Was der Coupang-Datenleck tatsächlich offengelegt hat: 37 Millionen Nutzer und es werden mehr

Die südkoreanische Kommission für den Schutz personenbezogener Daten (PIPC) hat eine wegweisende Geldstrafe in Höhe von 624,6 Milliarden Won, umgerechnet rund 409 Millionen Dollar, gegen Coupang, die größte E-Commerce-Plattform des Landes, verhängt. Das Bußgeld für den Coupang-Datenleck in Korea ist nun die höchste jemals in der Geschichte des Landes verhängte Datenschutzstrafe und eine der höchsten, die jemals in Asien registriert wurde.

Der Verstoß betraf mehr als 33 Millionen registrierte Coupang-Mitglieder und weitere 4,3 Millionen Nicht-Mitglieder, wodurch sich die Gesamtzahl der betroffenen Personen auf über 37 Millionen erhöht. Zum Vergleich: Südkorea hat eine Bevölkerung von rund 52 Millionen Menschen, was bedeutet, dass der Vorfall einen erheblichen Teil der erwachsenen Bevölkerung des Landes betraf. Zu den offengelegten Daten gehörten Berichten zufolge persönliche Identifikatoren, Kontaktdaten und Kaufhistorien – genau die Art von Informationen, die böswilligen Akteuren genügend Material für Phishing-Angriffe, Credential Stuffing und Identitätsbetrug liefern.

Coupang hat angekündigt, rechtliche Schritte gegen das Bußgeld einleiten zu wollen, was die Bühne für einen langwierigen Regulierungsstreit bereitet, dessen Lösung Jahre dauern könnte. Das Unternehmen bestreitet sowohl die Höhe der Strafe als auch die zugrunde liegenden Feststellungen – eine Reaktion, die zunehmend üblich ist, wenn Regulierungsbehörden neunstellige Datenschutzstrafen verhängen.

Wie sich Koreas Bußgeld mit der DSGVO und US-Bundesstaatenstrafen vergleicht

Die Höhe dieser Strafe lädt unweigerlich zum Vergleich mit Durchsetzungsmaßnahmen in Europa und Nordamerika ein. Nach der Datenschutz-Grundverordnung der Europäischen Union beträgt die maximale Geldstrafe 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens. Das Vorgehen der PIPC gegen Coupang deutet darauf hin, dass die südkoreanischen Regulierungsbehörden bereit sind, Strafen so zu bemessen, dass sie große Plattformen tatsächlich abschrecken, anstatt symbolische Klapse auf die Finger zu erteilen.

In den Vereinigten Staaten ist das Bild fragmentierter. Die bundesstaatliche Durchsetzung durch die FTC ist tendenziell langsamer und stärker von Verhandlungen geprägt. Die Maßnahmen auf Ebene der Bundesstaaten haben jedoch an Fahrt aufgenommen. Die Datenschutzstrafen der US-Bundesstaaten erreichten 2025 einen Rekordwert von 3,425 Milliarden Dollar und übertrafen damit die Summen der vorangegangenen fünf Jahre zusammen, was einen breiteren globalen Wandel hin zur Behandlung von Datenmissmanagement als ernstzunehmende finanzielle Haftung und nicht nur als Compliance-Fußnote widerspiegelt.

Koreas Strafe gegen Coupang sticht hervor, weil sie gegen einen inländischen Marktführer und nicht gegen einen ausländischen Technologieriesen verhängt wurde. Die Regulierungsbehörden in Europa haben ihre höchsten Strafen in der Vergangenheit gegen in den USA ansässige Unternehmen wie Meta und Google verhängt. Wenn die eigene Vorzeige-E-Commerce-Plattform eines Landes eine Rekordstrafe erhält, signalisiert dies, dass die Durchsetzung über schlagzeilenträchtige Fälle hinausreift, die auf ausländische Firmen abzielen.

Warum Unternehmen rekordverdächtige Datenschutzstrafen routinemäßig anfechten und was als Nächstes passiert

Coupangs Entscheidung, die Strafe anzufechten, ist nicht überraschend. Große Regulierungsstrafen vor Gericht anzufechten, ist aus mehreren Gründen gängige Unternehmenspraxis. Erstens verzögert es die finanziellen Auswirkungen, während das Verfahren läuft. Zweitens gelingt es Unternehmen manchmal, den Endbetrag zu reduzieren, sei es, weil Gerichte aus verfahrensrechtlichen Gründen zustimmen oder weil Vergleichsverhandlungen zu einer niedrigeren Summe führen. Drittens signalisiert die rechtliche Anfechtung selbst den Aktionären und Geschäftspartnern, dass sich das Management wehrt, anstatt die Schuld zu akzeptieren.

