Südkoreanische Regulierungsbehörden haben dem E-Commerce-Riesen Coupang eine Rekordstrafe von 624,6 Milliarden Won (409 Millionen US-Dollar) verhängt, nachdem es eine Datenpanne gab, bei der die persönlichen Daten von zig Millionen Kunden offengelegt wurden, und eine Untersuchung des Umgang mit Nutzerdaten durch das Unternehmen durchgeführt wurde.
Die von der Kommission zum Schutz personenbezogener Daten (PIPC) angekündigte Sanktion ist die höchste jemals in Südkorea verhängte Datenschutzstrafe. Die Regulierungsbehörden erklärten, dass der Fall sowohl ein großes Leck von Kundendaten als auch die unrechtmäßige Sammlung von Online-Aktivitätsdaten von Nutzern betraf.
Laut PIPC waren mehr als 33 Millionen Kunden von der Sicherheitspanne betroffen. Andere Berichte geben die Zahl der betroffenen Personen auf 37,6 Millionen an, was es zu einem der größten Vorfälle mit Datenexposition in der Geschichte des Landes macht. Ermittler sagten, Kundeninformationen seien über einen längeren Zeitraum zugänglich gewesen, bevor das Unternehmen das Problem erkannte.
Die Aufsichtsbehörde kam zu dem Schluss, dass der Vorfall auf unzureichende interne Sicherheitskontrollen zurückzuführen war und nicht auf einen ausgeklügelten externen Angriff. Beamte sagten, ein ehemaliger Mitarbeiter habe den Zugriff auf einen Sicherheitsschlüssel behalten, der einen unbefugten Zugriff auf Kundendaten ermöglichte, auch nach dem Ausscheiden aus dem Unternehmen. Die Ermittler stellten außerdem fest, dass das Unternehmen es versäumt hatte, ungewöhnliche Aktivitäten umgehend zu identifizieren und die Verletzung nicht innerhalb des nach südkoreanischem Recht vorgeschriebenen Berichtszeitraums zu erkennen.
Über den eigentlichen Datenbruch hinaus erklärte die Kommission, dass Coupang illegal Informationen über die Online-Aktivitäten von etwa 11 Millionen Nutzern über seine Marketingsysteme gesammelt habe, ohne die entsprechende Zustimmung einzuholen. Dieses Ergebnis trug maßgeblich zur Gesamtstrafe bei.
Die südkoreanischen Behörden haben zuvor bekannt gegeben, dass die offengelegten Informationen Kundendaten wie Namen, Telefonnummern, E-Mail-Adressen, Lieferinformationen und andere kontobezogene Daten umfassen. Eine von der Regierung unterstützte Untersuchung Anfang dieses Jahres kam zu dem Schluss, dass mehr als 33,6 Millionen Konten offengelegt wurden.
Coupang entschuldigte sich nach der Ankündigung der Aufsichtsbehörde, kritisierte jedoch Aspekte der Entscheidung. Das Unternehmen erklärte, dass seine Bemühungen, weiteren Schaden nach dem Verstoß zu verhindern, in den Feststellungen der Kommission nicht ausreichend widergespiegelt seien, und deutete an, dass es die Entscheidung anfechten könnte.
Die Strafe beträgt laut regulatorischen Berechnungen etwa 1,4 % der Einnahmen von Coupang im Jahr 2025. Das PIPC erklärte, der Fall habe gezeigt, dass Unternehmen, die große Mengen an Kundendaten verarbeiten, Sicherheits- und Überwachungssysteme aufrechterhalten müssen, die dem Umfang ihrer Abläufe entsprechen.