Sind QR-Codes DSGVO-konform?

Ein QR-Code an sich ist DSGVO-neutral. Entscheidend ist, was beim Scannen passiert. Statische QR-Codes von QR-Verse erheben keinerlei Daten. Bei dynamischen QR-Codes werden anonymisierte Daten ohne Personenbezug erfasst. Keine Cookies auf Scan-Seiten, keine Weitergabe an Dritte.

Welche Daten werden beim Scannen eines QR-Codes erhoben?

Bei QR-Verse-dynamischen Codes: Geraetetyp, ungefaeherer Standort auf Laenderebene, Zeitstempel und Browser-Familie. Es wird kein Personenbezug hergestellt, keine Nutzerprofile erstellt und keine Cookies gesetzt.

Brauche ich ein Cookie-Banner fuer QR-Code-Tracking?

Nicht fuer die Scan-Seite selbst: QR-Verse setzt keine Cookies bei Scannern. Fuer das Unternehmensdashboard gilt das normale TTDSG/DSGVO-Rahmenwerk Ihrer eigenen Website.

Was ist ein Auftragsverarbeitungsvertrag (AVV) und brauche ich einen?

Wenn Sie als Unternehmen einen QR-Code-Dienst nutzen und dabei Scan-Daten verarbeitet werden, schreibt Art. 28 DSGVO einen AVV vor. QR-Verse stellt Business-Kunden auf Anfrage einen AVV bereit.

Ist ein kostenloser QR-Code-Generator DSGVO-sicher?

Das kommt auf den Anbieter an. QR-Verse ist kostenlos, EU-gehostet (Server in Deutschland), verkauft keine Nutzerdaten und erhebt keine personenbezogenen Daten von Ihren Scannern. Fuer Unternehmen gibt es den Business-Plan mit AVV-Option.

Muss ich meine Datenschutzerklaerung ergaenzen, wenn ich dynamische QR-Codes nutze?

Ja, wenn ueber Ihre QR-Codes Scan-Daten erhoben werden (auch anonymisiert), sollten Sie QR-Verse als Auftragsverarbeiter in Ihrer Datenschutzerklaerung erwaehnen und die Datenkategorien (Geraet, ungefaeherer Standort auf Laenderebene, Zeitstempel) beschreiben.

DSGVO-konformer QR-Code Generator für Deutschland

Ein DSGVO-konformer QR-Code Generator ist für deutsche Unternehmen keine Kür, sondern Pflicht. Wer QR-Codes einsetzt, um Kunden auf Websites, Speisekarten oder Kampagnenseiten zu leiten, verarbeitet potenziell personenbezogene Daten - und muss dafür einen rechtssicheren Rahmen schaffen. Dieser Leitfaden erklärt, was einen QR-Code DSGVO-konform macht, welche Anforderungen das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Deutschland stellt und wie QR-Verse diese Anforderungen technisch umsetzt.

Das Wichtigste auf einen Blick

Statische QR-Codes von QR-Verse erheben keinerlei Scan-Daten
Dynamische QR-Codes erfassen nur aggregierte, anonymisierte Daten - kein Personenbezug
Server und Datenbank in Deutschland (EU) auf Hetzner Cloud
Keine Cookies auf Scan-Seiten - Scanner benötigen kein Cookie-Banner
Auftragsverarbeitungsvertrag (AVV) für Business-Kunden auf Anfrage erhältlich
1 kostenloser dynamischer QR-Code ohne Ablaufdatum im Free-Plan

Was macht einen QR-Code DSGVO-konform?

Ein QR-Code selbst ist DSGVO-neutral: Er ist lediglich ein zweidimensionaler Barcode, der eine Information - typischerweise eine URL - kodiert. Die datenschutzrechtliche Relevanz entsteht erst durch das, was beim Scannen auf der Serverseite passiert.

Welche Daten werden beim Scannen erhoben?

Die entscheidende Frage für die DSGVO-Compliance lautet: Speichert der QR-Code-Dienst beim Scan personenbezogene Daten? Das hängt vom Anbieter und vom Code-Typ ab.

