Shein: Irische Datenschutzbehörde leitet Untersuchung ein

Im Zentrum steht der Umgang mit europäischen Nutzerdaten und deren Transfer nach China.

DUBLIN. Die irische Datenschutzkommission (DPC) gab am 5. Mai 2026 bekannt, dass sie ein förmliches Verfahren gegen die Infinite Styles Services Co. Ltd. eröffnet hat – die in Dublin ansässige Gesellschaft, die als Shein Ireland firmiert. Die Untersuchung konzentriert sich auf die Praktiken des Unternehmens bei der Übermittlung personenbezogener Daten von EU- und EWR-Bürgern nach China.

Der Fall Shein verdeutlicht, wie schnell internationale Datentransfers in den Fokus der Behörden geraten können. Dieser kostenlose Leitfaden zeigt Ihnen in 5 konkreten Schritten, wie Sie die DSGVO-Vorgaben in Ihrem Unternehmen rechtssicher umsetzen. Schritt-für-Schritt-Anleitung zur DSGVO-Umsetzung kostenlos herunterladen

Der Regulierer bestätigte, dass Shein bereits am 30. April 2026 offiziell über die Entscheidung informiert wurde. Als federführende Aufsichtsbehörde für Sheins Geschäfte in der Europäischen Union prüft die DPC, ob das Unternehmen seit der Eröffnung seiner EMEA-Zentrale in Irland im Jahr 2023 seine Verpflichtungen gemäß der Datenschutz-Grundverordnung (DSGVO) erfüllt hat.

Prüfung der Datentransfer-Regeln

Die Untersuchung umfasst mehrere Kernbereiche der DSGVO. Laut DPC wird geprüft, ob Shein Artikel 5 einhält, der die Grundsätze für die Verarbeitung personenbezogener Daten legt – darunter Rechtmäßigkeit, Transparenz und Fairness. Zudem steht Artikel 13 im Fokus, der vorschreibt, welche Informationen Unternehmen den Betroffenen bei der Datenerhebung zur Verfügung stellen müssen.

Ein zentraler Punkt ist Kapitel V der DSGVO, das die Übermittlung personenbezogener Daten in Drittländer regelt. Demnach müssen Daten, die außerhalb der EU oder des EWR übertragen werden, ein Schutzniveau erhalten, das dem innerhalb des Binnenmarkts im Wesentlichen gleichwertig ist. Da die EU-Kommission für China keinen Angemessenheitsbeschluss erlassen hat, muss Shein auf alternative Sicherungsmaßnahmen wie Standardvertragsklauseln zurückgreifen – und nachweisen, dass diese in der Praxis auch wirksam sind.

Vizekommissar Graham Doyle betonte, der Schutz personenbezogener Daten bleibe eine strategische Priorität, sobald diese die europäischen Grenzen überschreiten. Er verwies auf jüngste Maßnahmen der DPC sowie auf Beschwerden bei anderen europäischen Aufsichtsbehörden, die den Datentransfer nach China verstärkt in den Fokus gerückt hätten. Die Kommission werde während des gesamten Verfahrens eng mit ihren Partnerbehörden in der EU zusammenarbeiten.

Shein verteidigt sich

Shein reagierte umgehend auf die Ankündigung. Das Unternehmen nehme seine Datenschutzverpflichtungen äußerst ernst, hieß es in einer Stellungnahme. Man stehe voll und ganz zur Einhaltung der DSGVO und aller geltenden Datenschutzgesetze. Die Sicherheit der Kundendaten habe für das Geschäft oberste Priorität.

Weiter betonte der Modehändler, dass man in den vergangenen Monaten bereits aktiv mit der irischen Regulierungsbehörde zusammengearbeitet habe. Shein verwies auf mehrere laufende Initiativen, die das Engagement für hohe Datenschutzstandards widerspiegelten. Man freue sich darauf, diese Arbeit im Rahmen des formellen Verfahrens zu präsentieren.

