Untersuchung und sogar einem Einreiseverbot.
Stellen wir eines klar. Coupang hat Fehler gemacht.
Ein ehemaliger Mitarbeiter griff etwa 5 Monate lang unbefugt auf Kundendaten zu. Coupang hat das nicht bemerkt. Erst nach Erhalt einer Erpressungsmail am 18. November gab man an, das Leck bemerkt zu haben. 5 Monate. Fast ein halbes Jahr. In dieser Zeit wurde auf die Daten von 33,7 Millionen Menschen unbefugt zugegriffen. Dies ist eine schwerwiegende Nachlässigkeit im Sicherheitsmanagement.
Auch nach Bekanntwerden des Lecks war die Reaktion von Coupang problematisch. Die Kommission für den Schutz persönlicher Daten forderte eine korrigierte erneute Benachrichtigung innerhalb von 7 Tagen, da der Inhalt der ersten Benachrichtigung ungenau war. Die Polizei äußerte Bedenken hinsichtlich einer möglichen Beweisvernichtung, da die ‘Selbst-Forensik’ von Coupang ohne Zusammenarbeit bei den Ermittlungen durchgeführt wurde. Dass sich die Nuancen der koreanischen und englischen Version der Erklärung vom 25. Dezember unterschieden, war ebenfalls ein Vertrauensbruch.
Coupang verdient Kritik. Sie müssen Bußgelder zahlen, die Opfer entschädigen und das Sicherheitssystem stärken. Auch ein Hausbesitzer, der seine Tür nicht richtig abschließt, trägt Verantwortung, wenn ein Dieb einbricht. Das ist richtig.
Aber schauen Sie sich die Szene an, die sich gerade abspielt.
Anstatt sich darum zu bemühen, den Dieb zu fangen, konzentriert sich die ganze Energie darauf, den Hausbesitzer öffentlich hinzurichten. Die Medien graben täglich neue ‘Vergehen’ von Coupang aus. Das Parlament hält Anhörungen ab und brüllt. Die Bürger strömen in Sammelklage-Cafés. Alle sind damit beschäftigt, Steine auf Coupang zu werfen.
In der Zwischenzeit werden die wirklich wichtigen Fragen begraben.
Warum wiederholt sich so etwas seit 17 Jahren? Wie können wir verhindern, dass so etwas wieder passiert? Wie stärken wir das Sicherheitssystem der ganzen Nachbarschaft, damit keine Diebe mehr einbrechen?
17 Jahre sich wiederholende ‘Da-Capo’-Geschichte
Lassen Sie uns die Zeit zurückdrehen.
Es gab den Auction-Hacking-Vorfall. Die Daten von 18 Millionen Menschen wurden gestohlen. Über 146.000 Menschen beteiligten sich an einer Sammelklage, der Streitwert erreichte 157 Milliarden Won. Das Ergebnis? Der Oberste Gerichtshof entschied: “Auction ist nicht schadensersatzpflichtig.” Die Opfer erhielten keinen Cent.
Es gab auch den Nate/Cyworld-Hacking-Vorfall. Die Daten von 35 Millionen Menschen wurden geleakt. Das entsprach damals 70% der gesamten südkoreanischen Bevölkerung. Das Ergebnis? “SK Communications ist nicht schadensersatzpflichtig.” Die Opfer erhielten keinen Cent.
Der Vorfall bei den drei Kreditkartenfirmen war noch schockierender. Insgesamt 105,8 Millionen Datensätze wurden bei KB Kookmin Card, NH Nonghyup Card und Lotte Card geleakt. Das war der größte Umfang in der Geschichte Südkoreas. Diesmal erkannte das Gericht die Schadensersatzpflicht der Unternehmen an. Wie viel haben sie bekommen? 100.000 Won pro Person. Und das erst nach Jahren des Rechtsstreits.
Interpark-Vorfall, LG Uplus-Vorfall, bis hin zum SK Telecom USIM-Hacking-Vorfall Anfang dieses Jahres. Und jetzt Coupang.
17 Jahre sind vergangen. Was hat sich geändert?
Persönliche Daten werden weiterhin gestohlen, Unternehmen zahlen ein paar Milliarden Won Bußgeld und machen weiter, Opfer erhalten 100.000 Won oder gar nichts. Und wir suchen uns wieder das nächste Ziel und werden wütend.
