QRcito

· 6 Min

Verfolgen dich QR-Code-Generatoren? In 30 Sekunden prüfen

Welche Daten QR-Code-Generatoren sammeln können, wie du prüfst ob deine Daten den Browser verlassen, und wie du einen wirklich privaten Generator wählst.

Tracken QR-Code-Generatoren Sie? In 30 Sekunden pruefen

Einen QR-Code zu erstellen wirkt harmlos: Sie fuellen ein Formular aus, Sie erhalten ein Bild. Nicht sichtbar ist, was mit den eingegebenen Daten passiert – ob sie im Browser bleiben oder an den Anbieter-Server wandern.

Fuer WLAN, vCard, Zahlungen und alle persoenlichen Daten ist dieser Unterschied wichtig – besonders unter der DSGVO.

Kurzantwort

  • Online-QR-Generatoren koennen zwei getrennte Dinge tracken: die eingegebenen Daten (Passwort, Kontakt, URL) und wer den QR spaeter scannt.
  • Das Tracking der Eingaben haengt davon ab, ob die Erzeugung serverseitig (Daten wandern an einen Server) oder client-seitig (alles laeuft im Browser) geschieht.
  • Scan-Tracking ist nur bei dynamischen QR-Codes moeglich: Der QR verweist auf eine Anbieter-URL, die jeden Aufruf protokolliert.
  • Sie koennen das in 30 Sekunden mit den DevTools Ihres Browsers (Tab Netzwerk) beim Erzeugen pruefen.
  • Bei sensiblen Daten (WLAN, vCard, Zahlungen) nehmen Sie client-seitige Generatoren, ohne Anmeldung, idealerweise quelloffen.

Welche Tracking-Arten in einem QR-Generator existieren

Drei unterschiedliche Ebenen:

1. Tracking der Eingaben

Wenn Sie das Formular ausfuellen (SSID, Passwort, Kontakt, URL), koennen diese Informationen:

  • Im Browser bleiben und niemals uebertragen werden (client-seitige Erzeugung).
  • Zum Anbieter-Server reisen, um dort das Bild zu bauen und zurueckzugeben (serverseitige Erzeugung). Sie koennen dann in Logs, Analytics oder Datenbanken verbleiben.

Die meisten Online-Generatoren sind serverseitig, weil das die einfachste Umsetzung ist. Das heisst nicht zwangslaeufig, dass der Anbieter boesartig ist – aber Ihre Daten laufen durch dessen Infrastruktur.

2. Tracking der Person, die den QR erzeugt

Wie jede Website kann der Generator enthalten:

  • Analytics (Google Analytics, Plausible, Matomo usw.).
  • Drittanbieter-Cookies und Werbepixel (Meta, TikTok, Google Ads).
  • Browser-Fingerprinting, das Sie ohne Cookies identifiziert.
  • Pflichtkonto, das jeden erzeugten QR mit Ihrer Identitaet verknuepft.

Das ist unabhaengig von der Erzeugung des QR selbst, aber Teil des Pakets.

3. Tracking der Person, die den QR scannt

Trifft nur auf dynamische QR-Codes zu: Der Code zeigt auf eine kurze Anbieter-URL (qr.xx/abc123), die auf das echte Ziel weiterleitet. Jede Weiterleitung wird protokolliert mit:

  • exakter Scanzeit,
  • IP der nutzenden Person (und damit ungefaehrer Standort),
  • Geraetetyp, Betriebssystem, Browser,
  • Referer, falls vorhanden.

Bei dynamischen QR-Codes ist Scan-Tracking kein Zufall – es ist die Existenzberechtigung des Produkts.

So erkennen Sie, ob Ihr Generator Sie trackt (ohne Code)

Drei Minuten mit einem modernen Browser:

  1. Oeffnen Sie den Generator, den Sie verwenden wollen.
  2. Druecken Sie F12 (oder Rechtsklick -> Untersuchen) und wechseln Sie in den Tab Netzwerk.
  3. Druecken Sie den roten Aufzeichnungs-Button bzw. halten Sie den Tab offen und leeren Sie die Liste.
  4. Fuellen Sie das QR-Formular mit beliebigen Daten aus und klicken Sie auf "Erzeugen".
  5. Schauen Sie sich die Requests an, die in der Liste auftauchen.

Worauf Sie achten:

  • Keine neuen Requests waehrend der Erzeugung: Der QR wird zu 100 % im Browser gebaut. Client-seitig. Ja.
  • Ein POST-Request an eine Anbieter-URL im Moment des Klicks mit Ihren Feldern (SSID, Passwort usw.) im Payload: Ihre Daten reisen zum Server. Serverseitig. Fuer sensible Daten problematisch.
  • Die Antwort ist das QR-Bild (PNG oder SVG) aus dem Backend: Das bestaetigt, dass der Server den Code baut.

Pruefen Sie zusaetzlich, ob die Seite Google Analytics, Meta Pixel oder andere Tracker-Skripte laedt (Requests an google-analytics.com, googletagmanager.com, connect.facebook.net usw.).

Offensichtliche Warnsignale

Auch ohne DevTools gibt es schnelle Indikatoren:

  • Pflicht zur Anmeldung oder einem Konto, nur um einen einfachen QR zu erzeugen.
  • "PRO"-Plan mit detailliertem Scan-Tracking: Wenn das das Geschaeftsmodell ist, steckt Tracking in der DNA.
  • Der heruntergeladene QR traegt die URL des Anbieters statt Ihrer (qr.xx/abc123 statt ihredomain.de): ein dynamischer QR, automatisch getrackt.
  • Die Datenschutzerklaerung erwaehnt Datenaustausch mit Dritten, Marketingpartnern oder Werbezwecke – DSGVO-relevant.
  • Kein veroeffentlichter Quellcode, Tool gratis ohne klares Geschaeftsmodell: Jemand bezahlt dafuer, meistens mit Ihren Daten.

