DSGVO-konforme QR Codes: Was Unternehmen wissen müssen

Sind QR Codes DSGVO-pflichtig? Was gilt beim Scan-Tracking? Alle rechtlichen Anforderungen für QR Codes im Geschäftsbetrieb – verständlich erklärt.

DSGVO und QR Codes: Was du wirklich wissen musst

QR Codes sind datenschutzrechtlich relevant – aber weniger kompliziert als oft befürchtet. Dieser Artikel erklärt, wann QR Codes unter die DSGVO fallen, was du dokumentieren musst, und wie du mit einem DSGVO-konformen Tool sicher unterwegs bist.

Wann fallen QR Codes unter die DSGVO?

Statische QR Codes ohne Tracking

Ein statischer QR Code, der einfach auf eine URL verlinkt und keinerlei Daten sammelt, hat keine DSGVO-Relevanz. Er ist technisch gesehen nur ein Bild das einen Link enthält.

Dynamische QR Codes mit Scan-Tracking

Sobald ein QR Code Scan-Daten sammelt – also erfasst, wann und von wo gescannt wird – werden personenbezogene Daten verarbeitet. Das ist DSGVO-relevant.

Welche Daten werden bei einem Scan erfasst?

IP-Adresse des Scanners (personenbezogen!)
Zeitstempel
Geräteinformationen (Browser, Betriebssystem)
Ungefährer Standort (abgeleitet aus IP, meist nur Land/Region)

Auch wenn diese Daten anonym wirken: Die IP-Adresse gilt laut DSGVO als personenbezogenes Datum.

Was du tun musst: Die Checkliste

1. Datenschutzerklärung aktualisieren

Wenn du QR Codes mit Tracking einsetzt, musst du das in deiner Datenschutzerklärung erwähnen:

Mindestinhalt:

Dass QR Codes mit Tracking eingesetzt werden
Welche Daten dabei erfasst werden (IP, Zeitstempel, Gerät, Land)
Zu welchem Zweck (Nutzungsanalyse, Kampagnenmessung)
Wer der Dienstleister ist (z.B. QR Code Manager, qrcode-manager.org)
Wie lange die Daten gespeichert werden
Auf welcher Rechtsgrundlage (meist Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse)

2. Rechtsgrundlage wählen

Für einfaches Nutzungs-Tracking reicht in der Regel das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Du hast ein legitimes Interesse daran zu wissen, ob deine gedruckten Materialien genutzt werden.

Eine Einwilligung (Cookie-Banner) ist für QR-Code-Tracking in der Regel nicht notwendig – anders als beim Web-Tracking mit Cookies.

3. Verarbeitungsverzeichnis ergänzen

Im Verarbeitungsverzeichnis (Pflicht für Unternehmen mit mehr als 20 Mitarbeitenden oder bei sensitiven Daten) fügst du einen Eintrag für „QR Code Analytics" hinzu.

4. DSGVO-konformen Anbieter wählen

Der QR-Code-Dienst verarbeitet die Scan-Daten. Wähle einen Anbieter der:

Daten auf EU-Servern verarbeitet
DSGVO-konform arbeitet
Einen Auftragsverarbeitungsvertrag (AVV) anbietet

QR Code Manager erfüllt alle diese Anforderungen: europäische Server, DSGVO-konforme Datenverarbeitung.

Häufige Missverständnisse

Richtig – QR-Code-Scans setzen keine Cookies auf dem Gerät des Nutzers. Ein Cookie-Banner ist für das Tracking von QR-Code-Scans daher in der Regel nicht erforderlich.

„Ich muss alle Scans in Echtzeit löschen"

Falsch – du musst keine sofortige Löschung implementieren. Eine angemessene Aufbewahrungsfrist (z.B. 12 Monate für Nutzungsstatistiken) ist datenschutzrechtlich zulässig.

„Tracking ist per se illegal"

Falsch – Tracking auf Basis des berechtigten Interesses ist legal, solange es verhältnismäßig ist und die Privatsphäre nicht unverhältnismäßig eingeschränkt wird. Anonyme Nutzungsstatistiken erfüllen diese Anforderung.

Besondere Situationen

QR Codes in der Gastronomie

Ein Restaurant-QR-Code der auf eine Speisekarte zeigt und dabei Scan-Daten erfasst, fällt unter normale DSGVO-Anforderungen. Datenschutzerklärung auf der Website reicht.

QR Codes auf Produktverpackungen

Bei Produkten die international verkauft werden: Prüfe ob neben der DSGVO auch andere Datenschutzgesetze gelten (z.B. UK GDPR nach Brexit).

QR Codes auf Werbematerialien

Gleiche Anforderungen wie oben. Wichtig: Der Link muss zur Datenschutzerklärung auf der Ziel-Website leiten.

Muster-Textbaustein für deine Datenschutzerklärung

Du kannst diesen Textbaustein als Ausgangspunkt für deine Datenschutzerklärung verwenden (bitte rechtlich prüfen lassen):

QR Code Analyse

Auf unseren Marketingmaterialien und in unseren Betriebsstätten setzen wir dynamische QR Codes ein. Beim Scannen dieser Codes werden technische Daten erfasst: IP-Adresse, Zeitstempel, Gerätetyp und Herkunftsland. Diese Daten werden von QR Code Manager (qrcode-manager.org) auf europäischen Servern verarbeitet und dienen ausschließlich der Nutzungsanalyse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Speicherdauer: 12 Monate.

Häufig gestellte Fragen

Muss ich Gäste vor dem Scannen informieren? Eine allgemeine Information in der Datenschutzerklärung reicht. Ein gesonderter Hinweis am QR Code selbst ist nicht verpflichtend, aber empfohlen: „Mit dem Scan erklärst du dich mit unserer Datenschutzerklärung einverstanden" schafft Transparenz.

Was wenn jemand verlangt, dass seine Scan-Daten gelöscht werden? Da QR Code Scans keine personenbezogenen Profile anlegen (nur IP + Gerät, keine Identität), ist eine Zuordnung zu einer Person in der Praxis schwierig. Du kannst auf anonymisierte Verarbeitung hinweisen.

Reicht ein normaler QR Code Generator ohne DSGVO-Konformität? Für statische Codes ohne Tracking: ja. Für Tracking-Codes: Nur wenn der Anbieter DSGVO-konform arbeitet und einen AVV anbietet.

Muss ich einen Auftragsverarbeitungsvertrag abschließen? Wenn der QR-Code-Anbieter personenbezogene Daten in deinem Auftrag verarbeitet (Scan-Tracking), ja. QR Code Manager stellt auf Anfrage einen AVV zur Verfügung.

Weiterführende Artikel: QR Code Analytics – Scans tracken · Dynamische QR Codes Guide

Hinweis: Dieser Artikel stellt keine Rechtsberatung dar. Bei konkreten Rechtsfragen wende dich an einen Datenschutzbeauftragten oder Rechtsanwalt.