Auch damals prügelten die Medien auf die betroffenen Unternehmen ein. Das Parlament hielt Anhörungen ab. Das Volk war wütend. Und nach ein paar Monaten war es vergessen. Das System hat sich nicht geändert.
Bei Coupang wird es genauso sein.
Bußgelder zum ‘Kaugummipreis’ und die Kostenrechnung der Unternehmen
Laut einem Bericht von Hankyoreh wurden in den letzten 5 Jahren insgesamt 109.164.950 persönliche Datensätze geleakt. Die Gesamtsumme der von der Kommission für den Schutz persönlicher Daten im gleichen Zeitraum verhängten Bußgelder beträgt etwa 360 Milliarden Won. Wenn man das ausrechnet, beträgt das Bußgeld pro Datensatz nur etwa 3.300 Won.
Meine Information ist 3.300 Won wert.
Wie ist es in den USA? Die US Federal Trade Commission (FTC) verhängte gegen Facebook (jetzt Meta) ein Bußgeld von 5 Milliarden Dollar. Das sind etwa 5,9 Billionen Won. Im Fall des Datenlecks bei Equifax wurde eine Vergleichssumme von 700 Millionen Dollar festgelegt.
Und Korea? Die 134,8 Milliarden Won gegen SK Telecom sind das historische Maximum. Nach geltendem Recht gibt es keine Möglichkeit, Billionen Won zu verhängen. Weil es keine Grundlage dafür gibt.
Aus Sicht der Unternehmen sind Bußgelder lediglich ‘Kosten’. Wenn es billiger ist, nach einem Leck Bußgelder zu zahlen, als in Sicherheit zu investieren, wer würde dann in Sicherheit investieren?
Aber wie viele Medienberichte weisen auf dieses strukturelle Problem hin? Wie viele Abgeordnete fordern die Einführung von Strafschadensersatz? Wie laut sind die Stimmen der Bürgerorganisationen, die eine Stärkung der Aufsichtskapazitäten der Kommission für den Schutz persönlicher Daten fordern?
Artikel, die auf Coupang einprügeln, gibt es im Überfluss. Weil sie geklickt werden. Artikel, die Systemverbesserungen fordern, sind schwer zu finden. Weil sie nicht geklickt werden.
Anhörung: Eine ‘Brüll-Show’ ohne Lösungen
Das Parlament hat beschlossen, als Reaktion auf den Fall Coupang eine gemeinsame Anhörung unter Beteiligung von 6 ständigen Ausschüssen abzuhalten. Eine beispiellose Großanhörung. Oberflächlich betrachtet sieht das beeindruckend aus.
Aber fragen wir mal nach. Was ist der Zweck dieser Anhörung?
Irgendwann wurden parlamentarische Anhörungen in Korea nicht mehr zu Orten, an denen ‘Lösungen gesucht’ werden, sondern zu Orten, an denen ‘jemand angebrüllt’ wird.
Abgeordnete sitzen vor Mikrofonen und schreien Zeugen an. Kameras laufen. Die Szenen kommen in die Nachrichten. Sie landen auf YouTube. Titel wie “Wer hat wen heftig zurechtgewiesen”, “Wer hat wen sprachlos gemacht” werden angehängt. Die Aufrufzahlen steigen. Die Beliebtheit des Abgeordneten steigt.
Was ist das Wesen einer Anhörung? Die Ursachen von Problemen zu ermitteln und Maßnahmen zur Verhinderung von Wiederholungen zu erarbeiten. Die Wahrheit ans Licht zu bringen und das System zu verbessern. Aber haben Sie jemals gesehen, dass solche Diskussionen in einer koreanischen Anhörung stattfinden?
Das größte Merkmal von US-Anhörungen ist das gründliche Überprüfungssystem und das Fehlen zeitlicher Beschränkungen. In den USA überprüfen FBI, Steuerbehörde (IRS), Ethikkommission usw. Kandidaten vor der Anhörung gründlich. 233 Punkte werden über zwei Wochen hinweg untersucht. Bei der Anhörung von Hillary Clinton zur Außenministerin ging es hauptsächlich um Politik, den Betrieb des Außenministeriums und die US-Außenpolitik.
