karta
Kostenlos starten
← Alle Artikel
·11 Min

QR-Code-Tracking: Wie viele Menschen scannen meinen Code wirklich? (mit Anleitung)

Ein QR-Code, den niemand scannt, ist eine teure Designentscheidung. Wer Werbung druckt — egal ob Flyer, Plakat, Visitenkarte oder Roll-Up auf der Messe — will wissen, ob der Aufwand sich gelohnt hat. Das Schöne: Anders als bei klassischer Print-Werbung gibt es bei QR-Codes ein eingebautes Mess-Instrument. Jeder Scan hinterlässt eine digitale Spur. Das Schwierige: In Deutschland und der EU sind dabei nicht alle Spuren erlaubt.

Dieser Artikel klärt drei Dinge. Erstens: Was technisch beim Scan eines dynamischen QR-Codes wirklich passiert und was du daraus über deine Nutzer lernen kannst. Zweitens: Was die DSGVO dabei zulässt und was nicht. Drittens: Welche Scan-Raten für verschiedene Print-Materialien realistisch sind, damit du deine Zahlen richtig einordnen kannst.

Wie QR-Code-Tracking technisch funktioniert

Tracking ist nur bei dynamischen QR-Codes möglich. Zur Erinnerung: Ein dynamischer Code zeigt nicht direkt auf die Ziel-URL, sondern auf einen Weiterleitungs-Service, der den Nutzer in Millisekunden auf das eigentliche Ziel lenkt. Genau in dieser Weiterleitung sitzt der Mess-Punkt.

Beim Scan passiert technisch Folgendes:

Das Smartphone öffnet die Weiterleitungs-URL, etwa qr.deinefirma.de/m4f6. Der Server, der diese URL bedient, bekommt eine HTTP-Anfrage. In dieser Anfrage stehen — automatisch und ohne dass der Nutzer etwas zustimmen muss — eine Reihe technischer Informationen: IP-Adresse, User-Agent (also Geräte- und Browser-Kennung), Zeitstempel, manchmal ein Referrer.

Der Server speichert diese Anfrage als Log-Eintrag und schickt eine HTTP-302-Weiterleitung zurück, die das Smartphone auf das eigentliche Ziel lenkt. Aus diesen Log-Einträgen baut das Dashboard dann die Statistik.

Was lässt sich aus den Logs ableiten?

Aus den rohen Server-Daten kannst du Folgendes herausziehen:

Anzahl der Scans pro Code. Der einfachste und wichtigste Wert. Wer einen Code 100-mal vergibt und 7 Scans sieht, hat eine Scan-Rate von 7 Prozent. Bonus: Du erkennst Doppel-Scans desselben Geräts, wenn du IP plus User-Agent zwischenspeicherst. Aber Achtung — datenschutzrechtlich ist das nicht trivial, dazu gleich mehr.

Zeitstempel. Du siehst, wann gescannt wurde. Auf die Stunde genau, was bei Eventbewerbung oder Plakatkampagnen wertvoll ist. Wenn dein Plakat in der U-Bahn-Station hängt und 80 Prozent der Scans zwischen 7:30 und 9:00 Uhr passieren, weißt du, dass der Berufsverkehr dein Hauptkanal ist.

Land oder Region. Aus der IP-Adresse lässt sich mit hoher Genauigkeit das Land ableiten, mit etwas weniger Genauigkeit auch die Stadt oder Region. Wichtig: Die genaue Geo-Lokalisierung ist nicht zuverlässig auf Straßenniveau, und sie wird ungenauer bei Mobilfunk-Verbindungen, weil die IP zur Mobilfunk-Vermittlungsstelle gehört, nicht zum tatsächlichen Standort.

Gerätetyp. Aus dem User-Agent erkennst du, ob iPhone, Android-Phone, iPad oder Desktop-Browser. Das ist nützlich, um zu prüfen, ob deine Landing-Page auf den dominanten Geräten gut aussieht. Bei deutschen Visitenkarten-Scans liegt der iOS-Anteil typischerweise zwischen 40 und 60 Prozent, bei Mainstream-Print-Kampagnen eher bei 30 bis 45 Prozent.

Browser und Betriebssystem-Version. Hilft bei Bug-Diagnose, wenn die Landing-Page auf bestimmten Geräten Darstellungsprobleme hat.

Was du nicht direkt aus dem Scan weißt

Wichtig ist auch, was du nicht weißt:

Du kennst nicht die Identität des Scannenden. Wer hinter der IP-Adresse 91.234.x.x steckt, weißt du nicht — und sollst du in der Regel auch nicht wissen.

