Seit Beginn der Durchsetzung im Mai 2018 wurden bereits Bußgelder in Höhe von über 6,2 Milliarden Euro verhängt, davon allein 1,2 Milliarden Euro im Jahr 2024 (DLA Piper GDPR Survey, Januar 2025). Die gute Nachricht für die meisten Unternehmen, die QR-Codes verwenden: Die Compliance-Anforderungen sind unkompliziert, erfordern kein Cookie-Banner und können mit einem kurzen Zusatz zu Ihrer bestehenden Datenschutzrichtlinie gehandhabt werden.
In diesem Leitfaden erfahren Sie, was die Datenschutz-Grundverordnung für das QR-Code-Tracking tatsächlich vorschreibt - und was nicht.
Kernaussagen
- Statische QR-Codes ohne Tracking haben keine GDPR-Relevanz - sie sind nur Bilder mit Links
- Dynamische QR-Codes mit Scan-Tracking verarbeiten personenbezogene Daten (IP-Adresse = personenbezogene Daten gemäß GDPR) und erfordern eine Offenlegung der Datenschutzbestimmungen
- Kein Cookie-Banner erforderlich - QR-Scan-Tracking platziert keine Cookies auf den Geräten der Besucher
- Berechtigtes Interesse (Art. 6(1)(f) GDPR) ist ausreichende Rechtsgrundlage für Scan-Analytik - keine Einwilligungserklärung erforderlich
Wann fallen QR-Codes unter die GDPR?
Die Antwort hängt ganz davon ab, ob Tracking im Spiel ist.
Statische QR-Codes ohne Tracking
Ein statischer QR-Code, der auf eine URL verweist und keine Daten sammelt, ist nicht relevant für die DSGVO. Er ist technisch gesehen identisch mit dem Aufdruck einer URL auf einem Flugblatt. Es werden keine personenbezogenen Daten verarbeitet, eine Offenlegung ist nicht erforderlich.
Dynamische QR-Codes mit Scan-Tracking
Sobald ein QR-Code Scandaten aufzeichnet, werden personenbezogene Daten verarbeitet. Gemäß GDPR gelten IP-Adressen als personenbezogene Daten - und jeder Scan erzeugt eine solche. Zu den von einem typischen dynamischen QR-Code aufgezeichneten Daten gehören:
- IP-Adresse des Geräts, das den Code scannt
- Zeitstempel des Scans
- Gerätetyp und Betriebssystem
- Land und Region (abgeleitet von der IP-Adresse - in der Regel nicht genauer als diese)
Diese Daten sind GDPR-relevant. Für die Verarbeitung sind eine Rechtsgrundlage und eine Offenlegung der Datenschutzbestimmungen erforderlich. Ein Cookie-Banner ist nicht erforderlich, und in den meisten Fällen ist auch keine Einwilligung erforderlich.
Was Sie tatsächlich tun müssen
1. Aktualisieren Sie Ihre Datenschutzrichtlinie
Fügen Sie einen kurzen Abschnitt über die Verfolgung von QR-Code-Scans hinzu. Der erforderliche Mindestinhalt:
- Dass dynamische QR-Codes mit Tracking verwendet werden
- Welche Daten gesammelt werden (IP-Adresse, Zeitstempel, Gerätetyp, Land)
- Der Zweck (Nutzungsanalyse, Kampagnenmessung)
- Name und Standort des Dienstleisters (QR Code Manager, europäische Server)
- Dauer der Datenspeicherung
- Rechtsgrundlage für die Verarbeitung
2. Festlegung der Rechtsgrundlage
Für die Nutzungsanalyse ist das berechtigte Interesse gemäß Art. 6(1)(f) GDPR die geeignete Rechtsgrundlage für die meisten Unternehmen. Sie haben ein berechtigtes Interesse daran zu wissen, ob Ihre Drucksachen genutzt werden und ob Ihre Kampagnen wirksam sind.
