×
Der DSGVO QR Code Auditor: Ist Ihr QR Code Anbieter wirklich datenschutzkonform?

Der DSGVO QR Code Auditor: Ist Ihr QR Code Anbieter wirklich datenschutzkonform?

Wer haftet, wenn der Marketing-QR Code gegen die DSGVO verstößt?

book reader icon
5 Minuten
facebook logo gray
blueskylogo gray
linkedin logo gray
mail logo gray

Ob auf Flyern, Produktverpackungen oder Plakaten: QR Codes sind im modernen Marketing unverzichtbar. Doch Vorsicht: Fast alle großen, internationalen QR Code-Generatoren werben zwar mit "DSGVO-konform"-Siegeln, verstoßen aber beim Scannen durch europäische Nutzer systematisch gegen geltendes Recht.

Für Unternehmen, Konzerne und Behörden ist das ein unkalkulierbares Haftungsrisiko. Mit unserem kostenlosen DSGVO Kurz-URL Auditor prüfen Sie in Echtzeit, ob Ihr aktueller Anbieter den strengen Vorgaben von IT-Sicherheit und Datenschutzbeauftragten wirklich standhält – oder ob Ihnen eine Abmahnung droht.

 

Geben Sie dort einfach eine beliebige Kurz-URL ein oder wählen Sie einen der bekannten Anbieter aus der Liste, um den Live-Test zu starten.
DSGVO QR Code Auditor Test Ergebnis
DSGVO QR Code Auditor Test Ergebnis

Das „Compliance-Abzeichen“-Dilemma: Warum Marketing-Versprechen oft täuschen

Wer nach einem QR Code-Generator sucht, stößt bei fast allen großen internationalen Anbietern auf prominente Banner mit der Aufschrift „DSGVO-konform“ oder „GDPR Compliant“. Doch schaut man sich die technische Realität an – also den Weg, den die Daten eines Nutzers im Moment des Scannens tatsächlich zurücklegen –, zeigt sich ein völlig anderes Bild.

Das Problem: Viele Anbieter deklarieren sich als konform, weil sie die Daten ihrer Kunden ordnungsgemäß verwalten. Was sie oft verschweigen oder ignorieren, ist die Infrastruktur der Weiterleitung (Routing). Sobald ein europäischer Nutzer einen QR Code scannt, wird seine IP-Adresse (ein personenbezogenes Datum laut DSGVO) an den Routing-Server übertragen. Liegt dieser Server in einem Drittland ohne angemessenes Datenschutzniveau oder werden ungefragt Tracking-Cookies gesetzt, liegt bereits ein Datenschutzverstoß vor.

Die Realität im Überblick: Beliebte QR Code-Dienste (QR Planet, bit.ly, Uniqode,...) im technischen Audit

Anbieter / DienstDSGVO konformRealität: UnternehmenssitzePrivacy Act
Hosting Provider
Realität: Datenverarbeitung & Weiterleitung
QR Planet / QR1Österreich (EU)✔ erfülltt
✔ Hetzner (Germany)
Server-Infrastruktur komplett in Deutschland (Hetzner). Keine persistenten Tracking-Cookies während des Redirects.
Uniqode (ehemals Beaconstac)
USA (Uniqode Phygital Inc.)❌ unerlaubte Cookies
✔ AWS (Germany)
Die Daten-Infrastruktur leitet Anfragen über US-Server ohne anerkannte DPF-Angemessenheitsbeschlüsse
QR Code Tiger (qr1.be)
Singapur (QRTIGER PTE. LTD.)✔ erfüllt
✖ DigitalOcean (US)
Die Weiterleitungsserver operieren in einem Drittland ohne spezifische EU-Angemessenheitsbeschlüsse
Bitly
USA (Bitly, Inc.)❌ unerlaubte Cookies
✖ Bitly (US)
Basiert stark auf US-Infrastruktur und setzt während der Kurz-URL-Weiterleitung häufig Analyse-Cookies vor der Einwilligung des Nutzers.

Stand 15. Juli 2026

Die zwei häufigsten DSGVO-Fallen bei Kurz-URLs und QR Codes

Wenn Sie die Links Ihrer aktuellen Kampagnen analysieren, sollten Sie vor allem auf diese beiden kritischen Punkte achten, die bei internationalen Anbietern fast immer fehlschlagen:
  1. Illegale Drittland-Übermittlung (Server-Jurisdiktion): Sobald die Server, die die Weiterleitung verarbeiten, außerhalb des EWR (Europäischer Wirtschaftsraum) liegen und kein Abkommen wie das EU-U.S. Data Privacy Framework greift, ist die Übermittlung der Nutzer-IP-Adresse ohne explizite Vorab-Einwilligung des Scanners unzulässig.
  2. Cookies ohne Einwilligung (ePrivacy-Richtlinie): Wenn ein Tool während des Bruchteils einer Sekunde bei der Weiterleitung ein persistentes Tracking- oder Analyse-Cookie setzt, verstößt dies direkt gegen die EU-Cookie-Richtlinie (ePrivacy). Der Nutzer hat zu diesem Zeitpunkt schließlich noch gar keine Chance gehabt, auf ein Cookie-Banner zu klicken.

