Was früher ein unscheinbares Quadrat war, ist heute ein omnipräsentes Werkzeug im Alltag: Der QR-Code hat sich – beschleunigt durch die Pandemie – vom Nischenprodukt der Logistik zum digitalen Tor zwischen analoger und virtueller Welt entwickelt. Seine einfache technische Handhabbarkeit kontrastiert dabei mit einer wachsenden Komplexität rechtlicher Implikationen. In aller Kürze soll hier darauf eingegangen werden, Schwerpunkt ist dabei die Frage der Haftung bei Quishing.
Vertragsschluss und AGB – Die Relevanz von Zugang und Kenntnis
Zentrale zivilrechtliche Fragen rund um QR-Codes betreffen deren Rolle beim Vertragsschluss – insbesondere die Einbeziehung von Allgemeinen Geschäftsbedingungen (AGB). Hier hat das LG Lübeck klargestellt: Auch wenn die AGB nicht in Papierform übergeben werden, genügt ein QR-Code, sofern er auf eine frei zugängliche Internetseite verweist. Entscheidend ist die „zumutbare Möglichkeit der Kenntnisnahme“ (§ 305 Abs. 2 Nr. 2 BGB). Maßstab ist dabei nicht das hypothetische technische Unvermögen einzelner, sondern der „Durchschnittskunde“ – und dem unterstellt die Rechtsprechung heute schlicht ein internetfähiges Smartphone. Das bedeutet: Ein Vertragspartner, der etwa bei Vertragsunterzeichnung auf einen QR-Code zur AGB-Verlinkung verweist, kann sich unter Umständen auf die Wirksamkeit der Einbeziehung berufen. Medienbrüche allein begründen keine Unzumutbarkeit mehr – sofern der Code funktioniert und zu einer lesbaren URL führt.
Ebenso gibt es inzwischen mehrfache Entscheidungen, mit denen ein QR-Code keine besondere Hürde darstellt, um darüber Links zu vorgeschriebenen Informationen zu verteilen – etwa hinsichtlich Greenwashing oder bei Produktinformationen. Mein Rat wäre dennoch, niemals auf Produkten allein auf einen QR-Code zu setzen sondern den Link immer dazu zu schreiben.
Quishing und Bankenhaftung
Wenn QR-Codes zur Falle werden: Die Schattenseite der Digitalisierung zeigt sich in Form des sogenannten „Quishing“ – einem Kunstwort aus „QR-Code“ und „Phishing“. Angreifer manipulieren QR-Codes, um Nutzer gezielt auf täuschend echte, aber gefälschte Websites zu lenken. Die Angriffsszenarien sind dabei so vielfältig wie perfide: QR-Codes auf vermeintlichen Parktickets, gefälschten Bußgeldbescheiden oder vermeintlich seriösen Plakaten, etwa mit Konzertankündigungen, animieren zur Eingabe sensibler Daten oder zur Zahlungsfreigabe. Auch manipulierte QR-Codes auf Restaurantrechnungen oder Paketbenachrichtigungen gehören inzwischen zum Standardrepertoire betrügerischer Kampagnen.
Die juristische Brisanz entfaltet sich insbesondere bei der Frage, wer für einen durch solche Täuschungen verursachten Zahlungsvorgang haftet. Denn in aller Regel geben die Nutzer ihre Daten oder Freigaben freiwillig ein – wenn auch unter falschen Voraussetzungen. Im klassischen Zahlungsdiensterecht greift hier § 675u BGB: Die Bank haftet nicht, wenn der Zahlungsvorgang vom Zahler autorisiert wurde. Und genau dies ist beim Quishing in aller Regel der Fall – der Nutzer scannt, klickt, autorisiert. Aus Sicht der Bank ist der Vorgang formal korrekt.
Damit liegt die Beweislast beim Kunden, der nach § 675w BGB glaubhaft machen muss, dass keine Autorisierung erfolgte – was beim Quishing kaum gelingt. Denn der Angriff erfolgt in der psychologischen Vorstufe: Der Nutzer glaubt an die Echtheit der Seite. Dass er getäuscht wurde, steht dem Formalakt der Autorisierung nicht entgegen. Die Banken werden daher eine Erstattung regelmäßig ablehnen – ein Rückgriff auf das BGH-Urteil zu Phishing (BGH, Urteil vom 26.01.2016 – XI ZR 91/14), das wohl auch beim Quishing zu beachten sein wird, bietet sich dabei an. Zudem lassen sich aus Sicht der Verbraucher oft keine klaren Versäumnisse der Bank nachweisen – etwa in Form einer erkennbaren Unregelmäßigkeit der Transaktion oder eines Sicherheitsversagens. Und selbst wenn, bleibt die Hürde der beweisrechtlichen Darlegung.
