Die südkoreanische Kommission zum Schutz personenbezogener Daten gab am Donnerstag ihre Strafentscheidung bekannt: Sie verhängte 624,68 Milliarden Won (entspricht 410,1 Millionen US-Dollar) und weitere zusätzliche Geldstrafen gegen das in koreanischem Besitz befindliche, in den USA börsennotierte E-Commerce-Unternehmen für den letztjährigen Fall der Weitergabe von Benutzerinformationen. Von diesem Leck waren 37,6 Millionen Nutzer betroffen, was mehr als 70 % der Gesamtbevölkerung Südkoreas ausmacht.
Das E-Commerce-Unternehmen Kupeng versprach, das Datenschutzsystem weiter zu stärken und alle Anstrengungen zu unternehmen, um das Vertrauen der Verbraucher wiederherzustellen.
Dieses Bußgeld stellt einen neuen Rekord für die höchste Strafe dar, die gegen ein einzelnes Unternehmen in Südkorea verhängt wurde, und übersteigt die Höhe der Strafen, die in früheren Fällen von Datenschutzverletzungen gegen die südkoreanischen Unternehmen SK Telecom, KT und andere Unternehmen verhängt wurden, bei weitem.
Die Strafe kommt, nachdem die Aufsichtsbehörden eine monatelange Untersuchung gegen das Unternehmen eingeleitet haben, das als „koreanisches Amazon“ bekannt ist. Coolpeng hat seinen Hauptsitz in Seattle, USA, und das Unternehmen ist in Delaware registriert, der Großteil seines Umsatzes stammt jedoch aus dem koreanischen Inlandsmarkt.
Song Kyung-hee, Vorsitzender der koreanischen Kommission zum Schutz personenbezogener Daten, sagte bei der Online-Verkündung der Strafentscheidung: „Diese Informationslecks sind nicht auf einen schwierigen Hackerangriff zurückzuführen. Die Hauptursache sind schwerwiegende Lücken im grundlegenden Sicherheitsmanagementsystem von Coolpeng und das Managementversagen des Unternehmens selbst.“
Südkoreanische Regulierungsbehörden und Kongressabgeordnete gaben bekannt, dass die Datenlecks mehrere Monate lang unbemerkt blieben, bis Coolpengs Selbstprüfung sie im November letzten Jahres entdeckte.
Die Untersuchung ergab, dass ein ehemaliger chinesischer Softwareentwicklungsingenieur bei Kupeng den Systemauthentifizierungsschlüssel nach seinem Ausscheiden aus dem Unternehmen heimlich aufbewahrte und ihn etwa ein Jahr lang für den illegalen Zugriff auf Benutzerinformationen verwendete.
Zu den von den Beteiligten illegal abgerufenen Benutzerinformationen gehörten private Daten wie Namen, Mobiltelefonnummern und sogar Passwörter für den Zugang zu Wohngebäuden.
Kupeng sagte, dass die beteiligten Personen keine Kreditkartennummern, Einwohnerausweisnummern und andere sensiblere Informationen gestohlen hätten.
Kupeng erklärte am Donnerstag, dass das Unternehmen sein Datenschutzsystem umfassend verbessern werde, um das Vertrauen der Benutzer wiederherzustellen, und gab außerdem bekannt, dass es gegen die Strafentscheidung der Personal Information Protection Commission Berufung einlegen werde.
Kupengs offizielle Erklärung: „Bezüglich des Informationsleckvorfalls im letzten Jahr haben wir proaktiv eine Reihe von Maßnahmen ergriffen, um Folgeschäden zu vermeiden, und vollständige sachliche Belegmaterialien vorgelegt. Diese Maßnahmen wurden jedoch im Strafurteil des Ausschusses nicht vollständig berücksichtigt. Wir bedauern dies zutiefst. Wir freuen uns darauf, alle Fakten durch gerichtliche Verfahren zu klären.“