EUQR
← Alle Beiträge

25 Jun 2026

Sind QR-Codes DSGVO-konform? Ein Leitfaden 2026 für europäische Unternehmen

Dies ist eine allgemeine Orientierungshilfe, keine Rechtsberatung: Wenden Sie sich im Zweifel an eine Fachperson für Datenschutz.

Gilt die DSGVO für QR-Codes?

Ein QR-Code ist lediglich ein codierter Link oder Text. Für sich genommen erfasst er nichts. Die DSGVO kommt auf zwei Wegen ins Spiel:

  1. Das Tracking des Scans. Ein dynamischer QR-Code leitet jeden Scan über einen Weiterleitungsserver, bevor der Besucher weitergeleitet wird. Dieser Server kann Informationen über das scannende Gerät protokollieren, und einige dieser Informationen gelten nach EU-Recht als personenbezogene Daten.

  2. Was Sie nach dem Scan abfragen. Führt der Code zu einem Anmeldeformular, einer Seite zur Lead-Erfassung oder zu irgendetwas, das Namen, E-Mail-Adressen oder Telefonnummern erfasst, verarbeiten Sie personenbezogene Daten, sobald jemand das Formular ausfüllt.

Die eigentliche Frage lautet also nicht: „Sind QR-Codes DSGVO-konform?“, sondern: „Sind mein Scan-Tracking und meine Landingpage konform?

Welche Daten erfasst ein QR-Code-Scan tatsächlich?

Beim Scannen eines dynamischen Codes kann eine Tracking-Plattform in der Regel Folgendes sehen:

  • IP-Adresse, verwendet zur Standortschätzung. Eine vollständige IP-Adresse gilt nach der DSGVO als personenbezogenes Datum, da sie einer Person zugeordnet werden kann.

  • Ungefährer Standort, meist auf Stadt- oder Landesebene, abgeleitet aus der IP-Adresse.

  • Gerät und Browser, also Betriebssystem, Gerätetyp und Browser (aus dem User-Agent-String).

  • Zeitstempel, also Datum und Ortszeit des Scans.

Was ein Standard-Scan nicht erfassen kann: Ihren Namen, Ihre Telefonnummer, E-Mail-Adresse, Kontakte oder Ihren genauen GPS-Standort. Diese werden nur erfasst, wenn der Besucher sie freiwillig auf einer Seite eingibt oder in seinem Browser ausdrücklich die Standortfreigabe erteilt.

Der entscheidende Punkt für die Compliance: Eine vollständige IP-Adresse ist ein personenbezogenes Datum, aggregierte, anonymisierte Statistiken sind es nicht. Die Erkenntnis, dass „200 Personen in Lissabon dies am Dienstag gescannt haben, meist mit iPhones“, verrät nichts über eine einzelne Person, und genau mit dieser Art von Daten dürfen Sie frei arbeiten.

Die vier Punkte, die QR-Tracking konform machen

Europäische Datenschutzbehörden und die Grundprinzipien der DSGVO verweisen alle auf dieselben wenigen Praktiken:

1. Datenminimierung. Erfassen Sie nur, was Sie brauchen. Zählen Sie lediglich Scans auf einem Plakat, müssen Sie keine Roh-IP-Adressen speichern: Anonymisierte, aggregierte Zählungen reichen für nahezu jede Marketingentscheidung aus. Plattformen, die die IP-Adresse vor der Speicherung anonymisieren oder hashen (sodass sie keiner Person zugeordnet werden kann), sind damit standardmäßig auf der sicheren Seite.

2. Keine nicht essenziellen Cookies ohne Einwilligung. Hier stolpern die meisten Unternehmen. Leitet Ihr dynamischer Code den Scan an Google Analytics, ein Meta-Pixel oder einen anderen Drittanbieter-Tracker weiter, setzen diese Cookies auf dem Gerät des Besuchers, und nach DSGVO und ePrivacy-Regeln erfordern nicht essenzielle Cookies eine ausdrückliche Opt-in-Einwilligung (ein echtes Banner, kein vorausgefülltes Kästchen). Ist Ihr Tracking serverseitig und anonymisiert, benötigen Sie für den Scan selbst möglicherweise kein Banner.