Du weißt nicht, was nach dem Scan passiert. Hat die Person die Landing-Page wirklich angesehen? Hat sie die vCard heruntergeladen? Hat sie auf den Bestell-Button geklickt? Diese Conversion-Daten liegen erst auf der Ziel-Seite und brauchen dort eine eigene Analyse.

Du weißt nicht, ob ein Scan zu echtem Interesse oder bloßer Neugier führte. Manche Scans sind Tests durch dich selbst oder durch Kollegen. Bereinige deine Statistik um diese Test-Scans, sonst verfälschen sie das Bild.

DSGVO: Was darfst du tracken, was nicht?

Der wichtigste Satz in diesem Artikel: Anonymisierte Aggregat-Daten sind in der EU ohne Cookie-Consent erlaubt. Personenbezogene Daten, Wiedererkennung über Geräte hinweg oder Marketing-Tracking brauchen Consent.

Im Detail:

Was geht ohne Cookie-Banner

Aggregierte Scan-Anzahl. Du darfst zählen, wie oft ein Code gescannt wurde, geteilt nach Tag, Stunde, Land oder Gerätetyp. Solange du nicht versuchst, einzelne Personen wiederzuerkennen, ist das datenschutzrechtlich unproblematisch. Rechtsgrundlage ist meist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenmessung), kombiniert mit Art. 25 (Datenminimierung).

IP-Anonymisierung. Es ist üblich und sinnvoll, IP-Adressen vor der Speicherung um die letzten Oktette zu kürzen. Aus 91.234.56.78 wird 91.234.56.0 oder gleich 91.234.0.0. Das genügt für Geo-Lokalisierung auf Stadt- oder Regionsebene und genügt der Anforderung an Anonymisierung.

User-Agent-Auswertung. Aggregiert ist das okay. Also: „62 Prozent der Scans kamen von iOS, 38 Prozent von Android." Nicht okay wäre eine Auswertung, die einzelne Geräte identifiziert.

Server-Logs für 7 bis 30 Tage. Server-Logs zur technischen Sicherheit (Spam-Abwehr, Bot-Erkennung) zu speichern, ist gängig und durch berechtigtes Interesse gedeckt. Üblich sind 7 bis 14 Tage Speicherdauer, manchmal bis zu 30 Tage.

Was Consent braucht

Cookies oder Local Storage zur Wiedererkennung. Sobald du auf der Landing-Page einen Cookie setzt, der den Nutzer beim nächsten Besuch wiedererkennt, brauchst du nach TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) Consent. Das gilt auch für „funktionale" Cookies, die über die reine Funktionsfähigkeit hinausgehen.

Geräte-Fingerprinting. Eine Kombination aus IP, User-Agent, Bildschirmgröße, Schriftarten-Liste und so weiter, die einen Nutzer wiedererkennbar macht, gilt als Tracking. Auch ohne Cookie. Auch ohne Consent unzulässig in der Regel.

Drittanbieter-Pixel. Wenn du Google Analytics, Meta-Pixel, LinkedIn-Insight-Tag oder Ähnliches auf der Landing-Page einbindest, brauchst du Consent — vorher kein Laden des Skripts.

Detaillierte Geo-Lokalisierung. Eine Genauigkeit auf Postleitzahl-Ebene oder feiner ist datenschutzrechtlich heikel. Geo-IP auf Stadt-Ebene ist die Grenze, die in der Praxis als unkritisch gilt.

Praktische Konsequenz

Ein gutes QR-Code-Tool für DACH-Markt sollte standardmäßig so konfiguriert sein, dass es ohne Consent auskommt: anonymisierte Scan-Statistik, aggregierte Geräte- und Geo-Daten, kein Drittanbieter-Pixel auf der Weiterleitungs-Seite. Wer mehr will — etwa Conversion-Tracking auf der Ziel-Seite — kommt um ein Cookie-Banner nicht herum.

Was du als Betreiber tun musst:

Best Practices für sinnvolles QR-Code-Tracking

Tracking ist mehr als „Ich gucke mal, ob jemand gescannt hat". Vier Praktiken, die in der Praxis den Unterschied machen.

