Zum Inhalt springen Zur Navigation springen
Inbox-Werbung und Cookies: Bußgeld gegen Google und SHEIN

Inbox-Werbung und Cookies: Bußgeld gegen Google und SHEIN

Artikel von Anqi Chen·10. September 2025

Die französische Datenschutzaufsicht CNIL hat am 1. September 2025 zwei Bußgelder verhängt: 325 Millionen Euro gegen Google und 150 Millionen Euro gegen SHEIN. Grund sind Verstöße bei Cookies und unzulässiger Werbung im Gmail-Posteingang. Dieser Artikel fasst die Entscheidungen zusammen und schließt mit einer Checkliste zur Rechtskonformität von Cookie-Bannern.

Google: 325 Millionen Euro wegen Inbox-Werbung und Cookie-Zwang

Ausgangspunkt war eine Beschwerde der Datenschutzorganisation noyb aus dem Jahr 2022. Die CNIL stellte fest, dass Google zwischen 2022 und 2023 in den Tabs „Promotions“ und „Soziale Netzwerke“ von Gmail Werbeanzeigen einblendete, die wie normale E-Mails aussahen.

Die Behörde stufte diese Praxis als „Direktwerbung“ per E-Mail ein. Nach Art. L. 34-5 CPCE (französisches Post- und Kommunikationsgesetz) ist hierfür eine vorherige Einwilligung erforderlich. Auch ein EuGH-Urteil vom 25. November 2021 bestätigte diese Auslegung.

Darüber hinaus sah die CNIL einen Verstoß gegen Art. 82 des französischen Datenschutzgesetzes: Bis Oktober 2023 wurden Nutzer:innen bei der Erstellung eines Google-Kontos faktisch dazu gedrängt, Cookies für personalisierte Werbung zu akzeptieren. Das Ablehnen war komplizierter, und es fehlte die klare Information, dass der Zugang zu Google-Diensten vom Setzen dieser Cookies abhing.

Sanktionen im Detail

  • 200 Mio. Euro Bußgeld gegen Google LLC
  • 125 Mio. Euro Bußgeld gegen Google Ireland Limited
  • Verpflichtung, innerhalb von sechs Monaten die Werbung im Posteingang zu unterlassen und ein rechtmäßiges Cookie-Management einzuführen
  • Zwangsgeld von 100.000 Euro pro Tag bei Nichterfüllung

Betroffen waren mehr als 74 Millionen Google-Accounts in Frankreich, darunter 53 Millionen Personen, die unrechtmäßig mit Anzeigen in Gmail konfrontiert wurden. Die Höhe der Geldbuße, bei der nur die Zahl der in Frankreich ansässigen Nutzer berücksichtigt wurde, trägt der sehr großen Zahl der Betroffenen Rechnung.

Wiederholungstäter und Signalwirkung

Für Google war es nicht die erste Sanktion dieser Art: Bereits 2020 und 2021 hatte die CNIL Bußgelder wegen Cookie-Verstößen verhängt. Diese Wiederholung wirkte sich erschwerend auf die aktuelle Entscheidung aus – ein deutliches Signal, dass wiederholte Verstöße künftig noch strenger sanktioniert werden.

SHEIN: 150 Millionen Euro für Cookie-Verstöße

Auch der chinesische Onlinehändler SHEIN geriet ins Visier der Aufsicht. Verantwortlich ist die irische Gesellschaft Infinite Styles Services Co., Limited, die zur SHEIN-Gruppe gehört.

Nach einer Inspektion im Jahr 2023 stellte die CNIL gravierende Verstöße gegen Art. 82 des französischen Datenschutzgesetzes fest:

  • Cookies ohne Einwilligung: bereits beim Aufruf von shein.com wurden Werbe-Cookies gesetzt.
  • Unvollständige Banner: Nutzer:innen erhielten keine vollständigen Informationen zu eingesetzten Cookies.
  • Fehlende Angaben zu Drittparteien: selbst auf zweiter Ebene waren keine Informationen über beteiligte Dritte abrufbar.
  • Ineffektive Ablehnungsmechanismen: selbst nach Klick auf „Alle ablehnen“ wurden Cookies weiter gesetzt oder ausgelesen.

Sanktion im Detail

  • Bußgeld in Höhe von 150 Millionen Euro
  • Berücksichtigung der massiven Reichweite: rund 12 Millionen Nutzer:innen in Frankreich besuchen die Seite monatlich.