Eine Einwilligung (und damit ein Einwilligungsbanner) ist für das QR-Code-Scan-Tracking im Allgemeinen nicht erforderlich - im Gegensatz zu Webanalyse-Cookies. Der Unterschied ist wichtig: Beim QR-Scan wird nichts auf dem Gerät des Besuchers gespeichert. Der Umleitungsserver protokolliert den Scan serverseitig, was eine andere rechtliche Situation darstellt als das browserbasierte Cookie-Tracking.
3. Verwenden Sie einen GDPR-konformen Anbieter
Der QR-Code-Dienst verarbeitet die Scandaten in Ihrem Namen. Wählen Sie einen Anbieter, der:
- Daten auf EU-Servern verarbeitet
- Unter GDPR arbeitet und eine Datenverarbeitungsvereinbarung (DPA) anbietet
- Keine persönlichen Profile über die anonymisierten aggregierten Daten hinaus erstellt
der QR Code Manager erfüllt alle drei Anforderungen: Europäische Serverinfrastruktur, GDPR-konforme Verarbeitung und DPA auf Anfrage erhältlich.
4. Aktualisieren Sie Ihre Aufzeichnungen über Verarbeitungstätigkeiten
Für Unternehmen, die unter Art. 30 DSGVO unterliegen (Unternehmen mit mehr als 20 Mitarbeitern oder solche, die sensible Daten verarbeiten), fügen Sie einen Eintrag für "QR-Code-Analytik" zu Ihrem Verzeichnis der Verarbeitungstätigkeiten hinzu. Geben Sie den Zweck, die Datenkategorien, die Rechtsgrundlage und die Aufbewahrungsfrist an.
Vorlage Datenschutzrichtlinie Text
Sie können diese Vorlage als Ausgangspunkt verwenden. Lassen Sie sie vor der Veröffentlichung von einem Datenschutzbeauftragten oder einem Rechtsanwalt überprüfen - die rechtlichen Anforderungen variieren je nach Gerichtsbarkeit und Unternehmensart.
QR-Code Analytics
Wir verwenden dynamische QR-Codes auf unseren Marketingmaterialien und in unseren Geschäftsräumen. Wenn diese Codes gescannt werden, werden die folgenden technischen Daten automatisch erfasst: IP-Adresse, Zeitstempel, Gerätetyp und Herkunftsland. Diese Daten werden von QR Code Manager (qrcode-manager.org) auf europäischen Servern verarbeitet und ausschließlich zur Nutzungsanalyse und zur Messung der Kampagnenleistung verwendet.
Rechtsgrundlage: Art. 6(1)(f) GDPR (berechtigtes Interesse, zu verstehen, ob unsere Marketingmaterialien wirksam sind). Aufbewahrungsfrist: 12 Monate.
Häufige Missverständnisse
Ich benötige ein Cookie-Banner für QR-Code-Tracking" Nein. QR-Scan-Tracking funktioniert serverseitig, wenn die Weiterleitung verarbeitet wird - es werden keine Cookies auf dem Gerät des Besuchers platziert. Die GDPR-Cookie-Regeln gelten für die browserseitige Speicherung, nicht für die serverseitige Protokollierung von Weiterleitungen.
"Ich muss die Scandaten auf Anfrage sofort löschen. " Nicht unbedingt. Da der QR Code Manager anonymisierte aggregierte Daten erfasst (keine Namen, keine Profile, keine Möglichkeit, einen Scan zuverlässig mit einer Person zu verknüpfen), ist eine Zuordnung zu einer bestimmten Person technisch nicht möglich. Sie können bei Löschungsanträgen auf die anonymisierte Verarbeitung verweisen.
Tracking ist ohne Einwilligung per se illegal " Nein. Tracking auf der Grundlage eines berechtigten Interesses ist nach der Datenschutz-Grundverordnung rechtmäßig, wenn es verhältnismäßig ist und die Privatsphäre nicht unverhältnismäßig einschränkt. Anonymisierte Scan-Analysen zur Messung von Kampagnen erfüllen diesen Standard in den meisten Fällen.