1. UTM-Parameter für Conversion-Pfade

Wenn dein QR-Code auf eine eigene Landing-Page zeigt und du dort Web-Analytics betreibst (mit Consent oder einem datenschutzfreundlichen Tool wie Plausible oder Fathom), dann hänge UTM-Parameter an die Ziel-URL. So:

https://deinefirma.de/aktion?utm_source=qr&utm_medium=plakat&utm_campaign=fruehjahr2026

Damit weißt du auf der Analytics-Seite, dass dieser Traffic vom Plakat kam — und kannst ihn von Direkt-Traffic, organischer Suche oder Social-Media-Klicks unterscheiden. Bei mehreren Print-Materialien gleichzeitig kannst du sie differenzieren:

So baust du dir auch ohne ausgefeiltes Tool ein klares Bild davon, welcher Kanal funktioniert.

2. A/B-Test mit zwei Codes

Wenn du wissen willst, ob Layout A oder Layout B deines Plakats besser performt, drucke beide. Auf jedem Layout ein eigener QR-Code, der auf dieselbe Landing-Page zeigt, aber über zwei verschiedene Weiterleitungen läuft. So kannst du die Scan-Zahlen direkt vergleichen.

Wichtig dabei:

3. Heatmaps auf der Landing-Page

Wenn du auf der Landing-Page Tools wie Hotjar oder Microsoft Clarity einsetzt, brauchst du Cookie-Consent — und damit ein Banner. Die Erkenntnisse können trotzdem wertvoll sein: Wo klicken Leute? Wie weit scrollen sie? Wo brechen sie ab?

Datenschutzfreundlichere Alternativen wie Matomo (selbst gehostet, ohne Cookies) oder das eingebaute Web-Vitals-Reporting moderner Browser sind eine Option, kosten aber Konfigurationsaufwand.

4. Zeitliche Auswertung

Schau dir die Scan-Zeiten an. Sie verraten erstaunlich viel:

Bei einer Visitenkarte ist der erste Scan typischerweise innerhalb von 24 Stunden nach Übergabe — das ist der „bevor ich die Karte verliere"-Reflex. Spätere Scans verteilen sich über Wochen.

Bei einem Plakat kannst du die Spitzen mit Pendlerströmen abgleichen.

Bei einem Flyer-Wurf siehst du den Scan-Peak typischerweise am Verteiltag und dem Folgetag, danach klingt es exponentiell ab.

Realistische Benchmarks: Was sind gute Scan-Raten?

Hier wird es heikel, weil seriöse Benchmarks selten sind und Anbieter gerne mit den hohen Werten der Branche werben. Was du dir merken solltest: Die Streubreite ist enorm, und „typisch" hängt stark von Material und Zielgruppe ab.

Annäherungswerte, die in der Branche kursieren — mit der Einschränkung, dass das eher Erfahrungswerte als publizierte Studien sind:

Visitenkarten: 5 bis 25 Prozent der ausgegebenen Karten werden mindestens einmal gescannt. Wer auf Konferenzen netzwerkt und sehr digital-affines Publikum trifft, kommt eher in den oberen Bereich.

Flyer (Hauswurf): 0,2 bis 2 Prozent der Empfänger scannen. Hauswurf-Reaktionsraten sind generell niedrig, der QR-Code ist dabei nur einer von mehreren Faktoren.

Flyer (Hand-zu-Hand-Verteilung in Innenstadt): 1 bis 5 Prozent. Höher als bei Hauswurf, weil der Empfänger den Flyer aktiv annimmt.

Plakate (Out-of-Home in stark frequentierten Bereichen): Sehr niedrige Scan-Raten pro Sichtkontakt, aber hohe absolute Zahlen wegen der Reichweite. Eine Plakatkampagne mit 1 Million Sichtkontakten kann zwischen 500 und 5.000 Scans erzeugen.

Bauzaun-Werbung: 0,1 bis 1 Prozent der Vorbeigehenden, je nach Standort und Bauzeit. Der absolute Wert hängt extrem von der Frequenz am Standort ab.

Speisekarten und Tisch-QRs in der Gastronomie: Sehr hoch, oft über 50 Prozent der Tische, weil der Code im Moment des Bedarfs gescannt wird.

Produktverpackungen: 1 bis 8 Prozent der verkauften Einheiten, wobei höhere Werte typisch für Premium-Produkte sind, bei denen Käufer mehr Interaktion suchen.

Messe-Roll-Ups: 2 bis 10 Prozent der Standbesucher. Stark abhängig davon, ob das Standpersonal aktiv auf den Code hinweist.

