QR-Codes sind alltäglich: Speisekarten, Produkte, Veranstaltungen, Anmeldeformulare. Doch kaum jemand denkt daran, dass hinter dem kleinen Quadrat eine Erhebung personenbezogener Daten stecken kann — mit klaren gesetzlichen Pflichten nach der DSGVO und der brasilianischen LGPD.
Wenn Sie QR-Codes erstellen, müssen Sie wissen, was Sie erheben dürfen und was nicht. Wenn Sie QR-Codes scannen, schützt Sie das Wissen darüber, was sie von Ihnen erfahren können. Dieser Leitfaden behandelt beide Seiten.
Warum Datenschutzrecht für QR-Codes gilt
DSGVO und LGPD regeln jede Verarbeitung personenbezogener Daten durch natürliche oder juristische Personen — auch per QR-Code. Das umfasst:
- Formulare, die über QR-Codes Name, E-Mail, Steuernummer, Telefonnummer erheben
- Scan-Tracking-Daten (Uhrzeit, ungefährer Standort, Gerät)
- Jede Information, die eine Person identifiziert oder identifizierbar macht
Bedienen Sie Kunden in Europa und Brasilien, können beide Regelwerke gleichzeitig gelten.
Perspektive 1 — Sie erstellen den QR-Code und erheben Daten
Was rechtliche Aufmerksamkeit erfordert
Wenn der QR auf ein Formular, eine Anmeldeseite oder ein System verweist, das Nutzerdaten speichert, greifen die gesetzlichen Pflichten:
| Situation | Datenschutz-Hinweis |
|---|---|
| QR → Anmeldeformular (Name, E-Mail) | Explizite Einwilligung + klarer Zweck erforderlich |
| QR → Formular mit Steuernummer oder Gesundheitsdaten | Sensible Daten: verstärkte Rechtsgrundlage + spezifische Einwilligung |
| Statischer QR mit personenbezogenen Daten in der URL | Nicht tun — Daten sind dauerhaft exponiert und nicht löschbar |
| Dynamischer QR mit Scan-Tracking | Zulässig, aber in der Datenschutzerklärung offenlegen |
| QR → Login- oder Authentifizierungssystem | Verarbeitung liegt vor: Rechtsgrundlage dokumentieren |
| QR im öffentlichen Raum (Straße, Geschäft) | Nutzer erwartet keine Erhebung — vorab informieren |
Die drei Pflichtfragen
Bevor Sie einen QR-Code erstellen, der zur Datenerhebung führt, beantworten Sie:
- Wofür nutze ich diese Daten? (Zweck — muss angegeben werden)
- Was ist die Rechtsgrundlage? (Einwilligung, Vertrag, berechtigtes Interesse, gesetzliche Pflicht…)
- Wie lange speichere ich sie und wie lösche ich sie?
Können Sie alle drei nicht beantworten, veröffentlichen Sie den QR noch nicht.
Sensible Daten = besondere Vorsicht
Gesundheit, Biometrie, ethnische Herkunft, religiöse Überzeugungen, Kinderdaten: Erhebt das verknüpfte Formular eines davon, muss die Einwilligung spezifisch, hervorgehoben und eindeutig sein. Verwenden Sie in diesen Fällen immer einen passwortgeschützten QR-Code, um den Zugang zum Formular zu beschränken.
Niemals personenbezogene Daten in einen statischen öffentlichen QR einbetten
Ein statischer QR kodiert seine URL dauerhaft. Wenn Sie eine Steuernummer, ein Benutzer-Token oder eine E-Mail direkt in die URL aufnehmen und ihn auf einem Plakat oder einer Verpackung drucken, ist dieser Datensatz für jeden Scannenden dauerhaft zugänglich. Verwenden Sie stattdessen anonyme Sitzungs-IDs.
