QR-Codes als datenschutzkonformere Variante?

Inzwischen verbreiten sie sich zunehmend: QR-Codes. Mit QR-Codes lassen sich bis zu 4206 Zeichen kodieren; der vorliegende Text hat nur etwas mehr Zeichen. Nun stellt sich uns die Frage, ob die Codierung von Informationen per QR-Code dem Datenschutz dienlich sein kann. Können wir QR-Codes als datenschutzkonformere Variante im Vergleich zu Webseiten-Links, E-Mails, Bilder etc. für die Datenübermittlung betrachten?

Begriffserklärung

Der Begriff QR-Code kommt aus dem Englischen und bedeutet ausgeschrieben Quick Response Code. Er soll also eine schnelle Antwort liefert. Inzwischen kennen ihn sicherlich alle, die ein Smartphone besitzen. Es ist immer ein Quadrat mit scheinbar wirr angeordneten Grafiken innerhalb dieses Viereckes. Die in einem QR-Code enthaltenen Daten nehmen wir mit bloßem Auge in ihrer verschlüsselten Form wahr.

Mögliche Gefahren

Vor dem Scan eines QR-Codes kann der Nutzer nicht erkennen, wohin der QR-Code führt. Somit kann der Code beispielsweise also auch zu einer mit einem Virus infizierten Datei führen oder zu einer Webseite, deren Aufgabe das Ausspionieren von personenbezogenen Daten ist. QR-Codes sind deshalb aus Sicht der IT-Sicherheit gefährlicher als ein Link zu einer Webseite, einer E-Mail, eines Dokumentes usw.

Möglicher Nutzen für den Datenschutz

QR-Codes können die Übermittlung von Informationen vereinfachen und dies in stark komprimierter Form – nämlich als diesen Code. Einen wirklichen Nutzen für speziell den Datenschutz und die Datensicherheit haben QR-Codes an sich jedoch nicht. Ja, sie verschlüsseln Daten, allerdings kann sie jede Person mit einem Gerät, was eine Kameralinse und eine entsprechende App hat, entschlüsseln. Es ist (bisher) wohl auch nicht möglich, sie mit einem Passwort zu versehen, um den Zugriff auf die im QR-Code verschlüsselten Information zu begrenzen. Auch besteht (zum jetzigen Zeitpunkt) nicht die Möglichkeit, das Gerät des Nutzers bei Abruf des QR-Codes zu schützen, da auch dies als technisch nicht möglich erachtet wird.

Datenschutz und der QR-Code

Sofern im QR-Code keine personenbezogenen Daten gespeichert werden, sind QR-Codes datenschutzrechtlich unbedenklich. Wenn ein Nutzer einen QR-Code in einer Cloud-basierten App öffnet, verarbeitet der Verantwortliche dabei die Informationen, welchen QR-Code mit welchem Inhalt die Person aufruft. Der Cloud-Betreiber ist dann für diese Datenverarbeitung verantwortlich, nicht aber derjenige, der den QR-Code angeboten hat. Somit muss der QR-Code-Anbieter darauf nicht im Datenschutzhinweis eingehen. Dabei steht es dem Webseiten-Betreiber natürlich frei, im Datenschutzhinweis zu erwähnen, dass er aufgrund des QR-Codes selbst personenbezogene Daten nicht verarbeitet – vielleicht, um eventuelle Zweifel aufgrund der Neuartigkeit von QR-Codes bei Besuchern zu beseitigen. Grundsätzlich aber muss ein Verantwortlicher nicht auf Vorgänge eingehen, bei denen er personenbezogene Daten nicht verarbeitet.

Anwendungsbereiche

QR-Codes werden vermehrt eingesetzt. Es entsteht der Eindruck, dass mit der teilweise erzwungenen Geschwindigkeitszunahme der Digitalisierung – zumindest in Deutschland – QR-Codes eine Neuartigkeit sind. So verwenden Einrichtungen sie in Deutschland vermutlich besonders verbreitet in Covid-19-Apps, um Nutzern die Anwendung möglichst einfach zu gestalten. Dabei haben sie aber auch in anderen Bereichen – teilweise längst – Einzug gehalten:

1)     Beim Online-Banking verwenden Unternehmen sie, um Codes zur Autorisierung für Überweisungen, zur Authentifizierung des Kontoinhabers usw. zu generieren. (Hierüber ist dann gemäß Art. 13 DSGVO zu informieren.)

2)    In der Tourismusindustrie kommen sie zum Einsatz, um Touristen zu bestimmten Informationen von Sehenswürdigkeiten hinzuleiten. Folglich können sich Wissbegierige dann unterwegs in einer App über eine Statue etc. (mehr) Wissen aneignen.

3)    In der Automobilindustrie kommen sie seit über 20 Jahren zum Einsatz. So sollen sie auf kleinsten Flächen alle gegebenenfalls notwendigen Informationen in einem Code liefern können. (Falls diese Informationen zu individuellen Wünschen eines bestimmten Autokäufers/-besitzers enthält, ist es ein personenbezogenes Datum. Die betroffene Person ist entsprechend über die Verarbeitung zu unterrichten.)

4)    In der Kleidungsindustrie finden wir sie auf den kleinen Informationszetteln, beispielsweise um mehr Details über die Produktion etc. zu erfahren.

Fazit

Wie schon erwähnt, fallen QR-Codes solange nicht in den Anwendungsbereich der DSGVO, solange darin keine personenbezogenen Daten verarbeitet werden. Was als Verantwortlicher allerdings dennoch zu bedenken ist, ist Besucher über sonstige Verarbeitungen ihrer personenbezogenen Daten zu informieren, also dort, wo er den QR-Code zur Verfügung stellt: auf der Webseite, in der App, bei Besuch einer öffentlichen Veranstaltung etc. Dabei können wir Sie gern beraten, sodass Sie Ihren Pflichten als Verantwortlicher einer Verarbeitung von personenbezogenen Daten gemäß den Regelungen der DSGVO nachkommen. Kontaktieren Sie uns dazu am besten noch heute!