3. Transparenz. Erfasst die Seite nach dem Scan personenbezogene Daten, benötigen Sie eine klare, verlinkte Datenschutzerklärung, die erläutert, was Sie erheben, warum und wie lange. Der Hinweis sollte gut sichtbar sein, idealerweise in der Nähe des Codes oder auf der Landingpage.

4. Das Recht auf Löschung. Personen können von Ihnen die Löschung ihrer Daten verlangen. Sie (und Ihre QR-Plattform als Auftragsverarbeiter) müssen dem nachkommen können. Eine kostenpflichtige QR-Plattform sollte außerdem einen Auftragsverarbeitungsvertrag (AVV) bereitstellen, Ihren Nachweis dafür, dass Ihr Anbieter Daten konform verarbeitet.

Der Punkt, den niemand erwähnt: Wo Ihre Daten liegen

Eine Frage, die sich lohnt, Ihrem aktuellen QR-Tool zu stellen: Auf welchem Kontinent werden meine Scan-Daten gespeichert? Viele der bekanntesten Plattformen, darunter Bitly, QR Tiger, Uniqode und Flowcode, laufen auf US-Infrastruktur. Das macht sie nicht illegal, wirft aber Fragen zum internationalen Datentransfer auf, die Sie dokumentieren müssen, und für manche datenschutzbewusste Organisationen kommt das schlicht nicht infrage.

Wenn die Daten in der EU bleiben, stellt sich diese ganze Fragenkategorie erst gar nicht. Zusammen mit den oben genannten Tracking-Praktiken ist Hosting in der EU plus anonymisierte, cookie-freie Analytik so ziemlich die sauberste Compliance-Position, die beim QR-Tracking möglich ist.

Eine einfache Compliance-Checkliste

Bevor Sie auch nur einen einzigen Code drucken:

  • ✅ Nutzen Sie eine Plattform, die IP-Adressen anonymisiert bzw. hasht und keine Rohdaten speichert.

  • ✅ Vermeiden Sie Drittanbieter-Tracker im Weiterleitungspfad, oder zeigen Sie ein ordnungsgemäßes Einwilligungsbanner, wenn Sie sie einsetzen.

  • ✅ Erfasst die Landingpage personenbezogene Daten, verlinken Sie eine klare Datenschutzerklärung und erheben Sie nur das Nötigste.

  • ✅ Stellen Sie sicher, dass Sie die Daten einer Person auf Anfrage löschen können.

  • ✅ Holen Sie sich einen AVV von Ihrem Anbieter (bei einem kostenpflichtigen Tarif sollten Sie diesen automatisch herunterladen können).

  • ✅ Bonus: Wählen Sie eine in der EU gehostete Infrastruktur, um Fragen zum Datentransfer von vornherein zu umgehen.

Der einfache Weg

Sie können Ihr aktuelles Tool anhand dieser Checkliste prüfen, oder eines nutzen, das sie standardmäßig erfüllt. EUQR hostet Ihre Daten in Amsterdam, speichert niemals rohe IP-Adressen, setzt keine Tracking-Cookies von Drittanbietern, berechnet Analysen aus datenschutzfreundlichen, täglich rotierenden Hashes und stellt bei jedem kostenpflichtigen Konto einen AVV bereit. Sie erhalten die Erkenntnisse, also Scans, groben Standort, Gerät, ohne jemals Daten zu speichern, die eine Person identifizieren könnten.

Erstellen Sie einen DSGVO-freundlichen QR-Code, kostenlos, ohne Anmeldung →

Häufig gestellte Fragen

Are QR codes legal under the GDPR?
Yes. QR codes are legal; the data practices they trigger (scan tracking, landing-page forms) must follow GDPR rules on minimisation, consent, and transparency.
Do I need a cookie banner for a QR code?
No and you shouldn't try to. Compliant platforms only show anonymised, aggregate data (counts, rough location, device). Identifying individual scanners without consent is a problem under the GDPR.
Are static QR codes GDPR-compliant?
Static codes don't track anything they encode your link directly with no redirect server so there's no scan data to worry about. The GDPR only becomes relevant if the destination page collects personal data.
Can I see who scanned my QR code?
No and you shouldn't try to. Compliant platforms only show anonymised, aggregate data (counts, rough location, device). Identifying individual scanners without consent is a problem under the GDPR.