Statische QR-Codes kodieren das Ziel direkt im Code. Beim Scannen öffnet das Smartphone die URL ohne Umweg über einen Server des QR-Code-Anbieters. QR-Verse-Server sind dabei nicht beteiligt - es werden keinerlei Scan-Daten erhoben.

Dynamische QR-Codes funktionieren über eine Weiterleitungs-URL (z.B. go.qr-verse.com), die auf das eigentliche Ziel weiterleitet. Diese Weiterleitung ermöglicht es, das Ziel jederzeit zu ändern und Scan-Statistiken zu erheben. Bei QR-Verse werden bei dieser Weiterleitung ausschließlich aggregierte, anonymisierte Daten erfasst:

Gerätetyp (Smartphone, Tablet, Desktop)
Ungefährer Standort auf Länderebene
Zeitstempel des Scans
Browser-Familie

Kein Personenbezug wird hergestellt. Keine Cookies werden auf der Scan-Seite gesetzt.

Hinweis für Ihre Datenschutzerklärung: Wenn Sie dynamische QR-Codes einsetzen, sollten Sie die Datenverarbeitung durch QR-Verse als Auftragsverarbeiter in Ihrer Datenschutzerklärung erwähnen und die erhobenen Datenkategorien (Gerät, ungefährer Standort auf Länderebene, Zeitstempel) beschreiben.

Einwilligung und das TTDSG in Deutschland

Neben der DSGVO gilt in Deutschland das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), das seit Dezember 2021 die Cookie-Einwilligung auf nationaler Ebene regelt. Das TTDSG stellt strengere Anforderungen an Tracking als die ePrivacy-Richtlinie und verlangt eine informierte, freiwillige Einwilligung vor dem Setzen von Cookies oder ähnlichen Technologien.

Für QR-Codes bedeutet das konkret: Da QR-Verse keine Cookies auf Scan-Seiten setzt, benötigen Personen, die Ihren QR-Code scannen, kein Cookie-Banner. Das vereinfacht den Compliance-Aufwand erheblich.

Für das QR-Verse-Dashboard selbst - das Sie als Nutzer verwenden - gilt ein TTDSG-konformes Einwilligungssystem: Deutschland ist als Strict-Opt-in-Land konfiguriert, mit gleich prominenten Ablehnen- und Akzeptieren-Schaltflächen.

Wie QR-Verse die DSGVO erfüllt

QR-Verse wurde mit EU-Datenschutz als technischem Grundsatz gebaut, nicht als nachträglicher Compliance-Schicht. Hier sind die konkreten Maßnahmen:

Server in Deutschland (EU)

Unsere Server und Datenbank werden in Deutschland auf Hetzner Cloud betrieben. Keine Auslagerung von Kerndaten in Drittländer.

Keine Cookies auf Scan-Seiten

Personen, die Ihre QR-Codes scannen, erhalten kein Cookie-Banner - weil wir auf der Scan-Seite keine Cookies setzen.

Anonyme Scan-Analysen

Scan-Statistiken erfassen nur Gerät, ungefähren Standort auf Länderebene und Zeitstempel - kein Personenbezug, keine Nutzerprofile.

Kein Datenverkauf

Wir verkaufen, vermieten oder teilen Ihre personenbezogenen Daten nicht mit Dritten zu Werbezwecken.

Datenexport und Löschung

Sie können Ihre Daten jederzeit aus den Kontoeinstellungen exportieren (CSV + JSON) oder Ihr Konto vollständig löschen.

Keine Drittanbieter-Tracker

QR-Verse verwendet keine Drittanbieter-Tracker auf den Scan-Weiterleitungsseiten.

Ihre Rechte als Nutzer: Gemäß DSGVO stehen Ihnen folgende Rechte zu, die Sie jederzeit über Ihre Kontoeinstellungen oder per Kontaktanfrage ausüben können:

Recht auf Auskunft (Art. 15 DSGVO) - Datenexport aus den Einstellungen
Recht auf Datenübertragbarkeit (Art. 20 DSGVO) - CSV- und JSON-Export
Recht auf Löschung (Art. 17 DSGVO) - Kontolöschung jederzeit möglich

Server und Datenbank in Deutschland (Hetzner Cloud, Nurnberg/Falkenstein); Cloudflare CDN unter DSGVO-konformen Bedingungen. QR-Verse ist ein niederländisches Unternehmen (Firmensitz in den Niederlanden).