Wie funktioniert der Auditor? Die 3 Prüfsteine des Datenschutzes

Unser Tool nimmt die Ziel-URL unter die Lupe und untersucht den Anbieter auf drei kritische datenschutzrechtliche Säulen:

1. Hosting-Gerichtsbarkeit (Wo steht der Server?)

Der Auditor ermittelt die IP-Adresse hinter der Kurz-URL und bestimmt das Land, in dem der Server steht, der die Weiterleitung ausführt.
  • Warum das wichtig ist: Steht der Server außerhalb der EU (z. B. in den USA), wandern die Metadaten des Nutzers (wie dessen IP-Adresse) beim Scannen des QR Codes sofort in ein Drittland. Dies ist ohne rechtliche Absicherung ein schwerer DSGVO-Verstoß.
  • Die Ausnahme: Wird der Server von einem US-Unternehmen betrieben, muss dieses zwingend dem EU-U.S. Data Privacy Framework (DPF) beigetreten sein, um Daten aus Europa legal empfangen zu dürfen.

2. Unternehmensstatus (Wo sitzt der Anbieter?)

Hier prüft das Tool, wo der Anbieter seinen Hauptfirmensitz registriert hat.
  • Warum das wichtig ist: Idealerweise sitzt der Anbieter in der EU. Sitzt er außerhalb, wird es komplizierter. Besonders kritisch ist dies bei US-amerikanischen Anbietern.
  • Das US-Problem (CLOUD Act): US-Unternehmen sind gesetzlich verpflichtet, US-Behörden (wie dem FBI oder der NSA) auf Anordnung Zugriff auf ihre Daten zu gewähren – und zwar weltweit, völlig unabhängig davon, ob der Server physisch in Frankfurt, Dublin oder Oregon steht. Diese heimliche Zugriffsmöglichkeit kollidiert direkt mit der DSGVO.
Dieser Test prüft, ob der Server während des Weiterleitungsprozesses (Redirect) ungefragt Cookies im Browser des Nutzers hinterlässt oder Tracking-Skripte lädt.
  • Warum das wichtig ist: Laut ePrivacy-Richtlinie ist das Speichern von Informationen auf dem Endgerät des Nutzers ohne dessen vorherige, aktive Einwilligung (Opt-in) strengstens verboten. Erzeugt der Anbieter bei der bloßen Weiterleitung ein Tracking-Cookie, ohne dass der Nutzer zugestimmt hat, ist das ein direkter Gesetzesbruch.

Testergebnisse verstehen: Wann ist der Test bestanden?

Der Auditor liefert Ihnen nach der Analyse ein klares Ergebnis. Es gibt zwei mögliche Ausgänge:
  • Grünes Licht (100 % konform): Der Anbieter besteht alle drei Tests.
  • Rotes Licht (KO-Kriterium): Mindestens einer der drei Tests schlägt fehl. Hier sollten Sie dringend prüfen, ob Sie diesen Anbieter für Ihre Kampagnen rechtssicher nutzen können.

Ergebnis-Szenarien: DSGVO-konform oder Risiko

1. Hosting-Gerichtsbarkeit

✅ Die Infrastruktur des Routing-Servers befindet sich innerhalb des Europäischen Wirtschaftsraums (EWR).

❌ Der Routing-Server verarbeitet Anfragen außerhalb der Europäischen Union (ohne anerkannte Schutzgarantien).

2. Unternehmensstatus

✅ Der Anbieter hat seinen Sitz in der EU oder das außereuropäische Unternehmen verfügt über eine aktive Zertifizierung nach dem EU-U.S. Data Privacy Framework (DPF) bzw. nutzt anerkannte Standardvertragsklauseln (SCCs).

❌ Das Unternehmen unterliegt durch seinen US-Sitz dem CLOUD Act (Zugriffsrisiko durch US-Behörden) oder operiert in Drittstaaten (wie Singapur) ohne die notwendigen vertraglichen Garantien (SCCs) mit seinen Kunden zu vereinbaren.

✅ Keine unzulässigen Cookies oder Tracking-Skripte während der Weiterleitung gefunden. 

❌ Nicht konform. Es wurde versucht, ein Tracking-Cookie auf dem Gerät des Nutzers zu platzieren, bevor dieser seine Einwilligung gegeben hat.

Warum Sie mit qr1.at auf der sicheren Seite sind

Als europäischer Anbieter mit Sitz in Österreich entwickeln und betreiben wir unsere QR Code-Infrastruktur nach dem Prinzip „Privacy by Design“:
  1. Unsere Weiterleitungsserver stehen ausnahmslos in hochsicheren europäischen Rechenzentren.
  2. Wir sind ein österreichisches Unternehmen – wir unterliegen keinem US CLOUD Act und geben keine Daten an ausländische Geheimdienste weiter.
  3. Unser Standard-Tracking bei der Weiterleitung arbeitet zu 100 % cookielos. Wir respektieren die Privatsphäre Ihrer Kunden ab der ersten Sekunde.
Machen Sie jetzt den Test und prüfen Sie Ihren aktuellen QR Code-Dienstleister auf Herz und Nieren:
 

Quellen

Letzte Aktualisierung vor 57 Minuten