Shein: Irland leitet Daten-Transfer-Prüfung nach China ein

Die irische Datenschutzkommission (DPC) hat ein weitreichendes Verfahren gegen den chinesischen Mode-Riesen Shein eröffnet. Im Zentrum steht die Frage, ob die persönlichen Daten von Millionen europäischer Kunden beim Transfer nach China ausreichend geschützt sind.

Die Behörde mit Sitz in Dublin prüft, ob Shein seine Verpflichtungen aus der Datenschutz-Grundverordnung (DSGVO) erfüllt. Konkret geht es um die Übermittlung von Nutzerdaten auf Server in China. Sheins Europa-Zentrale für die Region EMEA (Europa, Naher Osten, Afrika) liegt in der irischen Hauptstadt – und damit in der direkten Zuständigkeit der DPC.

Der Fall Shein verdeutlicht, wie schnell internationale Datentransfers und Dokumentationslücken zum juristischen Risiko werden können. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis rechtssicher zu erstellen und teure Bußgelder zu vermeiden. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

„Strategische Priorität“ für die Behörde

Der Schritt kommt nicht überraschend. Bereits im Januar 2025 hatte die europäische Datenschutzorganisation noyb eine formelle Beschwerde eingereicht. Der Vorwurf: Shein informiere seine Nutzer nicht ausreichend darüber, welche rechtlichen Mechanismen beim Datentransport greifen. Zudem wies die Gruppe auf Risiken durch chinesische Sicherheitsgesetze hin, die Unternehmen verpflichten können, staatlichen Stellen Zugriff auf gespeicherte Daten zu gewähren.

DPC-Vizedirektor Graham Doyle bezeichnete die Untersuchung als „hohe strategische Priorität“. Die Behörde will klären, ob Shein gleichwertige Schutzmaßnahmen für außerhalb der EU verarbeitete Daten bietet – wie es das Gesetz verlangt. Da China kein Angemessenheitsbeschluss der EU-Kommission vorliegt, müsste das Unternehmen strenge Zusatzregeln wie Standardvertragsklauseln (SCCs) umsetzen.

Shein selbst betonte auf Anfrage, man nehme den Datenschutz „mit größtem Ernst“ und arbeite bereits seit Monaten eng mit der irischen Behörde zusammen. Das Unternehmen sei entschlossen, die vollständige Einhaltung der DSGVO zu gewährleisten.

Vorbelastet: Frankreich verhängte 150 Millionen Euro Strafe

Es ist nicht das erste juristische Problem für Shein in Europa. Bereits Ende 2025 hatte die französische Datenschutzbehörde CNIL eine Rekordstrafe von 150 Millionen Euro gegen die irische Shein-Tochter verhängt.

Grund: Die Ermittler fanden heraus, dass Werbe-Tracker und Cookies ohne gültige Einwilligung der Nutzer gesetzt wurden. Besonders perfide: Shein setzte laut CNIL auf sogenannte „Dark Patterns“ – irreführende Design-Tricks, die es Nutzern deutlich schwerer machten, das Tracking abzulehnen als es zu akzeptieren. Allein aus Frankreich verzeichnet die Plattform rund 12 Millionen Besucher pro Monat.

Die Summe der Strafe spiegelt laut CNIL Sheins dominante Marktstellung und das enorme Datenvolumen wider.

Doppelte Belastung durch Digital Services Act

Lücken in der DSGVO-Dokumentation können Unternehmen bis zu 2 % des Jahresumsatzes kosten – ein Risiko, das viele Firmen im digitalen Wettbewerb unterschätzen. Erfahren Sie in diesem kostenlosen Ratgeber, welche Pflichtfelder bei einer Prüfung durch Behörden oft übersehen werden. Experten-Anleitung zum rechtssicheren Verarbeitungsverzeichnis sichern

Doch der Druck auf Shein kommt nicht nur von der Datenschutzseite. Seit April 2024 gilt der Modehändler offiziell als „sehr große Online-Plattform“ (VLOP) nach dem EU-Digitalgesetz (DSA). Grund: Shein meldete über 108 Millionen durchschnittliche monatliche Nutzer in der EU. Damit untersteht das Unternehmen nun der direkten Aufsicht der EU-Kommission – und den strengsten Transparenz- und Sicherheitsauflagen.

Im Februar 2026 leitete die Kommission dann ein formelles Verfahren gegen Shein ein. Die Vorwürfe wiegen schwer:

• Süchtig machende Design-Elemente wie Belohnungssysteme für Interaktion
• Undurchsichtige Algorithmen bei Produktempfehlungen
• Illegale Produkte auf dem Marktplatz, insbesondere mit Blick auf den Schutz Minderjähriger

Sollte die Kommission zu dem Schluss kommen, dass Shein seine systemischen Risiken nicht ausreichend in den Griff bekommt, drohen Strafen von bis zu sechs Prozent des weltweiten Jahresumsatzes. Die laufende DSGVO-Untersuchung der Iren könnte zusätzliche Strafen von bis zu vier Prozent nach sich ziehen.

Präzedenzfall für chinesische Firmen in Europa

Die DPC-Untersuchung könnte weitreichende Folgen haben – nicht nur für Shein. Analysten beobachten, dass die Behörde genau prüft, ob das Dublin-Büro tatsächlich als eigenständige Entscheidungszentrale für europäische Daten fungiert oder lediglich als Durchlaufstation für Informationen in die chinesische Muttergesellschaft.

Die Ermittler werden formelle Auskunftsersuchen stellen und möglicherweise Vor-Ort-Prüfungen durchführen. Untersucht werden sowohl die technischen Sicherheitsvorkehrungen als auch die rechtliche Dokumentation der Datentransfers.

Sollte die DPC zu dem Schluss kommen, dass die Übermittlungen nach China rechtswidrig sind, könnte Shein gezwungen sein, alle europäischen Nutzerdaten innerhalb der EU zu speichern – oder eine komplett neue Infrastruktur aufzubauen, die den Zugriff der chinesischen Mutter verhindert. Für ein Geschäftsmodell, das auf globale Integration und datengetriebene Lieferketten setzt, wäre das eine enorme Herausforderung.

Der Europäische Datenschutzausschuss (EDPB) drängt zunehmend auf einen harmonisierten und strengen Ansatz bei Drittland-Transfers. Die Messlatte für Compliance liegt damit außergewöhnlich hoch. Die Branche beobachtet das Verfahren genau – es könnte die rechtlichen Parameter für Datenflüsse zwischen der EU und China für Jahre bestimmen.

de | wirtschaft | 69283073 |