SHEIN kündigte an, Rechtsmittel einzulegen und bezeichnete die Strafe als „völlig unverhältnismäßig“.

Weitere offene Ermittlungen gegen SHEIN

Im Januar 2025 hat die Datenschutzorganisation noyb Beschwerden bei mehreren europäischen Aufsichtsbehörden eingereicht – unter anderem auch gegen SHEIN. Der Vorwurf lautet: unrechtmäßige Datentransfers nach China. Ob und in welchem Umfang daraus weitere Sanktionen folgen, bleibt abzuwarten.

Zuständigkeit der CNIL: Kein One-Stop-Shop

Die Verfahren betrafen nicht die DSGVO, sondern die ePrivacy-Regeln. Der „One-Stop-Shop“-Mechanismus nach der DSGVO kam laut der CNIL daher nicht zur Anwendung.

Die Verfahren betrafen Cookies und elektronische Werbung, die unter die ePrivacy-Richtlinie fallen. Diese wurde in Frankreich in Art. 82 Datenschutzgesetz (Cookies) sowie Art. L. 34-5 CPCE (Direktmarketing) umgesetzt. Für solche Verfahren ist die CNIL unmittelbar zuständig, wenn sich die Verarbeitung auf Nutzer:innen in Frankreich bezieht.

Das eingeschränkte Gremium der CNIL stellte außerdem fest:

  • Die Maßnahmen erfolgten „im Rahmen der Tätigkeiten“ von Google France, womit die territoriale Zuständigkeit nach Art. 3 des französischen Datenschutzgesetzes greift.
  • Google LLC und Google Ireland Limited wurden als gemeinsam Verantwortliche eingestuft.
  • Interne Umstrukturierungen im Konzern änderten daran nichts.

Damit verdeutlicht die CNIL, dass sie auch bei ePrivacy-Verstößen eine zentrale Rolle spielt – gerade bei internationalen Konzernen mit Niederlassung in Frankreich.

Prüfen Sie Ihre Cookie-Banner

Die aktuellen Verfahren zeigen: Cookie-Banner stehen im Fokus der Aufsichtsbehörden. Wer hier nachlässig ist, riskiert hohe Bußgelder. Die rechtlichen Anforderungen ergeben sich aus der DSGVO und dem TDDDG (früher TTDSG).

Grundprinzipien

  • Einwilligungspflicht für alle nicht technisch notwendigen Cookies und vergleichbare Technologien (z. B. Fingerprinting, Tracking-Pixel).
  • Keine Voreinstellungen: Voreinstellungen oder vorausgewählte Haken sind unzulässig.
  • Unabhängigkeit: Der Zugang zur Website darf nicht von einer Zustimmung abhängen.

Anforderungen an ein rechtskonformes Banner

  • Klare Wahlmöglichkeiten: Drei gleichwertig gestaltete Buttons (Alle akzeptieren, Alle ablehnen, Individuelle Einstellungen) gelten als Best Practice.
  • Keine „Nudging“-Praktiken: Buttons dürfen nicht durch Farbe, Größe oder Positionierung manipulativ gestaltet sein.
  • Transparenz: Informationen über Zweck, Anbieter und Speicherdauer jedes Cookies müssen verfügbar sein – ebenso wie über die anschließende Datenverarbeitung.
  • Unabhängigkeit vom Dienstzugang: Nutzer:innen müssen die Website auch bei Ablehnung von Cookies nutzen können.
  • Links im Banner: Datenschutzerklärung und Impressum müssen direkt verlinkt sein.
  • Widerrufbarkeit: Ein Button im Footer („Cookie-Einstellungen“) muss jederzeit den erneuten Zugriff auf die Auswahl ermöglichen.

Aufsichtsbehörden prüfen zunehmend auch Details der Gestaltung – etwa, ob ein „Ablehnen“-Button erst über Umwege erreichbar ist. Solche Dark Patterns wurden mehrfach als rechtswidrig eingestuft.

Cookie-Verstöße im Fokus: Bußgelder drohen

Die CNIL macht nochmals klar: Unzulässiges Tracking und manipulative Einwilligungsmechanismen sind ein erhebliches Bußgeldrisiko. Unternehmen müssen ihre Cookie- und Consent-Praktiken nicht nur formal korrekt, sondern auch transparent und benutzerfreundlich gestalten. Wer auf Dark Patterns setzt oder die Ablehnung erschwert, riskiert empfindliche Strafen in Millionenhöhe.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.