Und Korea? Abgeordnete stellen Fragen, aber viele davon sind rhetorische Fragen, deren Antworten bereits feststehen. “Sie haben doch einen Fehler gemacht, oder?”, “Haben Sie das Volk nicht getäuscht?”, “Bereuen Sie?” Welche Antwort erwarten sie auf solche Fragen? Das ist keine Frage, das ist ein Urteil.
Für Abgeordnete ist die Anhörung eine Gelegenheit, sich bekannt zu machen. Eine Gelegenheit, vor dem Volk das Bild zu zeichnen: “Ich bin gerecht, und dieser Zeuge ist ein schlechter Mensch.” Diese Szene kommt in die Nachrichten, verbreitet sich in sozialen Netzwerken, und die Anhänger jubeln. Das bringt Stimmen bei der nächsten Wahl.
Deshalb wetteifern die Abgeordnete darum, wer lauter schreit. Wer härter zurechtweist. Wer schärfer angreift. Der Wettbewerb besteht darin, wer den Zeugen mehr in Bedrängnis bringt. Lösungen zu finden, interessiert nicht. Das System zu verbessern, ist nicht spannend. Denn was die Zuschauer wollen, sind ‘Szenen, in denen zugeschlagen wird’.
Die Coupang-Anhörung wird nicht anders sein.
Abgeordnete werden Coupang-Vertreter anschreien. “Wie konnten Sie 5 Monate lang nicht bemerken, dass die Daten von 33,7 Millionen Menschen gestohlen wurden!”, “Verarschen Sie das Volk?!”, “Bereuen Sie?!” Kameras werden diese Szenen einfangen. Es wird in den Nachrichten kommen. Auf YouTube hochgeladen werden. Die Beliebtheit der Abgeordneten wird steigen.
Und nach der Anhörung?
Nichts wird sich ändern.
Es wird keine technische Analyse geben, warum der unbefugte Zugriff eines ehemaligen Mitarbeiters über 5 Monate hinweg nicht erkannt wurde. Es wird keine fachliche Diskussion über die Lücken im aktuellen ISMS-Zertifizierungssystem geben. Es werden keine Alternativen zur Stärkung der Aufsichtskapazitäten der Kommission für den Schutz persönlicher Daten vorgestellt. Es wird keine Einigung darüber geben, wann Strafschadensersatz eingeführt wird.
Die Anhörung endet, die Abgeordnete kehren in ihre Wahlkreise zurück, Coupang zahlt das Bußgeld, und die Opfer erhalten in ein paar Jahren vielleicht 100.000 Won oder auch nicht.
Eine echte Anhörung sollte ein Ort sein, an dem geklärt wird, “warum das passiert ist”, und diskutiert wird, “wie man verhindern kann, dass es wieder passiert”. Wahre Verantwortungsübernahme beginnt mit konkreten Fragen. “Was war die technische Ursache dafür, dass der abnormale Datenzugriff 5 Monate lang nicht erkannt wurde?”, “Welche Lücken im aktuellen ISMS-Zertifizierungsstandard haben diesen Vorfall nicht verhindert?”, “Warum wurde dieses Problem bei den regelmäßigen Überprüfungen der Kommission für den Schutz persönlicher Daten nicht entdeckt?”, “Welche erwarteten Effekte und Nebenwirkungen hat die Einführung von Strafschadensersatz?”
Wie viele Abgeordnete werden solche Fragen stellen? Solche Fragen kommen nicht in die Nachrichten. Die YouTube-Aufrufe steigen nicht. Sie bekommen nicht so viele ‘Likes’ wie Brüllszenen.
Deshalb ändern sich koreanische Anhörungen nicht. Solange Brüllen Stimmen bringt.
Was ändert sich, wenn Kim Bom-suk zur Anhörung erscheint? Wird das Datenleck gestoppt, wenn Abgeordnete ihn anschreien: “Warum sind Sie nicht gekommen!”, “Ignorieren Sie das Volk!”? Wird mein Passwort für den Hauseingang sicher, wenn er den Kopf senkt und sich entschuldigt?
