QR-Codes sind alltäglich: Speisekarten, Produkte, Veranstaltungen, Anmeldeformulare. Doch kaum jemand denkt daran, dass hinter dem kleinen Quadrat eine Erhebung personenbezogener Daten stecken kann — mit klaren gesetzlichen Pflichten nach der DSGVO und der brasilianischen LGPD.

Wenn Sie QR-Codes erstellen, müssen Sie wissen, was Sie erheben dürfen und was nicht. Wenn Sie QR-Codes scannen, schützt Sie das Wissen darüber, was sie von Ihnen erfahren können. Dieser Leitfaden behandelt beide Seiten.

Warum Datenschutzrecht für QR-Codes gilt

DSGVO und LGPD regeln jede Verarbeitung personenbezogener Daten durch natürliche oder juristische Personen — auch per QR-Code. Das umfasst:

  • Formulare, die über QR-Codes Name, E-Mail, Steuernummer, Telefonnummer erheben
  • Scan-Tracking-Daten (Uhrzeit, ungefährer Standort, Gerät)
  • Jede Information, die eine Person identifiziert oder identifizierbar macht

Bedienen Sie Kunden in Europa und Brasilien, können beide Regelwerke gleichzeitig gelten.

Perspektive 1 — Sie erstellen den QR-Code und erheben Daten

Was rechtliche Aufmerksamkeit erfordert

Wenn der QR auf ein Formular, eine Anmeldeseite oder ein System verweist, das Nutzerdaten speichert, greifen die gesetzlichen Pflichten:

Situation Datenschutz-Hinweis
QR → Anmeldeformular (Name, E-Mail) Explizite Einwilligung + klarer Zweck erforderlich
QR → Formular mit Steuernummer oder Gesundheitsdaten Sensible Daten: verstärkte Rechtsgrundlage + spezifische Einwilligung
Statischer QR mit personenbezogenen Daten in der URL Nicht tun — Daten sind dauerhaft exponiert und nicht löschbar
Dynamischer QR mit Scan-Tracking Zulässig, aber in der Datenschutzerklärung offenlegen
QR → Login- oder Authentifizierungssystem Verarbeitung liegt vor: Rechtsgrundlage dokumentieren
QR im öffentlichen Raum (Straße, Geschäft) Nutzer erwartet keine Erhebung — vorab informieren

Die drei Pflichtfragen

Bevor Sie einen QR-Code erstellen, der zur Datenerhebung führt, beantworten Sie:

  1. Wofür nutze ich diese Daten? (Zweck — muss angegeben werden)
  2. Was ist die Rechtsgrundlage? (Einwilligung, Vertrag, berechtigtes Interesse, gesetzliche Pflicht…)
  3. Wie lange speichere ich sie und wie lösche ich sie?

Können Sie alle drei nicht beantworten, veröffentlichen Sie den QR noch nicht.

Sensible Daten = besondere Vorsicht

Gesundheit, Biometrie, ethnische Herkunft, religiöse Überzeugungen, Kinderdaten: Erhebt das verknüpfte Formular eines davon, muss die Einwilligung spezifisch, hervorgehoben und eindeutig sein. Verwenden Sie in diesen Fällen immer einen passwortgeschützten QR-Code, um den Zugang zum Formular zu beschränken.

Niemals personenbezogene Daten in einen statischen öffentlichen QR einbetten

Ein statischer QR kodiert seine URL dauerhaft. Wenn Sie eine Steuernummer, ein Benutzer-Token oder eine E-Mail direkt in die URL aufnehmen und ihn auf einem Plakat oder einer Verpackung drucken, ist dieser Datensatz für jeden Scannenden dauerhaft zugänglich. Verwenden Sie stattdessen anonyme Sitzungs-IDs.

Perspektive 2 — Scan-Tracking: Was ist legitim

Dynamische QR-Codes protokollieren Informationen zu jedem Scan:

Erhobene Daten durch dynamischen QR Personenbezogene Daten? Empfehlung
Scan-Zeitstempel Nein (isoliert) OK — für Spitzenzeit-Analysen nutzen
Land/Stadt (ungefähr, per IP) Möglicherweise — IP ist personenbezogen In Datenschutzerklärung erwähnen
Gerätetyp / Betriebssystem Nein (aggregiert) OK — zur Optimierung der Landing Page
Vollständige IP, individuell gespeichert Ja Rechtsgrundlage + Aufbewahrungsfrist erforderlich
Genaue Standortdaten (GPS) Ja — sensible Daten Nur mit ausdrücklicher Einwilligung

Best Practices für legitimes Tracking:

