Coupang: Rekordstrafe von 624,6 Mrd. Won nach Datenleck

Das ist ein Paukenschlag für die ganze Branche: Südkoreas Datenschutzbehörde PIPC brummt dem Amazon-Rivalen Coupang eine Strafe von 624,6 Milliarden Won auf — umgerechnet rund 409 Millionen Dollar. Es ist die höchste Datenschutz-Strafe, die in dem Land je verhängt wurde. Und die Geschichte dahinter liest sich wie ein Lehrbuch für alles, was man falsch machen kann.

EIN Ex-Mitarbeiter, 37 MILLIONEN Datensätze

Der Täter kam nicht von außen. Ein ehemaliger Mitarbeiter, der bei Coupang einst selbst ein alternatives Authentifizierungssystem mitentwickelt hatte, griff nach seinem Ausscheiden auf interne Service-Seiten zu — und zog die Daten von 33,2 Millionen Mitgliedern plus 4,3 Millionen Nicht-Mitgliedern ab. Namen, E-Mail-Adressen, Bestelldaten: insgesamt rund 37,55 Millionen Betroffene.

Möglich machten das laut Behörde eklatante Versäumnisse beim Management von Authentifizierungsschlüsseln und bei den Zugriffskontrollen. Das Urteil der Prüfer fällt vernichtend aus: kein raffinierter Hack, sondern ein „menschengemachtes Desaster“ durch fehlende Grundhygiene.

SCHLIMMER geht immer: Logs gelöscht, Nutzer getrackt

Richtig teuer wurde es durch das Verhalten nach dem Vorfall. Coupang bemerkte den Abfluss nicht selbst — erst als Kunden Drohmails vom Angreifer erhielten und sich beschwerten, flog die Sache auf. Die Pflicht-Benachrichtigung der Betroffenen kam zu spät. Und: Trotz einer behördlichen Aufbewahrungsanordnung löschte das Unternehmen rund fünf Monate an Web-Zugriffsprotokollen.

Obendrauf stellte die PIPC fest, dass Coupang die Online-Aktivitäten von 11,17 Millionen Nutzern auf fremden Diensten ohne Einwilligung erfasst hatte. Das Unternehmen kündigte an, juristisch gegen den Bescheid vorzugehen.

DAS lernst du daraus — auch ohne Millionen-Shop

Der Fall ist ein Weckruf für jede IT-Abteilung und jedes Homelab mit Außenzugang: Insider-Risiken schlagen Firewalls. Wer ein System gebaut hat, kennt seine Schwächen — deshalb gehören beim Offboarding alle Zugänge, API-Keys und Authentifizierungsschlüssel sofort rotiert. Und Logs sind im Ernstfall dein wichtigstes Beweismittel: Wer sie löscht, macht aus einem Vorfall einen Skandal.

FAZIT: Die Ära der Mini-Bußgelder ist vorbei

Bemerkenswert ist die Bemessungsgrundlage: Die Strafe orientiert sich am Umsatz, nicht an symbolischen Festbeträgen — ein Ansatz, den Europas DSGVO seit Jahren kennt und der nun auch in Asien Rekorde schreibt. Für globale Plattformen wird Datenschutz-Schlamperei damit endgültig zum bilanzrelevanten Risiko.

Häufige Fragen

Was ist bei Coupang passiert?

Ein ehemaliger Mitarbeiter nutzte Lücken im Authentifizierungs- und Zugriffsmanagement, um die Daten von rund 37,55 Millionen Menschen abzuziehen — darunter 33,2 Millionen Mitglieder und 4,3 Millionen Nicht-Mitglieder. Coupang bemerkte den Vorfall erst durch Kundenbeschwerden über Drohmails.

Warum ist die Strafe so hoch?

Die 624,6 Milliarden Won sind eine umsatzbasierte Rekordstrafe. Die Behörde wertete den Fall als vermeidbares Organisationsversagen und sah erschwerend, dass Coupang trotz Aufbewahrungsanordnung fünf Monate Zugriffslogs löschte und Nutzer ohne Einwilligung trackte.

Sind auch deutsche oder europäische Kunden betroffen?

Coupang ist vor allem in Südkorea aktiv, betroffen sind primär dortige Kunden. Der Fall ist für Europa trotzdem relevant: Er zeigt, dass umsatzbasierte Datenschutz-Strafen nach DSGVO-Vorbild inzwischen weltweit verhängt werden.

Was kann ich als Admin konkret mitnehmen?

Offboarding ernst nehmen: Zugänge, API-Keys und Auth-Schlüssel beim Ausscheiden von Mitarbeitern sofort sperren und rotieren. Zugriffe auf sensible Systeme protokollieren, Logs revisionssicher aufbewahren und Anomalie-Erkennung nicht erst nach dem Vorfall einführen.

Quellen:

REKORD-STRAFE! 409 Millionen Dollar für Mega-Datenleck — ein Ex-Mitarbeiter räumte 37 Millionen Kundendaten ab