Wenn der Zweck der Anhörung Wutabbau ist, dann ist es keine Anhörung, sondern eine Gruppentherapiesitzung. Wenn der Zweck der Anhörung der politische Vorteil der Abgeordneten ist, dann ist es keine Anhörung, sondern Wahlkampf.
Die fehlgeleitete Wut der Medien und der Öffentlichkeit
Was ist die Rolle der Medien?
Die Macht zu überwachen, die Wahrheit ans Licht zu bringen und einen öffentlichen Diskurs zu bilden. Aber was machen die Medien gerade?
Täglich erscheinen Dutzende Artikel, die Coupang kritisieren. Kim Bom-suks Vermögen, seine Familie, seine früheren Aussagen, Coupangs Arbeitsbedingungen, Coupangs Lobbying-Verdacht. Coupang wird aus allen Winkeln durchleuchtet. Leser klicken. Werbeeinnahmen steigen.
Aber wie viele Artikel fragen: “Warum wiederholen sich Datenlecks seit 17 Jahren?” Wie viele investigative Berichte verfolgen die Frage: “Ist die Datenschutzpolitik der Regierung effektiv?” Wie viele Feature-Artikel fragen: “Warum wurde Strafschadensersatz immer noch nicht eingeführt?”
Fast keine. Weil sie nicht geklickt werden.
Medien mögen denken, dass sie Gerechtigkeit üben, indem sie auf Coupang einprügeln. Aber das ist eine Illusion. Was die Medien wirklich tun sollten, ist nicht, auf ein einzelnes Unternehmen einzuschlagen, sondern die Systemprobleme aufzudecken, warum sich so etwas wiederholt.
Es wurde in ein Haus eingebrochen. Sollten die Medien die Vergangenheit des Hausbesitzers ausgraben, enthüllen, wie der Hausbesitzer gewöhnlich seine Tür abschließt, und Artikel schreiben, die den Charakter des Hausbesitzers in Frage stellen? Oder sollten sie verfolgen, warum das Sicherheitssystem der ganzen Nachbarschaft so lückenhaft ist, warum die Polizei nicht richtig patrouilliert und warum die Gesetze zur Bestrafung von Dieben so schwach sind?
Die Medien konzentrieren sich derzeit auf Ersteres. Letzteres interessiert sie nicht.
Zeit, die ‘Hetzjagd’ zu beenden und das System zu ändern
Die Wut des Volkes ist ähnlich.
650.000 Menschen haben sich im Sammelklage-Café versammelt. Wenn jeder 1 Million Won Entschädigung bekommt, sind das 65 Billionen Won. Anwälte sprechen von einer “Klage historischen Ausmaßes”.
Aber schauen Sie in die Vergangenheit.
Auction 146.000 Menschen, alle verloren. Keinen Cent bekommen. Nate Zehntausende, alle verloren. Keinen Cent bekommen. Kreditkartenfirmen Hunderttausende, 100.000 Won pro Person. Und das nach Jahren des Rechtsstreits.
Es ist sehr wahrscheinlich, dass die Coupang-Klage ähnlich ausgeht. Die Polizei gab bekannt, dass sie bei der Volluntersuchung bisher keine Verdachtsfälle auf Sekundärschäden gefunden hat. Wenn das wahr ist? Die Wahrscheinlichkeit steigt, dass das Gericht die Schadensersatzpflicht verneint mit der Begründung: “Konkreter Schaden wurde nicht nachgewiesen.”
Was werden die 650.000 Teilnehmer der Sammelklage in ein paar Jahren erhalten? Wahrscheinlich 100.000 Won. Und das wäre schon ein Glücksfall.
Wo wäre diese Energie effektiver eingesetzt? Sich an der Coupang-Sammelklage zu beteiligen oder Abgeordnete unter Druck zu setzen: “Führt Strafschadensersatz ein”?
Natürlich sollte man beides tun. Es ist auch wichtig, Coupang zur Verantwortung zu ziehen. Aber wenn wir das System nicht ändern, wiederholt sich das Gleiche. Wenn es mit 100.000 Won von Coupang endet, müssen wir nächstes Jahr, wenn Daten bei einem anderen Unternehmen gestohlen werden, wieder an einer Sammelklage teilnehmen. Wieder Jahre warten, wieder 100.000 Won bekommen.
Ist es das, was wir wollen?