Perspektive 2 — Scan-Tracking: Was ist legitim
Dynamische QR-Codes protokollieren Informationen zu jedem Scan:
| Erhobene Daten durch dynamischen QR | Personenbezogene Daten? | Empfehlung |
|---|---|---|
| Scan-Zeitstempel | Nein (isoliert) | OK — für Spitzenzeit-Analysen nutzen |
| Land/Stadt (ungefähr, per IP) | Möglicherweise — IP ist personenbezogen | In Datenschutzerklärung erwähnen |
| Gerätetyp / Betriebssystem | Nein (aggregiert) | OK — zur Optimierung der Landing Page |
| Vollständige IP, individuell gespeichert | Ja | Rechtsgrundlage + Aufbewahrungsfrist erforderlich |
| Genaue Standortdaten (GPS) | Ja — sensible Daten | Nur mit ausdrücklicher Einwilligung |
Best Practices für legitimes Tracking:
- Erwähnen Sie die Zugriffsdaten-Erhebung in Ihrer Datenschutzerklärung
- Speichern Sie individuelle IPs nicht länger als nötig
- Verwenden Sie aggregierte Daten (Stadt, nicht genaue Adresse)
- Bei UTM + Google Analytics: IP-Anonymisierung korrekt konfigurieren
Perspektive 3 — Für Scanner: Was ein QR über Sie wissen kann
Was ein QR-Code wissen kann (über das Zielsystem)
- Uhrzeit des Scans
- Ungefähre Stadt/Region (über die IP Ihres Geräts)
- Gerätetyp und Betriebssystem
- Ob Sie anschließend auf einen Link geklickt haben
Was ein QR-Code nicht allein durch den Scan tun kann
- Eine App ohne Ihre Aktion installieren
- Auf Ihre Kontakte, Kamera oder Mikrofon zugreifen
- Ihren Namen, Ihre Steuernummer oder identifizierbare Daten kennen — es sei denn, Sie füllen danach ein Formular aus
Anzeichen eines bösartigen QR-Codes
Seien Sie vorsichtig, wenn der QR:
- Zu einer verdächtigen oder gekürzten URL führt, die das Ziel nicht preisgibt
- Sofort zur Installation einer unbekannten App auffordert
- Ein Formular öffnet, das ohne klaren Kontext persönliche Daten abfragt
- Über den Original-QR in einem Geschäft geklebt wurde (möglicher Austauschangriff)
Prüfen Sie vor dem Scannen eines unbekannten QR, ob der Link sicher ist. Lesen Sie auch über QR-Code-Sicherheit.
Rechtskonforme QR-Codes mit Code2Scan erstellen
Schritt für Schritt
- Zweck definieren vor dem Erstellen — was der Nutzer vorfindet und welche Daten erhoben werden
- Dynamischen QR nutzen um das Ziel aktualisieren und Tracking-Daten kontrollieren zu können — dynamischen QR erstellen
- Für eingeschränkte Inhalte einen passwortgeschützten QR-Code verwenden — nur wer das Passwort hat, gelangt rein
- Bei Formularen Datenschutzhinweis und Link zur Datenschutzerklärung vor dem Absenden anzeigen
- UTM-Tags hinzufügen bei Analytics — und sicherstellen, dass GA IP-Anonymisierung aktiviert hat — UTM-Tracking einrichten
- Dokumentieren welche Daten erhoben werden, wie lange und wer Zugang hat
- Keine personenbezogenen Daten direkt in die URL eines statischen QR drucken
Statisch vs. dynamisch aus Datenschutzsicht
Ein dynamischer QR ist viel einfacher konform zu halten: Sie können Ziel wechseln, Erhebung beenden und Datenschutzerklärung aktualisieren, ohne neu zu drucken. Ein statischer QR kann nach dem Druck nicht mehr „aktualisiert" werden.
Häufige Fehler
❌ Den QR-Code als „nur einen Link" ohne rechtliche Relevanz behandeln
Erhebt das Ziel Daten, gilt Datenschutzrecht vollumfänglich. Der QR ist nur der Zugangsweg.
❌ Nutzer nicht informieren, dass Daten erhoben werden
Jede Erhebung personenbezogener Daten erfordert eine Information der betroffenen Person — vor oder bei der Erhebung.
❌ Steuernummern oder persönliche Tokens in die URL einbauen
Personenbezogene Daten in der URL landen in Server-Logs, Browser-Verlauf und Analytics. Vermeiden.
❌ Passwortschutz als Ersatz für Datenschutz-Compliance nutzen
Ein Passwort schränkt den Zugang ein, ersetzt aber nicht Einwilligung und Rechtsgrundlage.
❌ DSGVO für europäisches Publikum ignorieren
Trifft Ihre Kampagne Europa, gilt die DSGVO — und sie ist in manchen Punkten strenger als die LGPD.
Zusammenfassung
- Bei Erstellung: Zweck, Rechtsgrundlage und Aufbewahrungsfrist vor Veröffentlichung festlegen
- Sensible Daten im Zielformular → geschützter QR + spezifische Einwilligung
- Niemals personenbezogene Daten direkt in die URL eines statischen QR einbetten
- Scan-Tracking ist legitim — aber in der Datenschutzerklärung offenlegen
- Als Scanner: Der QR allein greift nicht auf Ihre Daten zu — das Risiko liegt im Zielformular oder der App
- Dynamischer QR = mehr Kontrolle, einfacher konform zu halten
Verwenden Sie einen passwortgeschützten QR-Code, wenn der Zielinhalt eingeschränkt ist oder sensible Daten betrifft. Erstellen Sie verantwortungsvoll und erhalten Sie das Vertrauen Ihrer Nutzer.