Selbst für die einfache Verwendung von QR-Codes benötige ich eine DSGVO" Nur wenn der Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet - was der Fall ist, wenn das Scan-Tracking aktiv ist. Für statische QR-Codes ohne Tracking ist keine DPA erforderlich.
Besondere Situationen
QR-Codes in der Gastronomie
Ein QR-Code in einem Restaurant, der mit einer Speisekarte mit Scan-Tracking verknüpft ist, fällt unter die Standard-GDPR-Anforderungen. Eine Datenschutzrichtlinie auf der Website des Restaurants, die die QR-Code-Analyse abdeckt, ist ausreichend. Es sind keine besonderen Maßnahmen erforderlich.
QR-Codes auf Produktverpackungen
Prüfen Sie bei international verkauften Produkten, ob neben der GDPR noch andere Datenschutzgesetze gelten: Die britische GDPR nach dem Brexit, das Schweizer DSG und das kalifornische CPRA haben alle überlappende, aber unterschiedliche Anforderungen. Die EU-DSGVO ist die Grundlage für die europäischen Märkte.
QR-Codes im B2B-Marketing
Im B2B-Kontext können Scans eher von Unternehmensnetzwerken als von einzelnen Geräten stammen - die IP gehört dem Unternehmen. Dies ändert nichts an der GDPR-Analyse, aber es bedeutet, dass die Scandaten in der Praxis weniger individuell zuordenbar sind.
Häufig gestellte Fragen
Muss ich die Leute informieren, bevor sie scannen? Ein allgemeiner Hinweis in Ihrer Datenschutzrichtlinie ist ausreichend. Ein kurzer Hinweis auf dem QR-Code selbst - "Beim Scannen werden anonyme Nutzungsdaten erfasst. Datenschutzrichtlinie: [Link]" - sorgt für Transparenz und ist eine gute Praxis für gut sichtbare Platzierungen, ist aber nach der aktuellen GDPR-Richtlinie nicht gesetzlich vorgeschrieben.
Was ist, wenn jemand die Löschung seiner Scandaten verlangt? Da der QR Code Manager anonymisierte, aggregierte Daten ohne persönliche Profile speichert, ist die Verknüpfung eines Scans mit einer bestimmten Person in den meisten Fällen technisch nicht möglich. Sie können die anonymisierte Verarbeitung als Reaktion auf Löschungsanfragen erklären. Für eine genaue Anleitung zu Ihrer spezifischen Einrichtung wenden Sie sich bitte an einen Datenschutzbeauftragten.
Ist eine Datenverarbeitungsvereinbarung erforderlich? Ja, wenn der QR-Code-Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet und das Scan-Tracking aktiv ist. der QR Code Manager stellt auf Anfrage eine DPA zur Verfügung.
Was ist, wenn ich nur QR-Codes ohne Tracking verwende - nur statische Codes? Keine GDPR-Maßnahmen erforderlich. Statische QR-Codes, die lediglich eine URL kodieren und keine Daten sammeln, sind nicht datenschutzrelevant. Sie funktionieren genauso wie der Druck einer URL auf einem Druckerzeugnis.
Gilt die DSGVO auch, wenn sich mein Unternehmen außerhalb der EU befindet? Die Datenschutz-Grundverordnung gilt, wenn Sie personenbezogene Daten von Personen in der EU verarbeiten, unabhängig davon, wo Ihr Unternehmen seinen Sitz hat. Wenn Ihre QR-Codes auf EU-Märkten verwendet werden, gilt die GDPR.
Hinweis: Dieser Artikel stellt keine Rechtsberatung dar. Bei konkreten Rechtsfragen wenden Sie sich bitte an einen Datenschutzbeauftragten oder einen Rechtsanwalt.
Zum Thema: QR-Code-Analyse - Was Ihre Scandaten zeigen - Leitfaden für dynamische QR-Codes - Einrichten einer QR-Code-Kampagne