Welche Rechtsgrundlage gilt für ein QR-Code-Gewinnspiel nach DSGVO?

Für die Teilnahme am Gewinnspiel selbst greift Art. 6 Abs. 1 lit. b DSGVO – die Verarbeitung ist zur Durchführung des Vertrags zwischen Veranstalter und teilnehmender Person erforderlich. Für jede zusätzliche Nutzung der Daten, insbesondere den Versand eines Newsletters, brauchen Sie eine separate Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Diese muss aktiv erteilt werden (Opt-in), darf nicht an die Teilnahme gekoppelt sein und muss protokolliert werden, damit Sie sie im Streitfall nachweisen können. Wer beides vermischt, riskiert ein Bußgeld.

Was muss in die Teilnahmebedingungen eines QR-Code-Gewinnspiels?

Die Teilnahmebedingungen müssen mindestens enthalten: vollständiger Name und Adresse des Veranstalters, Beginn und Ende des Gewinnspiels, Teilnahmevoraussetzungen (Mindestalter, Wohnsitz), Beschreibung der Gewinne mit ungefährem Wert, Auslosungsmechanismus und Datum, Gewinnbenachrichtigung, Ausschluss des Rechtswegs, Bareinlöseausschluss, Haftungsbeschränkung, Ausschluss von Mitarbeitenden und Angehörigen sowie ein Hinweis auf die Datenschutzerklärung. QronoPlay liefert eine vorkonfigurierte Vorlage mit, die Sie an Ihre konkrete Aktion anpassen.

Darf ich die Newsletter-Einwilligung zur Pflicht für die Gewinnspielteilnahme machen?

Nein. Die Kopplung der Gewinnspielteilnahme an die Newsletter-Einwilligung ist nach Art. 7 Abs. 4 DSGVO ausdrücklich unzulässig. Die Einwilligung muss freiwillig sein – wer den Newsletter nicht möchte, muss trotzdem teilnehmen können. Dieser Punkt ist einer der häufigsten Gründe für Beanstandungen durch Datenschutzbehörden und führt regelmäßig zu Abmahnungen durch Verbraucherschutzverbände. Die Lösung: zwei klar getrennte Checkboxen, beide standardmäßig leer.

Wo dürfen die Daten der Teilnehmenden gehostet werden?

Idealerweise innerhalb der EU oder des EWR. Daten von EU-Bürgern dürfen grundsätzlich auch in Drittländer übertragen werden, aber nur unter strengen Auflagen (Angemessenheitsbeschluss, Standardvertragsklauseln, Binding Corporate Rules). Nach dem Wegfall des Privacy Shield 2020 und der Diskussion um den Nachfolger ist EU-Hosting der pragmatischste Weg. QronoPlay hostet ausschließlich in Frankreich (Roubaix, Straßburg) bei OVH – das macht die Auftragsverarbeitung deutlich einfacher und reduziert das Risiko bei Audits.

Wie lange darf ich die Daten der Teilnehmenden speichern?

So lange, wie es zur Durchführung des Gewinnspiels und zur Abwicklung möglicher Streitigkeiten erforderlich ist. In der Praxis bedeutet das: Daten von Nicht-Gewinnern dürfen Sie maximal drei Monate nach Auslosung speichern (zur Plausibilitätskontrolle), danach müssen sie gelöscht werden – außer die Person hat ausdrücklich eingewilligt, dass die Daten für den Newsletter weiterverwendet werden. Daten von Gewinnern dürfen länger aufbewahrt werden (typisch drei Jahre, zur Abwicklung und zu eventuellen Steuerfragen). Das Löschkonzept gehört in die Datenschutzerklärung.

QR-Code-Gewinnspiel DSGVO: Leitfaden 2026

Einleitung

Ein QR-Code-Gewinnspiel ist 2026 eines der wirkungsvollsten Marketing-Instrumente im DACH-Raum – aber zugleich eines der rechtlich heikelsten, wenn man die DSGVO-Anforderungen nicht beachtet. Bußgelder im sechsstelligen Bereich für unsaubere Newsletter-Einwilligung oder unzureichende Teilnahmebedingungen sind in den letzten Jahren keine Seltenheit gewesen.