DSGVO und dynamische QR-Codes

Dynamische QR-Codes stehen bei deutschen Unternehmen oft unter besonderem Datenschutz-Vorbehalt, weil sie eine Weiterleitung über den Server des Anbieters nutzen. Die entscheidende Frage ist, welche Daten dabei gespeichert werden.

Bei QR-Verse gilt: Die Scan-Weiterleitung über go.qr-verse.com protokolliert ein Scan-Ereignis. Dieser Datensatz enthält ausschließlich aggregierte, anonymisierte Informationen - Gerätetyp, ungefähren Standort auf Länderebene und Zeitstempel. Es werden keine Nutzerprofile erstellt und kein Personenbezug hergestellt.

Auf der Scan-Weiterleitungsseite werden keine Cookies gesetzt. Personen, die Ihren QR-Code scannen, müssen keiner Datenverarbeitung zustimmen, bevor die Weiterleitung erfolgt.

Als Inhaber eines QR-Codes entscheiden Sie selbst, ob aggregierte Scan-Analysen fur Ihren Code aktiviert werden. Personen, die Ihren QR-Code scannen, erhalten kein Cookie-Banner und werden nicht individuell identifiziert - die erfassten Daten sind ausschliesslich aggregierte Zahlen (Gerat, Land, Zeitstempel), ohne Personenbezug.

Für statische QR-Codes gilt: Bei statischen QR-Codes von QR-Verse werden keinerlei Scan-Daten erfasst. Die URL ist direkt im Code kodiert - QR-Verse-Server sind nicht beteiligt. Wenn vollständige Datenvermeidung Priorität hat, ist der statische QR-Code die datenschutzfreundlichste Option.

Empfehlung für die Praxis: Wenn Sie dynamische QR-Codes einsetzen, dokumentieren Sie QR-Verse als Auftragsverarbeiter in Ihrer Datenschutzerklärung und listen Sie die Datenkategorien (Gerät, ungefährer Standort auf Länderebene, Zeitstempel) auf. Ein vollständiger Eintrag erfordert etwa zwei Sätze in Ihrer bestehenden Datenschutzerklärung.

Auftragsverarbeitungsvertrag (AVV) für Unternehmen

Wenn Sie als Unternehmen QR-Verse nutzen und dabei Scan-Daten über Ihre dynamischen QR-Codes erfassen, sind Sie nach Art. 28 DSGVO verpflichtet, mit QR-Verse einen Auftragsverarbeitungsvertrag (AVV) zu schließen. Der AVV regelt die Pflichten des Datenverarbeiters (QR-Verse) gegenüber dem Verantwortlichen (Ihrem Unternehmen).

Wann benötigen Sie einen AVV?

Ein AVV ist erforderlich, wenn QR-Verse in Ihrer Datenverarbeitung als Auftragsverarbeiter auftritt. Das ist der Fall, wenn Sie über dynamische QR-Codes Scan-Statistiken erfassen und QR-Verse dabei als Dienstleister tätig ist.

QR-Verse stellt Business-Kunden auf Anfrage einen AVV bereit. Der Business-Plan kostet 12,99 EUR/Monat und richtet sich an Agenturen, Unternehmensstandorte und alle, die mehr als einen einzelnen QR-Code benötigen.

Business-Plan mit AVV-Option

Nutzen Sie QR-Verse mit der Möglichkeit, einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO anzufordern. Für Agenturen, Filialnetzwerke und datenschutzkritische Branchen.

Business-Plan ansehen →

Für die AVV-Anfrage nutzen Sie bitte die Kontaktseite.

Warum das ein Wettbewerbsvorteil ist: Viele US-amerikanische QR-Code-Anbieter (Flowcode, QR Tiger) bieten keine formellen AVV-Dokumente in deutscher Sprache an. QR-Verse als EU-Unternehmen (Niederlande) mit deutschen Servern ist in einer deutlich stärkeren Position für deutsche und österreichische Unternehmenskunden.

