Am 1. September 2025 verhängte die französische Datenschutzbehörde CNIL gegen die irische SHEIN-Tochter INFINITE STYLES SERVICES CO. LIMITED ein Bußgeld in Höhe von 150 Millionen Euro. Der Grund: SHEIN setzte auf ihrem Online-Shop „shein.com“ Cookies und andere Tracking-Tools ohne wirksame Einwilligung der NutzerInnen ein, informierte diese nicht ausreichend und respektierte die getroffenen Entscheidungen nicht. Dies verstößt gegen die ePrivacy-Richtlinie sowie die Vorgaben der DSGVO zur Einwilligung und Transparenz bei der Nutzung von Cookies.
Die CNIL hob den massiven Umfang der Datenverarbeitung hervor – monatlich besuchen durchschnittlich 12 Millionen Menschen in Frankreich das SHEIN-Angebot. Die Behörde beobachtet den Sektor genau und hat vergleichbare Verstöße in der Vergangenheit wiederholt streng sanktioniert.
Hier kein One-Stop-Shop-Prinzip
Die Entscheidung ist auch für internationale Unternehmen von Bedeutung, da bei grenzüberschreitender Datenverarbeitung das sogenannte One-Stop-Shop-Verfahren greift: Verantwortlich ist dann grundsätzlich die Datenschutzbehörde des Landes, in dem das Unternehmen seine Hauptniederlassung in der EU hat (hier: Irland). Die CNIL war zuständig, obwohl die europäische SHEIN-Gesellschaft in Irland sitzt, weil das Verfahren hier die ePrivacy-Richtlinie (in Deutschland also das TDDDG) betraf, in der es anders als in der DSGVO keinen One-Stop Shop gibt.
Überprüfung Sie Ihre Cookie Banner
Die aktuellen Entwicklungen machen deutlich: Cookie-Banner sind weiterhin im Fokus der Datenschutzaufsichtsbehörden. Regelmäßige Überprüfungen der eigenen Compliance sind unerlässlich, um empfindliche Strafen zu vermeiden. Kommen Sie gerne auf uns zu, wenn wir Ihren Cookie Banner auf die aktuellen Compliance Anforderungen nach DSGVO und TDDDG prüfen sollen.