Dieser Leitfaden zeigt Ihnen, wie Sie ein QR-Code-Gewinnspiel DSGVO-konform aufsetzen: welche Rechtsgrundlagen greifen, was in die Teilnahmebedingungen gehört, welche Datenschutzhinweise nötig sind und wie eine konkrete Checkliste für den Go-Live aussieht. Inklusive einer Vorlage, die Sie für die meisten Standardfälle adaptieren können.

Rechtsgrundlagen: Worauf basiert ein DSGVO-konformes QR-Code-Gewinnspiel?

Ein QR-Code-Gewinnspiel verarbeitet personenbezogene Daten – mindestens Name und E-Mail-Adresse, oft auch Postleitzahl, Telefonnummer oder Geburtsdatum. Damit greift die DSGVO (Verordnung EU 2016/679). Zwei Rechtsgrundlagen sind relevant:

Art. 6 Abs. 1 lit. b DSGVO (Vertrag): Die Verarbeitung ist erforderlich, um die Teilnahme am Gewinnspiel durchzuführen – das ist die Basis für die Spielmechanik selbst, die Verlosung und die Gewinnbenachrichtigung.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Jede zusätzliche Nutzung – insbesondere Newsletter und werbliche Kommunikation – braucht eine separate, ausdrückliche Einwilligung. Eine vorangekreuzte Checkbox ist seit dem Planet49-Urteil (EuGH C-673/17) unzulässig.

In Deutschland kommen Vorgaben aus dem BDSG, in Österreich aus dem DSG und in der Schweiz aus dem revidierten DSG (in Kraft seit 1. September 2023) hinzu. Für ein DSGVO-konformes QR-Code-Gewinnspiel in allen drei Ländern ist der gemeinsame Nenner die EU-DSGVO – ergänzt um die jeweilige nationale Schicht.

Schritt für Schritt: Ein QR-Code-Gewinnspiel DSGVO-konform aufsetzen

1. Teilnahmebedingungen verfassen

Die Teilnahmebedingungen sind das rechtliche Rückgrat des Gewinnspiels. Sie müssen vor der Teilnahme zur Verfügung stehen und folgende Punkte abdecken: Veranstalter mit vollständiger Adresse, Zeitraum, Teilnahmevoraussetzungen (Mindestalter, Wohnsitz), Beschreibung der Gewinne mit Wert, Auslosungsmechanismus, Gewinnbenachrichtigung, Bareinlöseausschluss, Haftungsbeschränkung, Datenschutzhinweis mit Verweis auf die Datenschutzerklärung und – das wird oft vergessen – ein Ausschluss von Mitarbeitenden und deren Angehörigen.

2. Einwilligung sauber trennen

Auf dem Teilnahmeformular gehören zwei separate Checkboxen: eine für die Akzeptanz der Teilnahmebedingungen (Pflicht für die Teilnahme), eine für den Newsletter-Bezug (freiwillig, darf die Teilnahme nicht ausschließen). Diese Kopplung ist der häufigste Verstoß und führt regelmäßig zu Bußgeldern. Die Einwilligung muss aktiv sein – Opt-in, nicht Opt-out – und protokolliert werden, damit Sie sie später nachweisen können.

3. Datenschutzerklärung verlinken

Die Datenschutzerklärung beschreibt, welche Daten Sie erheben, wie lange Sie sie speichern, wer Auftragsverarbeiter ist und welche Rechte die teilnehmende Person hat (Auskunft, Berichtigung, Löschung, Widerspruch, Datenübertragbarkeit). Sie muss vom Teilnahmeformular aus klar verlinkt sein.

Praxisbeispiel: Ein QR-Code-Gewinnspiel im Lebensmittelhandel

Stellen Sie sich einen regional verankerten Bio-Supermarkt vor, der ein Sommer-Gewinnspiel plant. Hauptgewinn ist ein Wochenende für zwei Personen in einem Bio-Hotel der Region, dazu zehn kleinere Sofortgewinne (Bio-Geschenkkörbe). Der QR-Code hängt am Eingang und an der Kasse. Wer scannt, sieht zuerst die Teilnahmebedingungen, akzeptiert diese, kann zusätzlich den Newsletter abonnieren und füllt dann das Formular mit Name, E-Mail und Postleitzahl aus.