  • Erwähnen Sie die Zugriffsdaten-Erhebung in Ihrer Datenschutzerklärung
  • Speichern Sie individuelle IPs nicht länger als nötig
  • Verwenden Sie aggregierte Daten (Stadt, nicht genaue Adresse)
  • Bei UTM + Google Analytics: IP-Anonymisierung korrekt konfigurieren

Perspektive 3 — Für Scanner: Was ein QR über Sie wissen kann

Was ein QR-Code wissen kann (über das Zielsystem)

  • Uhrzeit des Scans
  • Ungefähre Stadt/Region (über die IP Ihres Geräts)
  • Gerätetyp und Betriebssystem
  • Ob Sie anschließend auf einen Link geklickt haben

Was ein QR-Code nicht allein durch den Scan tun kann

  • Eine App ohne Ihre Aktion installieren
  • Auf Ihre Kontakte, Kamera oder Mikrofon zugreifen
  • Ihren Namen, Ihre Steuernummer oder identifizierbare Daten kennen — es sei denn, Sie füllen danach ein Formular aus

Anzeichen eines bösartigen QR-Codes

Seien Sie vorsichtig, wenn der QR:

  • Zu einer verdächtigen oder gekürzten URL führt, die das Ziel nicht preisgibt
  • Sofort zur Installation einer unbekannten App auffordert
  • Ein Formular öffnet, das ohne klaren Kontext persönliche Daten abfragt
  • Über den Original-QR in einem Geschäft geklebt wurde (möglicher Austauschangriff)

Prüfen Sie vor dem Scannen eines unbekannten QR, ob der Link sicher ist. Lesen Sie auch über QR-Code-Sicherheit.

Rechtskonforme QR-Codes mit Code2Scan erstellen

Schritt für Schritt

  1. Zweck definieren vor dem Erstellen — was der Nutzer vorfindet und welche Daten erhoben werden
  2. Dynamischen QR nutzen um das Ziel aktualisieren und Tracking-Daten kontrollieren zu können — dynamischen QR erstellen
  3. Für eingeschränkte Inhalte einen passwortgeschützten QR-Code verwenden — nur wer das Passwort hat, gelangt rein
  4. Bei Formularen Datenschutzhinweis und Link zur Datenschutzerklärung vor dem Absenden anzeigen
  5. UTM-Tags hinzufügen bei Analytics — und sicherstellen, dass GA IP-Anonymisierung aktiviert hat — UTM-Tracking einrichten
  6. Dokumentieren welche Daten erhoben werden, wie lange und wer Zugang hat
  7. Keine personenbezogenen Daten direkt in die URL eines statischen QR drucken

Statisch vs. dynamisch aus Datenschutzsicht

Ein dynamischer QR ist viel einfacher konform zu halten: Sie können Ziel wechseln, Erhebung beenden und Datenschutzerklärung aktualisieren, ohne neu zu drucken. Ein statischer QR kann nach dem Druck nicht mehr „aktualisiert" werden.

Häufige Fehler

❌ Den QR-Code als „nur einen Link" ohne rechtliche Relevanz behandeln

Erhebt das Ziel Daten, gilt Datenschutzrecht vollumfänglich. Der QR ist nur der Zugangsweg.

❌ Nutzer nicht informieren, dass Daten erhoben werden

Jede Erhebung personenbezogener Daten erfordert eine Information der betroffenen Person — vor oder bei der Erhebung.

❌ Steuernummern oder persönliche Tokens in die URL einbauen

Personenbezogene Daten in der URL landen in Server-Logs, Browser-Verlauf und Analytics. Vermeiden.

❌ Passwortschutz als Ersatz für Datenschutz-Compliance nutzen

Ein Passwort schränkt den Zugang ein, ersetzt aber nicht Einwilligung und Rechtsgrundlage.

❌ DSGVO für europäisches Publikum ignorieren

Trifft Ihre Kampagne Europa, gilt die DSGVO — und sie ist in manchen Punkten strenger als die LGPD.

Zusammenfassung

  1. Bei Erstellung: Zweck, Rechtsgrundlage und Aufbewahrungsfrist vor Veröffentlichung festlegen
  2. Sensible Daten im Zielformular → geschützter QR + spezifische Einwilligung
  3. Niemals personenbezogene Daten direkt in die URL eines statischen QR einbetten
  4. Scan-Tracking ist legitim — aber in der Datenschutzerklärung offenlegen
  5. Als Scanner: Der QR allein greift nicht auf Ihre Daten zu — das Risiko liegt im Zielformular oder der App
  6. Dynamischer QR = mehr Kontrolle, einfacher konform zu halten

Verwenden Sie einen passwortgeschützten QR-Code, wenn der Zielinhalt eingeschränkt ist oder sensible Daten betrifft. Erstellen Sie verantwortungsvoll und erhalten Sie das Vertrauen Ihrer Nutzer.