Jedenfalls generell vermag ich daher keine Haftung zu erkennen, weder der Vertragspartner noch der Banken. Allerdings ist das im Fluss, zumal Quishing ein sich verbreitendes Phänomen ist. Da Vertragspartner auf die Interessen voneinander wechselseitig Rücksicht nehmen müssen (§241 Abs.2 BGB), ist schon zu erwarten, dass man hier Vorkehrungen schafft – und es ist ein überschaubarer Aufwand, neben einem QR-Code im Klartext die tatsächlichen Daten abzudrucken. Wer das nicht tut, schafft keine Kontrollmöglichkeit und könnte entsprechend §§241, 280 BGB zum Schadensersatz verpflichtet sein.
Für den Verbraucherschutz ist diese Entwicklung bedenklich. Die psychologische Raffinesse digitaler Täuschung trifft auf ein System, das stark auf formale Prüfung baut. Es braucht daher nicht nur technische Schutzmechanismen, sondern auch ein juristisches Nachdenken über Beweislastverteilungen, Zumutbarkeit und die Grenzen der Autorisierung im digitalen Alltag.
Datenschutz und Barrierefreiheit – stille Mitspieler im QR-Code-Einsatz
Ein QR-Code ist nicht nur ein Informationsträger, sondern kann auch personenbezogene Daten enthalten. Schon die Verlinkung auf einen personalisierten Webservice oder ein digitales Ticket kann datenschutzrechtlich relevant sein, da der Code funktionale Daten transportiert – und damit unter die DSGVO fällt. Aus technischer Sicht bleibt der Code eine einfache Grafik. Aus juristischer Sicht wird er jedoch zur Schnittstelle zwischen Informationspflicht und Einwilligung, zwischen Transparenz und Profilbildung.
Zudem bringt das Barrierefreiheitsstärkungsgesetz (BFSG) neue Anforderungen: Informationen, die über QR-Codes bereitgestellt werden, müssen auch für Menschen mit Behinderungen zugänglich gemacht werden. Das bedeutet nicht nur, dass der Code gedruckt wird – sondern dass auch die verlinkten Inhalte den Anforderungen an digitale Barrierefreiheit genügen.
Zwischen freier Nutzung und geschützter Bezeichnung
Wenig bekannt ist, dass „QR Code“ eine eingetragene Wortmarke der japanischen Firma Denso Wave ist, die zur Nutzung eine FAQ bereit halten. Auch wenn die Verwendung des QR-Codes selbst grundsätzlich lizenzfrei ist, könnte die Nutzung der Bezeichnung „QR Code“ im geschäftlichen Verkehr also ganz theoretisch markenrechtlich problematisch werden. Besonders bei werblichem Einsatz – etwa in Flyern oder Apps – sollte mit allgemeinen Ratschlägen ein entsprechender Hinweis auf die Markeninhaberschaft erfolgen, um Ansprüche nach dem MarkenG zu vermeiden.
Allerdings bin ich recht skeptisch, ob hier wirklich Ungemach herrscht, da „QR Code“ inzwischen eine verbreitete Bezeichnung ist, die im Alltag vorherrscht und Maßnahmen zur Rechtsdurchsetzung wohl (?) nicht zu erkennen sind. Das Ergebnis dürfte eine inzwischen recht starke Verwässerung der Marke eingetreten sein. Zudem ist die rechtliche Unterscheidungskraft von QR-Codes als Bildmarke ohnehin fraglich: Das BPatG hat mehrfach betont, dass QR-Codes in ihrer standardisierten Form keine Markenfunktion entfalten, da sie vom Verkehr lediglich als technische Zugangsmittel, nicht aber als Herkunftshinweis verstanden werden. Die fehlende Unterscheidungskraft steht damit einem markenrechtlichen Schutz regelmäßig entgegen.
Fazit
Der QR-Code ist ein Kind der digitalen Beschleunigung: Er ist niedrigschwellig, effizient und mobil. Doch diese technische Eleganz wirft zunehmend komplexe juristische Fragen auf. Von der Einbeziehung in Verträge und Haftungsfragen im Zahlungsverkehr bis hin zum Marken- und Datenschutzrecht ist der QR-Code längst ein Fall für Juristen geworden. Seine Stärke liegt in der Vernetzung – und genau dort beginnen die rechtlichen Risiken. Derzeit sind Haftungsfragen allerdings eher kein Thema, da die Eigenverantwortlichkeit der Nutzer eine starke Rolle spielt. Andererseits müssen Anbieter Kontrollmöglichkeiten schaffen, beispielsweise indem im (nicht überklebbaren) Display von Parkautomaten eine Adresse genannt wird, unter der sich die Daten des QR-Codes verifizieren lassen. Nun, da Quishing ein weitverbreitetes Phänomen ist, werden sich Anbieter jedenfalls nicht mehr gar nicht darum scheren können!
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Subventionsbetrug: BGH zur Reichweite des Vermögensschadens nach § 264 StGB - 16. Februar 2026
- Reichweite eines Verjährungseinredeverzichts bei Haftung von Geschäftsführern nach § 64 GmbHG a.F. - 16. Februar 2026
- Sexueller Missbrauch an Schulen: Ideen für ein Schutzkonzept aus der Praxis - 15. Februar 2026
