Die südkoreanische Personal Information Protection Commission (PIPC) gab am 25. Juni bekannt, dass sie gegen die Kryptowährungsbörse Bithumb eine Geldstrafe in Höhe von 210 Millionen Won verhängt hat. Grund dafür ist, dass Bithumb in zwei Geschäftsszenarien – der gemeinsamen Nutzung des Orderbuchs und der Übertragung virtueller Vermögenswerte – gegen die Vorschriften zur grenzüberschreitenden Übermittlung personenbezogener Daten aus dem Gesetz zum Schutz personenbezogener Daten verstoßen hat. Die Verstöße bei der gemeinsamen Nutzung des Orderbuchs wurden mit 120 Millionen Won belegt, die Verstöße bei der AML-Übertragung virtueller Vermögenswerte mit 90 Millionen Won.
Geldstrafe in Höhe von 120 Millionen Won für gemeinsame Nutzung des Orderbuchs: Einwilligungsziel war Stellar, Daten tatsächlich an BingX übermittelt
Die Untersuchung der PIPC resultierte aus Fragen, die bei der parlamentarischen Prüfung im letzten Jahr (2025) aufgeworfen wurden. Die Untersuchung ergab, dass Bithumb zwischen September und November 2025 bei der gemeinsamen Nutzung des Orderbuchs für den Tether (USDT)-Markt mit ausländischen Börsen personenbezogene Daten grenzüberschreitend übermittelt hat.
Der konkrete Verstoß: Die Nutzer wurden aufgefordert, einer gesonderten Übermittlung ihrer personenbezogenen Daten an die Stellar-Börse zuzustimmen. Die Untersuchungsergebnisse zeigten jedoch, dass die Mitgliedsnummern und Auftragsinformationen tatsächlich an ein von einer anderen Börse betriebenes System (bingx.com) übermittelt wurden, und nicht an den in der Einwilligungserklärung der Nutzer genannten Empfänger. Die PIPC verhängte für diesen Verstoß eine Geldstrafe in Höhe von 120 Millionen Won.
Verstoß bei AML-Übertragung virtueller Vermögenswerte: Weitergabe personenbezogener Daten an 13 ausländische Börsen ohne gesonderte Einwilligung
Die Untersuchung ergab zudem, dass Bithumb zur Erfüllung seiner Anti-Geldwäsche-Verpflichtungen (AML) bei der Übertragung virtueller Vermögenswerte an ausländische Börsen die Namen, Wallet-Adressen und weitere Details von Sendern und Empfängern an 13 ausländische Börsen weitergegeben hat. Dabei wurden jedoch die gesetzlichen Anforderungen zur grenzüberschreitenden Übermittlung gemäß dem Gesetz zum Schutz personenbezogener Daten, einschließlich der Einholung einer gesonderten Einwilligung der betroffenen Personen, nicht vollständig erfüllt. Die PIPC verhängte für diesen Verstoß eine Geldstrafe in Höhe von 90 Millionen Won.
Die PIPC erklärte: „Wir erkennen zwar an, dass die Übermittlung personenbezogener Daten zur Bekämpfung der Geldwäsche erforderlich sein kann, doch die grenzüberschreitende Übermittlung personenbezogener Daten steht in engem Zusammenhang mit dem Selbstbestimmungsrecht der betroffenen Personen und muss daher strikt den gesetzlichen Anforderungen und Verfahren entsprechen."
Die Personal Information Protection Commission veröffentlicht den Leitfaden zum Schutz personenbezogener Daten bei Blockchain-Diensten
Auf der Grundlage dieser Untersuchung hat die PIPC den Leitfaden zum Schutz personenbezogener Daten bei Blockchain-Diensten erstellt, der auf die Merkmale der Blockchain-Technologie zugeschnitten ist. Er umfasst Schutzmaßnahmen für drei technische Merkmale: Maßnahmen zur Verhinderung von Offenlegung und Nachverfolgung von On-Chain-Informationen aufgrund von Transparenz; Maßnahmen zur Verwaltung des Informationsaustauschs zwischen Teilnehmern aufgrund von Dezentralisierung; sowie einen Compliance-Pfad für die Löschung personenbezogener Daten aufgrund von Unveränderlichkeit.
Häufig gestellte Fragen
Wie genau war der Verstoß von Bithumb bei der gemeinsamen Nutzung des Orderbuchs?
Zwischen September und November 2025 verlangte Bithumb bei der gemeinsamen Nutzung des USDT-Markt-Orderbuchs, dass die Nutzer einer gesonderten Übermittlung ihrer Daten an die Stellar-Börse zustimmen. Die Untersuchung ergab jedoch, dass die Mitgliedsnummern und Auftragsinformationen tatsächlich an das von bingx.com betriebene System übermittelt wurden, was nicht mit dem in der Einwilligungserklärung der Nutzer genannten Empfänger übereinstimmte. Die PIPC verhängte dafür eine Geldstrafe in Höhe von 120 Millionen Won.
Kann der AML-Geschäftszweck von den Compliance-Anforderungen zur grenzüberschreitenden Übermittlung des Gesetzes zum Schutz personenbezogener Daten befreien?
Laut dieser Geldstrafe der PIPC befreit der AML-Geschäftszweck nicht automatisch von den rechtlichen Anforderungen an die grenzüberschreitende Übermittlung. Die PIPC stellte klar, dass selbst bei der Übermittlung personenbezogener Daten zur Bekämpfung der Geldwäsche die einschlägigen rechtlichen Anforderungen und Verfahren des Gesetzes zum Schutz personenbezogener Daten strikt eingehalten werden müssen, einschließlich der Einholung einer gesonderten Einwilligung der betroffenen Personen.
Für welche drei technischen Merkmale wurden im Leitfaden zum Schutz personenbezogener Daten bei Blockchain-Diensten Schutzmaßnahmen entwickelt?
Der Leitfaden adressiert drei Hauptmerkmale der Blockchain-Technologie: (1) Transparenz – Verhinderung von Offenlegung und Nachverfolgung aufgrund öffentlicher On-Chain-Informationen; (2) Dezentralisierung – Regelung des Informationsaustauschmechanismus zwischen Teilnehmern; (3) Unveränderlichkeit – Festlegung eines Compliance-Weges zur Löschung personenbezogener Daten.
