Südkorea verhängt Rekordstrafe von 409 Millionen Dollar gegen Coupang nach massivem Datenleck mit 33 Millionen betroffenen Nutzern

Der Vorfall

Ein ehemaliger Angestellter, ein chinesischer Staatsangehöriger, stahl einen kryptografischen Signaturschlüssel und nutzte ihn, um fast fünf Monate lang, von Juni bis November 2025, von Übersee-Servern aus auf Kundendaten zuzugreifen. Der Vorfall legte Namen, E-Mail-Adressen, Telefonnummern, Lieferadressen und Bestellverläufe von mehr als 33,7 Millionen Kundenkonten offen – etwa zwei Drittel der Bevölkerung Südkoreas. Zahlungsdaten wurden nach Angaben nicht kompromittiert.

Coupang entdeckte die verdächtigen Aktivitäten erstmals am 18. November 2025, benachrichtigte die Behörden jedoch erst 48 Stunden später und verpasste damit das gesetzlich vorgeschriebene 24-Stunden-Meldezeitfenster. Diese Verzögerung wurde nach Angaben der Personal Information Protection Commission (PIPC) zu einem zentralen Faktor für die Schwere der Strafe.

Behördliche Feststellungen und die Rekordstrafe

Die PIPC verhängte eine Gesamtstrafe von 624,7 Milliarden Won (etwa 409 Millionen Dollar), bestehend aus 423,6 Milliarden Won für den Vorfall selbst und 201,1 Milliarden Won für die unbefugte Erfassung von Online-Aktivitätsaufzeichnungen von 11,17 Millionen Nutzern, die auf Dienste außerhalb der Coupang-Plattform zugegriffen hatten. Eine separate Geldstrafe von 248 Millionen Won wurde gegen Coupang Fulfillment Services verhängt. Die Gesamtsumme übertraf den bisherigen südkoreanischen Rekord von 134,8 Milliarden Won, der gegen SK Telecom verhängt worden war, bei weitem.

Dieser Vorfall ereignete sich aufgrund von Coupangs mangelnden Sicherheitsmaßnahmen und -systemen, nicht aufgrund hochentwickelter Hacking-Angriffe.

Die Behörde stellte fest, dass Coupang es versäumte, betroffene Personen zu informieren, offengelegte Daten nicht löschte, die Unabhängigkeit seines Datenschutzbeauftragten nicht gewährleistete und die Untersuchung zu behindern versuchte.

Coupangs Reaktion und unternehmerische Folgen

Coupang entschuldigte sich für die verursachte Besorgnis, bedauerte jedoch, dass seine proaktiven Maßnahmen und Erklärungen in dem Urteil „nicht ausreichend berücksichtigt“ worden seien. Das Unternehmen kündigte an, die Strafe gerichtlich anzufechten. CEO Park Dae‑jun trat im Dezember 2025 zurück, und noch im selben Monat kündigte das Unternehmen einen Entschädigungsplan in Höhe von insgesamt 1,69 Billionen Won (1,17 Milliarden Dollar) in Form von plattformexklusiven Gutscheinen für betroffene Kunden an.

Diplomatische Spannungen mit Washington

Coupang hat seinen Hauptsitz in Seattle, Vereinigte Staaten, erwirtschaftet aber den Großteil seiner Einnahmen in Südkorea. Die Untersuchung zog Vorwürfe von US-Republikanern nach sich, dass Seouls Ermittlungen „diskriminierende regulatorische Maßnahmen“ gegen US-Unternehmen darstellten. Südkoreanische Abgeordnete reagierten mit einem gemeinsamen Brief, der von fast 100 Politikern unterzeichnet wurde und Bedenken über „unangemessenen Druck“ von US-Politikern äußerte, was dem Datenschutzfall eine diplomatische Dimension verlieh.

Finanzielles Gewicht der Strafe

Die Strafe entspricht fast dem Betriebsgewinn von 473 Milliarden Won (473 Millionen Dollar), den Coupang im vergangenen Jahr auswies. Zum Vergleich: Die irische Datenschutzkommission verhängte 2021 eine Geldstrafe von 306 Millionen Dollar gegen Meta, nachdem weltweit die Daten von 533 Millionen Nutzern offengelegt worden waren.