DSGVO-konforme QR-Codes in der Praxis

Die DSGVO-Anforderungen an QR-Codes variieren je nach Branche und Anwendungsfall. Hier ein Überblick der häufigsten Szenarien:

Gastronomie und Restaurants

QR-Code-Speisekarten sind der häufigste QR-Einsatz in der deutschen Gastronomie. Gäste scannen den Code und sehen die Speisekarte auf ihrem Smartphone - ohne App, ohne Anmeldung. Bei statischen QR-Codes (die direkt auf Ihre Speisekarten-URL verweisen) werden keinerlei Daten erhoben. Bei dynamischen Codes werden nur aggregierte Scan-Statistiken erfasst.

Beachten Sie: Wenn Ihre Speisekarten-Website selbst Cookies setzt (z.B. über Google Analytics), gilt das TTDSG für Ihre Website - unabhängig vom QR-Code-Anbieter. Detaillierte Informationen zur DSGVO-konformen Umsetzung in der Gastronomie finden Sie in unserem Restaurant-QR-Code-Leitfaden.

Veranstaltungen und Messen

Auf Messen und Veranstaltungen kommen QR-Codes für Teilnehmer-Check-in, Programminformationen und Lead-Erfassung zum Einsatz. Die Lead-Erfassung via QR-Code erfordert eine explizite Einwilligung des Nutzers - der QR-Code selbst ist datenschutzrechtlich neutral, aber das Formular, auf das er verweist, muss DSGVO-konform ausgestaltet sein.

Gesundheitswesen

Das Gesundheitswesen unterliegt besonders strengen Anforderungen, da Gesundheitsdaten als besondere Kategorie personenbezogener Daten nach Art. 9 DSGVO gelten. QR-Codes für Patienteninformationen, Terminbuchungen oder Medikamentenbeilagen müssen sorgfältig auf ihren Datenschutz-Impact analysiert werden.

Für QR-Codes, die lediglich auf öffentliche Informationsseiten verweisen (Behandlungsablauf, Praxisöffnungszeiten), ist der datenschutzrechtliche Aufwand gering. Sobald Patienten durch den QR-Code identifizierbar werden, greifen die Sonderregeln des Art. 9 DSGVO.

Einzelhandel und E-Commerce

Im Einzelhandel werden QR-Codes für Produktinformationen, Treueprogramme und Zahlungen eingesetzt. Produktinformations-QR-Codes auf Verpackungen sind in der Regel datenschutzrechtlich unkritisch. Sobald Scan-Daten mit Nutzerkonten verknüpft werden, entsteht Personenbezug - und damit volle DSGVO-Pflichten.

Weitere Informationen zu QR-Codes im Einzelhandel finden Sie in unserem Leitfaden für Einzelhandel und E-Commerce.

Häufige Fragen zur DSGVO und QR-Codes

Jetzt DSGVO-konformen QR-Code erstellen

Sie haben jetzt alle Informationen, um eine rechtssichere Entscheidung für Ihren QR-Code-Einsatz zu treffen. QR-Verse bietet Ihnen:

Kostenloser Start: 1 dynamischer QR-Code ohne Ablaufdatum, ohne Scan-Begrenzung
Server in Deutschland (EU) auf Hetzner Cloud
Keine Cookies auf Scan-Seiten - kein Banner für Ihre Scanner nötig
Anonyme Analysen - kein Personenbezug, DSGVO-konform
AVV für Business-Kunden - auf Anfrage über die Kontaktseite

Weiterführende Informationen zu Sicherheit und Datenschutz bei QR-Verse finden Sie auf der Sicherheitsseite.

Kostenlos DSGVO-konformen QR-Code erstellen

Server in Deutschland. Keine Cookies für Scanner. Anonyme Analysen. AVV für Business-Kunden auf Anfrage. Kostenlos starten, kein Konto erforderlich.

Kostenlos DSGVO-konformen QR-Code erstellen →