Ein sauber aufgesetztes Gewinnspiel liefert qualifizierte Daten, vermeidet Abmahnungen und – nicht zu unterschätzen – schafft Vertrauen bei einer Kundschaft, die zunehmend sensibel für Datenschutzfragen ist.

Nach Ablauf der Aktion werden die Gewinner ausgelost, schriftlich benachrichtigt und die Daten der nicht-gewinnenden Teilnehmer ohne Newsletter-Opt-in nach drei Monaten gelöscht. Wer den Newsletter abonniert hat, bleibt in der separaten Liste – mit jederzeitiger Abmeldemöglichkeit.

Checkliste für den Go-Live

Bevor Ihr QR-Code-Gewinnspiel live geht, prüfen Sie folgende neun Punkte:

Teilnahmebedingungen sind vollständig (Veranstalter, Zeitraum, Gewinne, Auslosung, Haftung, Datenschutz) und vor der Teilnahme erreichbar.
Pflicht-Checkbox „Ich akzeptiere die Teilnahmebedingungen" ist nicht vorangekreuzt.
Newsletter-Checkbox ist separat, freiwillig und nicht vorangekreuzt.
Datenschutzerklärung ist verlinkt und auf dem aktuellen Stand.
Mindestalter (in der Regel 18 Jahre) ist abgefragt oder in den Bedingungen festgelegt.
Mitarbeitende und Angehörige sind ausgeschlossen.
Auftragsverarbeitungsvertrag (AVV) mit der Gewinnspiel-Plattform liegt vor.
Hosting der Daten erfolgt in der EU.
Löschkonzept ist dokumentiert: Nicht-Gewinner-Daten innerhalb von 3 Monaten, Gewinner-Daten nach Abschluss der Aktion plus Aufbewahrungsfrist.

Häufige Fehler und wie Sie sie vermeiden

In der Beratungspraxis sehen wir immer wieder dieselben Stolpersteine. Wer sie kennt, vermeidet sie systematisch:

Vorangekreuzte Newsletter-Checkbox: Seit dem Planet49-Urteil (EuGH 2019) eindeutig unzulässig. Die häufigste Beanstandung durch Verbraucherschutzverbände – und die teuerste, weil sie meist mit einer Abmahnung verbunden ist.
Teilnahmebedingungen erst nach dem Klick auf „Teilnehmen": Sie müssen vor der Eingabe der Daten verfügbar sein, nicht erst auf der Bestätigungsseite. Praktisch: Linktext direkt am Formular, der in einem neuen Tab öffnet.
Keine Datenschutzerklärung verlinkt: Klingt banal, kommt aber häufig vor – besonders bei Schnellschüssen für saisonale Aktionen. Wer keine Datenschutzerklärung verlinkt, verstößt klar gegen Art. 13 DSGVO.
Zu lange Speicherdauer der Teilnehmerdaten: Daten von Nicht-Gewinnern „für die nächste Aktion zu behalten" ist ohne separate Newsletter-Einwilligung unzulässig. Die Daten müssen nach Abschluss gelöscht werden.
Kein AVV mit dem Plattformanbieter: Wer einen externen Dienstleister wie QronoPlay einsetzt, braucht zwingend einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Die meisten Plattformen liefern ihn standardisiert mit – Sie müssen ihn aktiv anfordern und ablegen.
Übergreifende Profile bilden: Daten aus mehreren Gewinnspielen zu einem Profil zusammenzuführen ist datenschutzrechtlich heikel, wenn die ursprüngliche Einwilligung das nicht abdeckt. Im Zweifel: getrennte Datenbanken pro Aktion oder eine glasklare Information bei jedem Opt-in.

Auftragsverarbeitung und Verantwortlichkeiten

Wenn Sie eine Plattform wie QronoPlay einsetzen, sind Sie der Verantwortliche im Sinne der DSGVO (Art. 4 Nr. 7) und die Plattform ist Ihr Auftragsverarbeiter (Art. 4 Nr. 8). Das bedeutet konkret: Sie entscheiden, was mit den Daten passiert, die Plattform führt nur aus, was im AVV vereinbart ist.