Dieses Muster zeigt sich wiederholt in hochkarätigen Datenschutzfällen. Nach der Klage Kaliforniens gegen 23andMe wegen eines Datenlecks, das die genetischen Daten von 7 Millionen Nutzern betraf, zogen sich die Gerichtsverfahren weit über die erste Ankündigung hinaus, wobei die endgültige Lösung ein Insolvenzverfahren und einen Vermögensverkauf anstelle einer einfachen Strafzahlung beinhaltete.

Für die Regulierungsbehörden erfüllen angefochtene Strafen dennoch einen Zweck. Selbst wenn Coupang letztendlich einen reduzierten Betrag zahlt, sendet die Schlagzeilenzahl ein Signal an andere große Plattformen, die in Korea tätig sind, dass erhebliches Datenmissmanagement ein echtes finanzielles Risiko birgt. Der Reputationsschaden einer öffentlichen Strafe in dieser Größenordnung wirkt zudem unabhängig vom endgültigen rechtlichen Ausgang abschreckend.

Schritte, die datenschutzbewusste Nutzer nach einem großflächigen Einzelhandelsdatenleck unternehmen können

Wenn Sie zu den 37 Millionen Personen gehören, deren Informationen beim Coupang-Datenleck offengelegt wurden, oder wenn Sie nach einem so hochkarätigen Fall wie diesem einfach Ihre eigene Gefährdung neu bewerten, gibt es konkrete Schritte, die Sie sofort unternehmen sollten.

Ändern Sie Ihre Passwörter. Wenn Sie dasselbe Passwort für mehrere Dienste verwenden, schafft ein Leck bei einem Händler überall ein Risiko. Nutzen Sie einen Passwort-Manager, um einzigartige, komplexe Zugangsdaten für jedes Konto zu verwalten.

Aktivieren Sie die Multi-Faktor-Authentifizierung. Selbst wenn Ihr Passwort offengelegt wurde, macht es MFA Angreifern erheblich schwerer, mit gestohlenen Zugangsdaten auf Ihre Konten zuzugreifen.

Überwachen Sie Ihre Finanzkonten. Datenlecks im Einzelhandel umfassen häufig Kaufhistorien und manchmal auch teilweise Zahlungsdaten. Überprüfen Sie in den kommenden Wochen Bank- und Kreditkartenabrechnungen auf unbekannte Transaktionen.

Seien Sie wachsam gegenüber Phishing. Angreifer, die Ihre Kontaktdaten aus kompromittierten Datenbanken erhalten, setzen oft mit überzeugenden Phishing-E-Mails oder Textnachrichten nach. Seien Sie skeptisch bei unerwarteten Nachrichten, die Sie auffordern, Kontoinformationen zu verifizieren, insbesondere solchen, die ein Gefühl der Dringlichkeit erzeugen.

Fordern Sie Ihre Daten an. Viele Rechtsordnungen, einschließlich Südkorea nach seinem Gesetz zum Schutz personenbezogener Daten, geben Einzelpersonen das Recht, anzufragen, welche Daten ein Unternehmen über sie speichert, und deren Löschung zu verlangen. Wenn Sie ein Coupang-Nutzer sind, besteht dieses Recht unabhängig vom laufenden Rechtsstreit.

Was das für Sie bedeutet

Das Bußgeld für den Coupang-Datenleck in Korea ist nicht nur eine Geschichte über ein einzelnes Unternehmen oder ein einzelnes Land. Es ist Teil eines breiteren Wandels darin, wie Regierungen personenbezogene Daten als schützenswertes Gut mit echter Durchsetzungskraft behandeln. Ob Sie nun auf koreanischen Plattformen einkaufen oder nicht, der Trend ist bedeutsam: Regulierungsbehörden weltweit erhöhen den Einsatz für Unternehmen, die Nutzerinformationen nicht schützen.

Der beste Zeitpunkt, Ihren eigenen digitalen Fußabdruck zu überprüfen, ist jetzt, vor dem nächsten Leck, nicht danach. Das Verständnis Ihrer Rechte gemäß der für Sie geltenden Datenschutzgesetze ist ein praktischer Ausgangspunkt. Für einen breiteren Überblick darüber, wie sich die Durchsetzung in Ihrer Nähe entwickelt, bieten die Daten zu steigenden Datenschutzstrafen auf Ebene der US-Bundesstaaten einen nützlichen Rahmen, um zu verstehen, wohin die regulatorische Dynamik führt.