Der Untersuchung vorausgegangen war eine Beschwerde der europäischen Datenschutzorganisation Noyb vom Januar 2025. Diese war ursprünglich bei den italienischen Behörden eingereicht worden und hatte Bedenken an Sheins Datenübertragungsmechanismen geäußert. Die DPC stellte keinen direkten Zusammenhang her, räumte aber ein, dass die Untersuchung breitere regulatorische Bedenken in der gesamten EU widerspiegele.

Wachsender regulatorischer Druck

Das DPC-Verfahren ist Teil eines zunehmenden Netzes an Regulierung, das sich über Shein im europäischen Markt zusammenzieht. Bereits im Frühjahr verschärfte die EU-Kommission ihre Aufsicht über das Unternehmen im Rahmen des Digital Services Act (DSA). Am 16. Februar 2026 eröffnete die Kommission ein formelles Verfahren gegen Shein wegen möglicher Verstöße – darunter „süchtig machende Design-Features“ und die Intransparenz seiner Empfehlungssysteme. Die Untersuchung betrifft auch die Systeme, mit denen Shein den Verkauf illegaler Produkte in der EU verhindern soll, darunter Inhalte, die Kindesmissbrauch darstellen könnten.

Die Dokumentation von Datenflüssen ist für die Compliance entscheidend, da Lücken im Verarbeitungsverzeichnis Bußgelder von bis zu 2 % des Jahresumsatzes nach sich ziehen können. Eine kostenlose Excel-Vorlage hilft Verantwortlichen dabei, diese Dokumentationspflicht zeitsparend und rechtssicher zu erfüllen. Gratis Muster-Verarbeitungsverzeichnis und Anleitung anfordern

Die DSA-Verfahren folgten auf Sheins Einstufung als „sehr große Online-Plattform“ (VLOP) am 26. April 2024. Dieser Status gilt für Plattformen mit mehr als 45 Millionen monatlichen Nutzern in der Union und unterwirft das Unternehmen den höchsten Sorgfalts- und Risikobewertungspflichten des EU-Digitalrechts.

Der aktuelle Fokus der DPC auf Datentransfers nach China spiegelt frühere Durchsetzungsmaßnahmen gegen andere große Technologieunternehmen wider. In den vergangenen Jahren verhängte die irische Regulierungsbehörde DSGVO-Strafen in Höhe von über vier Milliarden Euro. Erst im vergangenen Jahr belegte die Kommission die Social-Media-Plattform TikTok mit einer Geldbuße von mehr als 500 Millionen Euro wegen Bedenken zum Schutz von Nutzerdaten und ordnete die Aussetzung von Datentransfers nach China an – eine Entscheidung, die vor den irischen Gerichten weiterhin angefochten wird.

Was das für den Online-Handel bedeutet

Der Ausgang der DPC-Untersuchung könnte weitreichende Folgen haben – insbesondere für hochvolumige, grenzüberschreitende E-Commerce-Plattformen und deren Umgang mit europäischen Nutzerdaten. Stellt die Behörde Verstöße gegen die DSGVO fest, kann sie empfindliche Geldstrafen verhängen oder Änderungen an den Datenverarbeitungs- und Transfermethoden des Unternehmens anordnen.

Für Shein, das 2012 in China gegründet wurde, aber heute seinen Hauptsitz in Singapur hat, ist die Dubliner Untersuchung ein entscheidender Test. Kann der Mode-Riese seine globalen Abläufe mit den strengen Standards des europäischen Binnenmarkts in Einklang bringen? Juristen beobachten, dass der Fall eine breitere Anstrengung der europäischen Regulierungsbehörden widerspiegelt: Das rasante Wachstum von Ultra-Fast-Fashion und globalem E-Commerce darf nicht auf Kosten des Verbraucherdatenschutzes und der Datensouveränität gehen.

Im Laufe der Untersuchung wird die DPC mit dem Netzwerk für Verbraucherschutz (CPC Network) und anderen nationalen Behörden zusammenarbeiten, um Sheins systemische Sicherungsmaßnahmen zu bewerten. Ein festgelegter Abschlusstermin für das Verfahren existiert nicht – die Dauer hängt von der Komplexität der Datenflüsse und dem Kooperationswillen des Unternehmens ab.

de | wirtschaft | 69286734 |