Praktische Konsequenzen für Ihr Gewinnspiel:

Der AVV muss vor Beginn der Datenverarbeitung unterzeichnet vorliegen.
Die Plattform darf die Daten nicht für eigene Zwecke nutzen (etwa Profilbildung, Drittweitergabe).
Bei Anfragen Betroffener (Auskunft, Löschung) sind Sie der erste Ansprechpartner, die Plattform unterstützt Sie technisch.
Bei einer Datenpanne sind Sie meldepflichtig gegenüber der Aufsichtsbehörde – die Plattform muss Sie unverzüglich informieren.

Wer diese Verantwortungsverteilung klar versteht, gerät auch im Ernstfall einer Beschwerde oder Prüfung nicht in Stress. QronoPlay liefert den AVV standardisiert mit jedem Plan und stellt ihn im Admin-Bereich zum Download bereit.

Vorlage: Mustertext für Teilnahmebedingungen

Die folgende Vorlage deckt die typischen Standardpunkte ab. Passen Sie sie an Ihre konkrete Aktion an und lassen Sie sie im Zweifel von einem auf Datenschutzrecht spezialisierten Anwalt prüfen – besonders bei höherwertigen Gewinnen oder konzernweiten Aktionen.

§ 1 Veranstalter: Nennen Sie den vollständigen Firmennamen, die Adresse, die Handelsregisternummer und die Kontaktdaten. Die Person, die rechtlich verantwortlich ist, muss klar identifizierbar sein.
§ 2 Zeitraum: Beginn und Ende des Gewinnspiels, exakter Tag und Uhrzeit. Bei Aktionen, die in mehreren Filialen laufen, kann der Zeitraum filialspezifisch differenziert werden.
§ 3 Teilnahmevoraussetzungen: Mindestalter (in der Regel 18 Jahre, ab 16 mit Zustimmung der Erziehungsberechtigten), Wohnsitz (Deutschland, Österreich, Schweiz, EU), Ausschluss von Mitarbeitenden des Veranstalters und deren nahen Angehörigen.
§ 4 Gewinne und Auslosung: Liste der Gewinne mit ungefährem Wert, Anzahl der Gewinner je Preisstufe, Auslosungsmechanismus (zufällig nach Ende des Zeitraums) und Datum der Auslosung. Bareinlösung und Tausch sind ausgeschlossen.
§ 5 Gewinnbenachrichtigung: Form (E-Mail an die hinterlegte Adresse), Frist zur Annahme (typisch 14 Tage) und Folge bei Nicht-Reaktion (Nachrücker oder Ersatzziehung).
§ 6 Datenschutz: Hinweis auf die Datenschutzerklärung mit Verlinkung. Benennung der Rechtsgrundlagen (Art. 6 Abs. 1 lit. b für die Spielteilnahme, Art. 6 Abs. 1 lit. a für ergänzende Newsletter-Einwilligung).
§ 7 Haftung: Beschränkung auf Vorsatz und grobe Fahrlässigkeit, Ausschluss der Haftung für technische Störungen unter Vorbehalt der Mindest-Pflichten.
§ 8 Sonstiges: Salvatorische Klausel, anwendbares Recht (deutsches/österreichisches/schweizerisches Recht je nach Veranstalter), Gerichtsstand, Rechtsweg ausgeschlossen.

Diese Vorlage ist ein Ausgangspunkt, kein Rechtsgutachten. QronoPlay liefert eine ähnliche, vorkonfigurierte Vorlage in deutscher Sprache mit, die Sie pro Aktion in wenigen Klicks adaptieren. Wer regelmäßig Gewinnspiele durchführt, sollte zusätzlich einmalig eine Vorlage durch einen Fachanwalt prüfen lassen – die Investition rechnet sich nach zwei oder drei Aktionen.

Starten Sie mit QronoPlay

Mit QronoPlay setzen Sie ein QR-Code-Gewinnspiel DSGVO-konform in wenigen Minuten auf. Vorgefertigte Teilnahmebedingungen in deutscher Sprache, getrennte Newsletter-Einwilligung, Hosting in Frankreich, AVV inklusive. 14 Tage kostenlos testen, ohne Kreditkarte. Konto erstellen, 14 Spielformate entdecken oder unsere Tarife vergleichen. Weiterführend lesen Sie unseren Leitfaden zu QR-Code-Marketing im Einzelhandel.

DSGVO-konforme QR-Code-Gewinnspiele: Leitfaden 2026