Diese Zahlen sind keine Versprechen. Sie sind Größenordnungen, an denen du deine Erwartungen kalibrieren kannst, wenn du noch keine eigene Datenbasis hast. Sobald du zwei oder drei Kampagnen gefahren bist, hast du deinen eigenen Benchmark — und der ist viel wertvoller als jeder Branchen-Durchschnitt.

Wann Scan-Raten irreführend sind

Drei Fallstricke, die du kennen solltest:

Test-Scans verfälschen kleine Datenmengen. Wenn dein Plakat 30 Scans hat und drei davon waren du selbst beim Aufhängen, sind das schon 10 Prozent Rauschen. Bereinige solche Scans, bevor du Schlüsse ziehst.

Scans messen nicht Qualität. 100 Scans, die alle nach 2 Sekunden wieder abspringen, sind weniger wert als 20 Scans, die zu Anfragen führen. Schau immer auch auf das, was nach dem Scan passiert.

Wiederhol-Scans desselben Geräts sind nicht trivial zu zählen, ohne in Fingerprinting-Bereich zu rutschen. Manche Tools nähern sich über IP plus User-Agent-Kombinationen, die für ein paar Stunden zwischengespeichert werden. Das ist datenschutzrechtlich vertretbar, wenn die Speicherdauer kurz und die Daten nicht persönlich sind.

Wie du dein Tracking-Setup aufbaust

Konkrete Schritte für ein sauberes Setup:

Schritt 1: Wähle einen Anbieter, der EU-gehostet ist und dynamische Codes mit serverseitiger Statistik liefert.

Schritt 2: Lege pro Print-Medium und pro Kampagne einen eigenen Code an. Nicht denselben Code auf Flyer und Plakat — sonst kannst du die Quellen nicht trennen.

Schritt 3: Baue UTM-Parameter in die Ziel-URL ein, falls du auf der Ziel-Seite Web-Analytics betreibst.

Schritt 4: Bereinige die ersten Scan-Tage um eigene Test-Scans, indem du dein eigenes Gerät identifizierst und seine Werte aus der Statistik herausnimmst.

Schritt 5: Setze realistische Benchmarks. Nicht „wir wollen 50 Prozent Scan-Rate", sondern „wir wollen mindestens 8 Prozent bei Visitenkarten in Konferenz-Kontext".

Schritt 6: Lass die Daten ein paar Wochen sammeln, bevor du Schlüsse ziehst. Print-Effekte sind langsam, ein Plakat wird über Wochen wahrgenommen, nicht über Tage.

Schritt 7: Veröffentliche eine Datenschutzerklärung, die offen sagt, was du trackst und auf welcher Rechtsgrundlage. Das ist Pflicht und es ist auch einfach gute Praxis.

Fazit

QR-Code-Tracking ist 2026 ein gut etabliertes Werkzeug, das in Deutschland und der EU ohne Cookie-Banner und ohne Consent funktioniert — wenn man die Daten anonymisiert hält und auf invasive Methoden verzichtet. Was du bekommst, sind aggregierte Scan-Zahlen, grobe Geräte- und Standort-Verteilungen und Zeitstempel. Was du dafür nicht brauchst, sind Cookies, Pixel oder Fingerprints.

Die Werte selbst sind je nach Kanal sehr unterschiedlich. Realistische Erwartungen sind der wichtigste Schutz vor Enttäuschung — und vor Anbieter-Marketing, das mit Branchen-Best-Cases von 30-Prozent-Scan-Raten wirbt, die in der Praxis nur in sehr spezifischen Setups erreicht werden.

Wer Tracking ernst nimmt, kombiniert die Scan-Statistik mit UTM-getrennten Conversion-Daten auf der Ziel-Seite und A/B-Tests bei größeren Auflagen. Wer nur wissen will, ob das Plakat überhaupt jemand wahrnimmt: Auch dafür reicht die Anzahl der Scans pro Tag schon aus.

Über Karta

Karta liefert dynamische QR-Codes mit DSGVO-konformer, serverseitiger Statistik. Anonymisierte Scan-Anzahl, Tag, Land, Gerätetyp — kein Cookie-Banner, kein Drittanbieter-Pixel. Hosting in Frankfurt, deutschsprachiges Dashboard. Wenn du gerade ein Tracking-Setup für deine nächste Print-Kampagne aufbaust, schau dir karta.app an.

Visitenkarten, die mitwachsen.

Probier Karta kostenlos aus — keine Kreditkarte, Free-Plan dauerhaft.

Kostenlos starten