Hat bei früheren großen Datenlecks jemals ein Großaktionär an einer Anhörung teilgenommen?
Haben bei den Kreditkartenfirmen die Großaktionäre von KB Financial, Nonghyup Financial oder Lotte teilgenommen? Hat beim Nate-Vorfall der Großaktionär der SK Group teilgenommen? Wurde beim SK Telecom-Vorfall der Vorsitzende Chey Tae-won zur Anhörung gerufen?
Wenn die Reaktion auf Coupang besonders hart ist, liegt das daran, dass Coupang größere Fehler gemacht hat als andere Unternehmen? Oder weil Coupang ein ‘gut zu treffendes’ Ziel ist?
Coupang ist ein US-Unternehmen. Kim Bom-suk ist US-Bürger. Er lebt nicht in Korea. Ausdrücke wie ‘schwarzhaariger Ausländer’ fallen. Man kann auf Coupang Druck ausüben, den man auf heimische Chaebol-Chefs nicht so leicht ausüben kann.
Auch politisch ist Coupang ein ‘sicheres’ Ziel. Coupang anzugreifen, erzeugt keinen großen politischen Gegenwind. Im Gegenteil, man kann Popularität gewinnen. Wenn man SK oder Samsung mit der gleichen Intensität angreift? Das ist eine andere Geschichte.
Einer der Gründe für die heftige Kritik an Coupang ist das negative Image, das Coupang aufgebaut hat. Todesfälle von Arbeitern in Logistikzentren, Verdacht auf Ausbeutung von Subunternehmern, Klagen gegen Medien, Kontroversen um die Anwerbung hochrangiger Beamter. Dieses ‘Karma’ hat bei diesem Vorfall zu explosiver Kritik geführt.
Aber Arbeitsbedingungen und Datenlecks sind getrennte Themen. Ausbeutung von Subunternehmern und Nachlässigkeit im Sicherheitsmanagement sind ebenfalls getrennt. Vergangene Fehler rechtfertigen keine übermäßige Kritik am aktuellen Vorfall. Die Logik “Coupang ist ein böses Unternehmen, also darf man nach Herzenslust draufschlagen” ist gefährlich.
Coupang hat Fehler gemacht und muss kritisiert werden. Das ist richtig. Aber es darf nicht damit enden, ‘nur’ Coupang zu kritisieren. Man muss auch die Probleme des Systems aufzeigen. Sonst werden wir immer wieder neue ‘böse Unternehmen’ finden und Steine werfen.
Kim Bom-suk ist ‘Großaktionär’, nicht ‘CEO’.
Er ist von den Posten des eingetragenen Direktors und CEO der koreanischen juristischen Person zurückgetreten. Derzeit gibt es einen separaten CEO für die koreanische juristische Person. Coupang, Inc., gegründet in Delaware, USA, ist die oberste Holdinggesellschaft, und Kim Bom-suk ist Vorsitzender des Verwaltungsrats. Da er über Class-B-Aktien mehr als 70% der Stimmrechte hält, ist er zweifellos der faktische Herrscher.
Das Gesetz über Zeugenaussagen im Parlament schreibt vor: “Wer als Zeuge zur Anhörung im Parlament aufgefordert wird, muss dem nachkommen.” Rechtlich besteht auch für Kim Bom-suk eine Erscheinungspflicht. Dass er die Teilnahme verweigert hat, verdient Kritik.
Aber auch hier die Frage: Was ändert sich, wenn man Kim Bom-suk die Einreise verbietet?
Yoo Seung-jun die Einreise zu verbieten, war eine gesellschaftliche Sanktion für Wehrdienstvermeidung. Wofür ist das Einreiseverbot für Kim Bom-suk eine Sanktion? Nichterscheinen bei einer Anhörung? Ist das eine so schwerwiegende Angelegenheit wie Wehrdienstvermeidung?
Natürlich ist es falsch, das Parlament zu ignorieren. Aber ist eine extreme Maßnahme wie ein Einreiseverbot eine angemessene Reaktion? Ist es eine Maßnahme zur Problemlösung oder eine Maßnahme für eine politische Show?
Wenn Kim Bom-suk die Einreise verboten wird, werden die Medien groß darüber berichten. Das Volk wird sich freuen. Abgeordnete werden sich gratulieren: “Wir haben es geschafft.”
