150 Mio. € Strafe für SHEIN: Ist Ihr Cookie-Banner eine tickende Zeitbombe?

Die französische Datenschutzbehörde (CNIL) hat ein Exempel statuiert und den Online-Modegiganten SHEIN mit einem Bußgeld von 150 Millionen Euro belegt. Der Grund: ein systematischer und schwerwiegender Verstoß gegen die Cookie-Regeln der ePrivacy-Richtlinie. Das Urteil vom 1. September 2025 (Az. SAN-2025-005) ist eine der höchsten Strafen, die je für Cookie-Verstöße verhängt wurden, und ein unmissverständliches Warnsignal für die gesamte E-Commerce-Branche.

Der Fall: Ein Cookie-Banner, der auf ganzer Linie versagte

Die CNIL führte eine Untersuchung der Website shein.com durch und deckte eine ganze Reihe von Verstößen auf. SHEIN argumentierte, dass die irische Datenschutzbehörde zuständig sei, da es sich um eine grenzüberschreitende Datenverarbeitung unter der DSGVO handle. Die CNIL wies dies zurück und betonte, dass Cookie-Regeln unter die ePrivacy-Richtlinie fallen, für die es keinen „One-Stop-Shop“-Mechanismus gibt. Die Existenz einer französischen Niederlassung reichte aus, um die Zuständigkeit der CNIL zu begründen.

Die Entscheidung der Behörde: Ein Lehrbuchbeispiel für Non-Compliance

Die CNIL stellte fest, dass SHEINs Umgang mit Cookies in fast jeder Hinsicht rechtswidrig war. Die zentralen Verstöße sind eine Blaupause für die häufigsten Fehler bei der Implementierung von Consent-Management-Plattformen:

1. Cookies wurden VOR der Einwilligung gesetzt: Schon beim Aufrufen der Startseite wurden mehrere Cookies, darunter auch Werbe-Cookies, auf dem Gerät des Nutzers platziert, bevor dieser überhaupt mit dem Banner interagieren konnte. Dies ist ein fundamentaler Verstoß gegen das Prinzip der vorherigen Einwilligung.
2. Die Einwilligung war NICHT informiert: Der Cookie-Banner war vage und unvollständig. Nutzer wurden nicht klar über die Zwecke der Cookies oder die Identität der Drittanbieter informiert. Zudem erzeugte die gleichzeitige Anzeige eines Banners und eines Pop-up-Fensters Verwirrung und verhinderte eine informierte Entscheidung.
3. Die Ablehnung war NICHT wirksam: Selbst wenn ein Nutzer auf „Alle ablehnen“ klickte oder seine Einwilligung später widerrief, setzte die Website weiterhin Cookies. Die Wahl des Nutzers wurde technisch schlicht ignoriert, was die gesamte Consent-Abfrage ad absurdum führte.

Die Höhe des Bußgeldes wurde mit der Schwere und der Vielzahl der Verstöße sowie der zentralen Marktposition von SHEIN (durchschnittlich 12 Millionen monatliche Besucher in Frankreich) begründet.

Was bedeutet das Urteil für Ihr Unternehmen?

• ePrivacy-Verstöße sind teuer und national verfolgbar: Das Urteil macht deutlich, dass nationale Datenschutzbehörden bei Cookie-Verstößen eigenständig und mit voller Härte agieren können. Der „One-Stop-Shop“ der DSGVO bietet hier keinen Schutz.
• „Ablehnen“ muss auch wirklich „Ablehnen“ bedeuten: Die technische Umsetzung ist entscheidend. Ein „Ablehnen“-Button, der keine Funktion hat, ist nicht nur nutzerunfreundlich, sondern ein schwerwiegender Rechtsverstoß. Regelmäßige technische Audits Ihrer Consent-Lösung sind unerlässlich.
• Transparenz ist nicht verhandelbar: Eine vage Beschreibung wie „zur Verbesserung Ihres Erlebnisses“ reicht nicht aus. Sie müssen die Zwecke klar benennen und die Drittanbieter auflisten, die Cookies setzen.
• Bußgelder richten sich nach der Konzernmacht: Die CNIL hat bei der Bemessung des Bußgeldrahmens auf das Konzept des „Unternehmens“ im Sinne des Wettbewerbsrechts zurückgegriffen. Das bedeutet, der weltweite Umsatz der Muttergesellschaft wird zur Berechnung herangezogen, nicht nur der der lokalen Tochterfirma.

FAQ: Cookies & ePrivacy – Was Sie jetzt wissen müssen

• Was ist der Unterschied zwischen der ePrivacy-Richtlinie und der DSGVO?
  Die ePrivacy-Richtlinie (oft als „Cookie-Gesetz“ bezeichnet) regelt speziell den Schutz der Privatsphäre in der elektronischen Kommunikation, einschließlich des Setzens von Cookies. Die DSGVO regelt die allgemeine Verarbeitung personenbezogener Daten. Beide gelten parallel.
• Was sind die Kernanforderungen für einen rechtskonformen Cookie-Banner?
  
  • Keine nicht-essenziellen Cookies vor der aktiven Einwilligung. 2. Klare und verständliche Informationen über Zwecke und Anbieter. 3. Eine ebenso einfache Möglichkeit zum Ablehnen wie zum Akzeptieren. 4. Die technische Umsetzung muss die Wahl des Nutzers respektieren.
• Reicht es, wenn mein Consent-Tool-Anbieter sagt, er sei konform?
  Nein. Als Website-Betreiber sind Sie der primäre Verantwortliche. Sie müssen die korrekte Konfiguration und technische Funktion des Tools sicherstellen und regelmäßig überprüfen.
• Welche Cookies benötigen keine Einwilligung?
  Nur solche, die für die Grundfunktion der Website oder einen vom Nutzer ausdrücklich angeforderten Dienst technisch zwingend erforderlich sind (z.B. der Warenkorb-Cookie).
• Wo erhalte ich Unterstützung bei der Prüfung meines Cookie-Banners?
  Unterstützung bei der Prüfung deines Cookie-Banners bekommst du über unser Kontaktformular auf sofortdatenschutz.de/kontakt.

Fazit: Ein Weckruf zur technischen und rechtlichen Sorgfalt

Der Fall SHEIN ist mehr als nur ein weiteres hohes Bußgeld. Er ist eine detaillierte Analyse dessen, was bei der Einholung von Nutzer-Einwilligungen alles falsch laufen kann. Die Entscheidung der CNIL zeigt, dass die Zeit der oberflächlichen „Cookie-Banner-Kosmetik“ vorbei ist. Behörden schauen tief in die technische Implementierung und sanktionieren Mängel mit einer Härte, die für Unternehmen existenzbedrohend sein kann. Jede Firma ist nun aufgefordert, ihre eigenen Praktiken nicht nur auf rechtliche, sondern auch auf technische Konformität zu überprüfen.