Allein in Frankreich besuchen laut der französische Datenschutzaufsicht (CNIL) rund zwölf Millionen Nutzer pro Monat die Plattform „shein.com“. Das Unternehmen zählt insofern zu den weltweit größten Onlinehändlern für Mode und Accessoires und stand in der Vergangenheit insbesondere aufgrund seiner Vermarktung von Fast-Fashion in der Kritik. Diesmal richten sich die negativen Schlagzeilen allerdings gegen einen vorgeworfenen Datenschutzverstoß. Die CNIL hat die irische SHEIN-Tochter INFINITE STYLES SERVICES CO. LIMITED nämlich am 01.09.2025 zu einem Bußgeld von 150 Millionen Euro verurteilt. Anlass war der Einsatz von Cookies auf der Website „shein.com“, der ohne Einwilligung der Nutzer erfolgt sein soll. Hierin sah die Aufsichtsbehörde einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO).
Weiterlesen: 150 Millionen Euro Bußgeld gegen SHEINHintergrund des Verfahrens
Bei Shein handelt es sich um einen Fast-Fashion-Anbieter, der global Mode, Accessoires und Dekoartikel versendet. Bereits Anfang des Jahres hatte die Bürgerrechtsorganisation noyb unteranderem gegen SHEIN in Österreich eine Datenschutzbeschwerde eingereicht, da das Unternehmen europarechtswidrig personenbezogene Daten nach China übermitteln soll.
Dem jetzt verhängten Bußgeld liegt allerdings eine Untersuchung der chinesischen Website von August 2023 zu einem anderen Thema zugrunde. Dabei soll die CNIL schwerwiegende Verstöße gegen die Vorgaben des französischen Datenschutzrechts, insbesondere Art. 82 des Datenschutzgesetzes, festgestellt haben.
Auf dieser Grundlage leitete der Sanktionsausschuss der Behörde ein Verfahren zur Verhängung eines Bußgeldes ein. Laut der Stelle greife hier der One-Stop-Shop-Mechanismus nicht, nachdem eigentlich die irische Datenschutzbehörde (DPC) federführend für SHEIN ist. Vielmehr ergebe sich die Zuständigkeit für die CNIL daraus, dass Verfahren zu Cookies unter den Anwendungsbereich der ePrivacy-Richtlinie fielen.
Verletzungen der Cookie-Regeln
Die CNIL beanstandete mehrere Praktiken, die den rechtlichen Datenschutzanforderungen widersprechen würden. So seien Cookies, insbesondere auch solche mit Werbezwecken, unmittelbar beim Aufruf der Seite auf den Endgeräten der Nutzer platziert worden, ohne dass zuvor eine wirksame Einwilligung eingeholt worden sei.
Zwar habe die Website Cookie-Banner eingeblendet, diese hätten jedoch nicht die gesetzlichen Vorgaben erfüllt. Das erste Banner habe zwar die erforderliche Auswahl zwischen „Alle akzeptieren“ und „Alle ablehnen“ geboten, aber keine Hinweise zu den mit den Cookies verbundenen Werbezwecken gegeben. Eine zweite Einblendung habe sogar nur die Möglichkeit zur Zustimmung vorgesehen.
Zudem hätten auch hier Informationen zu den Verwendungszwecken gefehlt. Vollständige Informationen zu Drittanbieter-Cookies seien auch auf der zweiten Ebene, nachdem man auf „Cookie-Einstellungen“ klickt, nicht vorhanden gewesen.
Zuletzt kritisiert die CNIL, dass selbst nach einem Klick auf „Alle ablehnen“ oder einem Widerruf Cookies weiterhin platziert oder verweilen würden.
Höhe des Bußgeldes
In Anbetracht des Datenschutzverstoßes verhängte die CNIL schließlich ein Bußgeld in Höhe von 150 Millionen Euro gegen SHEIN. Maßgeblich für die Höhe sei zunächst laut der Pressemitteilung der CNIL die Reichweite des Verstoßes durch Nichteinholung von Einwilligungen, Missachtung der Entscheidungen der Nutzer und Nichtbefolgung von Informationspflichten gewesen. Im Übrigen habe die Behörde seit 2020 wiederholt vergleichbare Verstöße geahndet und seine Entscheidungen auch veröffentlicht. Zuletzt sei auch die Höhe der Nutzerzahl und die Bedeutung des Unternehmens in der Branche miteinbezogen worden.
Reaktion von SHEIN
Laut heise online soll SHEIN sich bereits zur Entscheidung der CNIL geäußert haben. Das Versandunternehmen habe hiernach erklärt, dass das Bußgeld „völlig unverhältnismäßig“ sei. Das Unternehmen habe bereits Berufung angekündigt.
Fazit
Das 150 Millionen Euro Bußgeld der CNIL gegen SHEIN verdeutlicht die Anforderungen an Cookie-Management und Nutzertransparenz. Unternehmen sollten sicherstellen, dass ihre Einwilligungsmechanismen den rechtlichen Vorgaben vollumfänglich entsprechen und technisch korrekt umgesetzt sind. Hierzu gehört insbesondere sicherzustellen, dass Cookies nicht ohne freiwillige Einwilligung platziert werden. Für die Unternehmenspraxis ist daher entscheidend, Datenschutz-Compliance nicht als formale Pflicht zu behandeln, sondern als strategische Voraussetzung für Vertrauen und nachhaltigen Geschäftserfolg.