Und die Datenlecks werden weitergehen. Das System wird sich nicht ändern.
Wir sind immer so.
Wenn ein Vorfall passiert, sind wir wütend. Die Medien beleuchten ein bestimmtes Unternehmen oder eine bestimmte Person intensiv. Das Parlament hält Anhörungen ab. Bürger beteiligen sich an Sammelklagen. In sozialen Netzwerken hagelt es Kritik.
Und nach ein paar Monaten vergessen wir es. Wenn der nächste Vorfall passiert, sind wir wieder wütend. Wir suchen ein anderes Ziel und werfen Steine. Das System ändert sich nicht. Gesetze werden nicht geändert.
Die Opfer von Auction haben keinen Cent bekommen. Die Opfer von Nate haben auch keinen Cent bekommen. Die Opfer der Kreditkartenfirmen haben 100.000 Won bekommen. Wie viel werden die Opfer von Coupang bekommen? Wahrscheinlich ähnlich viel.
In der Zwischenzeit wird bei einem anderen Unternehmen ein weiteres Leck passieren. Wir werden wieder wütend sein. Eine weitere Anhörung wird stattfinden. Eine weitere Sammelklage wird beginnen.
Und das System wird sich nicht ändern.
Auf Coupang einzuschlagen ist einfach. Zu fordern, Kim Bom-suk die Einreise zu verbieten, ist einfach. An einer Sammelklage teilzunehmen, ist auch einfach.
Das System zu ändern, ist schwer. Das Parlament zur Einführung von Strafschadensersatz zu drängen, ist schwer. Die Regierung zur Stärkung der Aufsichtskapazitäten der Datenschutzkommission zu drängen, ist schwer. Zu fordern, das ISMS-Zertifizierungssystem substantiell zu machen, ist schwer.
Wir tun nur das Einfache.
Nur zu kritisieren und keine Alternativen anzubieten, ist unverantwortlich.
Was müssen wir tun?
Wir müssen Strafschadensersatz einführen. Derzeit sind Bußgelder für Unternehmen nur ‘Kosten’. Es ist billiger, nach einem Leck Bußgelder zu zahlen, als in Sicherheit zu investieren. Diese Struktur müssen wir ändern. Wir müssen ermöglichen, dass 10%, 20% des Umsatzes als Bußgeld verhängt werden können.
Wir müssen die Aufsichtskapazitäten der Kommission für den Schutz persönlicher Daten stärken. Derzeit fehlen der Kommission Budget und Personal. Sie ist nicht in der Lage, Tausende von Unternehmen zu überwachen. Das Budget muss erhöht und Fachpersonal eingestellt werden.
Wir müssen das ISMS-Zertifizierungssystem substantiell machen. Derzeit ist die ISMS-Zertifizierung nur ein formales Verfahren. Auch in zertifizierten Unternehmen passieren massive Datenlecks. Die Zertifizierungskriterien müssen verschärft und Nachkontrollen zur Pflicht gemacht werden.
Wir müssen Verbandsklagen einführen. Derzeit müssen sich bei Sammelklagen die Opfer einzeln beteiligen. Das kostet viel Zeit und Geld. Wenn Verbandsklagen eingeführt werden, können Verbraucherverbände stellvertretend klagen.
Was davon wird im Parlament diskutiert? Was davon steht auf der Prioritätenliste der Regierungspolitik? Was davon wird von den Medien intensiv beleuchtet?
Ich weiß es nicht. Ich sehe nur Nachrichten, die auf Coupang einprügeln.
Ich bin auch ein Opfer. Einer von 33,7 Millionen. Ich bin wütend.
Aber meine Wut richtet sich nicht nur gegen Coupang.
Sie richtet sich gegen Medien, die glauben, Gerechtigkeit zu üben, indem sie auf Coupang einprügeln. Sie richtet sich gegen Abgeordnete, die glauben, sie hätten gearbeitet, indem sie in Anhörungen brüllen. Sie richtet sich gegen uns selbst, die wir zufrieden sind, etwas getan zu haben, indem wir an einer Sammelklage teilnehmen.
Coupang hat Fehler gemacht. Sie müssen kritisiert werden. Sie müssen Verantwortung übernehmen.