Wie Sie pruefen, dass ein Generator wirklich client-seitig laeuft

Schnelle Checkliste:

  • Funktioniert offline: WLAN trennen, Seite neu laden und versuchen zu erzeugen. Wenn es klappt, ist es client-seitig. Laedt die Seite nicht oder klappt das Erzeugen nicht, haengt sie vom Server ab.
  • Keine Netzwerk-Requests beim Erzeugen (wie oben via DevTools pruefen).
  • Kein Konto noetig, keine E-Mail.
  • Der Quellcode ist einsehbar (Open Source oder nicht minifiziertes JavaScript).
  • Das QR-Ziel ist exakt das, was Sie eintippen – nicht eine gekuerzte Anbieter-URL.

Halten alle fuenf Punkte, kann der Generator weder Sie noch die scannende Person tracken.

Warum das besonders bei WLAN, vCard und Zahlungen zaehlt

Fuer eine oeffentliche URL (Ihre Firmenwebsite, ein oeffentliches PDF) ist es kein zusaetzliches Risiko, wenn der Generator sie "sieht": Sie sollte ohnehin oeffentlich sein.

Drei QR-Typen sind aber kritisch:

  • WLAN: Ihr Netzwerkpasswort. Reist es zum Anbieter-Server, ist es Ihrer Kontrolle entzogen.
  • vCard: Privattelefon, E-Mail, Adresse. Personenbezogene Daten im Sinne der DSGVO.
  • Zahlungen / Bitcoin: Wallet, IBAN, Bankdaten. Hoechste Sensibilitaetsstufe.

Fuer diese Faelle ist ein client-seitiger Generator keine Paranoia, sondern grundlegende Hygiene.

Open Source vs. proprietaer

Dass ein Generator quelloffen ist, garantiert allein noch keinen besseren Datenschutz, erlaubt aber:

  • Den Code zu pruefen und zu verifizieren, dass kein verdecktes Tracking existiert.
  • Die client-seitige Logik zu bestaetigen, ohne dem Anbieter einfach glauben zu muessen.
  • Das Tool selbst zu hosten, wenn Sie volle Kontrolle wollen.

Ein proprietaerer Generator kann genauso privat sein, verlangt aber Vertrauen in die Aussagen des Anbieters. Ohne pruefbaren Code gibt es keine Gewissheit.

In der Praxis: Open Source + kein Konto + keine Netzwerk-Requests beim Erzeugen = hoechster vernuenftiger Datenschutzstandard.

Fazit

Fast jeder Online-QR-Generator verarbeitet Ihre Daten auf seinem Server. Fuer eine oeffentliche URL ist das okay, fuer WLAN, vCard oder Zahlungen riskant. Pruefen Sie in 30 Sekunden: DevTools oeffnen, Tab Netzwerk, beim Erzeugen beobachten. Fliegen keine Requests raus, ist es client-seitig und Ihr Inhalt verlaesst das Geraet nicht.

QRcito erzeugt jeden QR vollstaendig im Browser, ohne Konto, ohne Netzwerk-Requests beim Erzeugen und ohne Drittanbieter-Tracker. Sie koennen das selbst pruefen, indem Sie die DevTools vor dem Erzeugen oeffnen.

FAQ

Was bedeutet "client-seitig" bei einem QR-Generator? Das JavaScript, das das QR-Bild aufbaut, laeuft im Browser. Die Eingaben werden nie an einen Server geschickt. Die Erzeugung ist lokal, sofort und offlinefaehig.

Ist es legal, wenn ein QR-Generator meine Daten speichert? Wenn die Datenschutzerklaerung es ausweist und Sie zustimmen, ja. Das Problem: Viele Richtlinien sind unpraezise oder decken QR-spezifische Daten nicht ab. Im Zweifel davon ausgehen, dass etwas gespeichert wird – und bei sensiblen Daten ein anderes Tool waehlen.

Kann ein statischer QR tracken, wer ihn scannt? Nein. Ein statischer QR laeuft nicht ueber einen Server: Die Information geht vom Code direkt an den Leser. Nur dynamische QR-Codes (mit einer Weiterleitungs-URL) koennen Scans tracken.

Wie greift die DSGVO bei QR-Generatoren? Geben Sie persoenliche Daten (Name, E-Mail, Telefon in einer vCard) in ein serverseitiges Tool in der EU oder mit EU-Nutzern, ist der Anbieter DSGVO-Verantwortlicher. Der einfache Weg zur Minimierung von Risiko und Pflichten: client-seitige Generatoren.

Warum kann QRcito alles gratis und ohne Tracking anbieten? Weil die QR-Erzeugung leichtgewichtig ist und keine teure Infrastruktur verlangt. Client-seitig bedeutet keine Server-Kosten pro Nutzer; ohne Tracking oder Konten gibt es nichts zu verkaufen. Die Seite laeuft zu geringen Kosten, ohne Monetarisierung der Nutzer.

Verwandte Artikel

WLAN-QR-Code erstellen – ohne App, ohne Anmeldung Statischer vs. dynamischer QR-Code: Was du wirklich brauchst Kostenlose Alternativen zu QR Code Generator (kein Paywall, keine Anmeldung)

← Zurück zum Blog