Aber wenn wir nur auf Coupang einprügeln und aufhören, ändern wir nichts. Wenn nächstes Jahr bei einem anderen Unternehmen Daten gestohlen werden, werden wir wieder auf dieses Unternehmen einprügeln. Wieder wird eine Anhörung stattfinden. Wieder wird eine Sammelklage beginnen. Wieder werden wir wütend sein. Wieder werden wir vergessen.
Es wurde eingebrochen. Es stimmt, dass der Hausbesitzer die Tür nicht richtig abgeschlossen hat. Aber ist es nicht wichtiger, den Dieb zu fangen und das Sicherheitssystem der ganzen Nachbarschaft zu stärken?
Jetzt sind wir damit beschäftigt, den Hausbesitzer öffentlich hinzurichten. Wo der Dieb ist, interessiert uns nicht. Das Sicherheitssystem rühren wir nicht an.
Das ist die koreanische Art der Problemlösung. Das System wird nicht angerührt, man stellt einen auf den Platz und veranstaltet eine Hetzjagd.
Die Massen genießen es immer, jemanden auf dem Platz zu haben und eine Hetzjagd zu veranstalten. Heute ist es Coupang. Morgen wird es jemand anderes sein. Die Zuschauer auf dem Platz klatschen, lassen ihrer Wut freien Lauf und glauben fälschlicherweise, Gerechtigkeit sei geschehen.
Aber Gerechtigkeit wird verwirklicht, wenn sich das System ändert. Wenn es keine weiteren Opfer gibt.
Mit einer Hetzjagd ändert sich nichts. Meine Daten kommen nicht zurück. Die nächsten 33,7 Millionen werden nicht verhindert.
Ohne das System zu verbessern, versucht man nur zu bestrafen. Die Massen genießen immer die Hetzjagd auf dem Platz.
Wie lange noch?
Referenzmaterial und Zitate
Nachrichtenberichte
- KBS News, “‘Gemeinsame Coupang-Anhörung’ am 30.-31. Dezember… 6 ständige Ausschüsse beteiligt”, 23.12.2025. Link
- Maeil Business Newspaper, “Wie Yoo Seung-jun bei ‘Wehrdienstvermeidung’… ‘Gesetz zum Einreiseverbot für Coupangs Kim Bom-suk’ vorgeschlagen”, 20.12.2025. Link
- Anwälte für eine demokratische Gesellschaft (Minbyun), “620 Bürger beantragen kollektive Streitbeilegung wegen Coupang-Datenleck”, 10.12.2025. Link
- JoongAng Ilbo, “Coupangs seltsame ‘50.000 Won pro Person’-Entschädigung… Warum man bei Coupang nur 5.000 Won ausgeben kann”, 29.12.2025. Link
- Hankyoreh, “Coupang R.Lux? Kenne ich nicht mal… ‘Nur dem Namen nach 50.000 Won’-Trick-Entschädigung schürt Wut”, 29.12.2025. Link
- Hankyoreh, “Kim Bom-suk entschuldigt sich widerwillig 29 Tage nach ‘Coupang-Vorfall’… Hält an ‘Nichterscheinen bei Anhörung’ fest”, 28.12.2025. Link
- Namuwiki, “Massives Datenleck bei Coupang” Link
Bezug zum Anhörungssystem
- Sunday Journal USA, “[Sonderserie 1] Probleme des koreanischen Anhörungssystems”, 12.09.2019. Link
- Korea Legislation Research Institute, “Vergleichende rechtliche Betrachtung des Anhörungssystems” Link
Statistiken und Regierungsdaten
- Kommission für den Schutz persönlicher Daten, “Analyse der Trends bei Leck-Meldungen 2024”, 03.2025.
- Korea Internet & Security Agency (KISA), Statistik zu Meldungen von Cyber-Verletzungsvorfällen
- Jipyoonuri, Statistik zu Meldungen und Beratungen wegen Verletzung persönlicher Daten
Rechtsprechung
- Oberster Gerichtshof, Urteil vom 25.01.2018, 2015Da24904 (Nate-Datenleck-Fall)
- Oberster Gerichtshof, Urteil vom 28.12.2018, 2018Da214142 (Kriterien für Schadensersatz bei Datenlecks)
