AfterBon
Mehr Informationen
AfterBon

Zur Blog-Übersicht

DSGVO am Point of Sale: Was Werbung am Kassenbon rechtlich darf — und was nicht

Veröffentlicht am 26. Juni 2026

Sobald in Marketing-Meetings das Wort „Kassenbon-Werbung“ fällt, kommt früher oder später die DSGVO-Frage. Zu Recht: Niemand möchte eine Abmahnung kassieren, weil ein zu enthusiastischer Tracking-Layer auf dem Belegpapier landet. Gleichzeitig kursieren in der Branche viele Halbwahrheiten — die einen halten Bon-Werbung für ein DSGVO-Albtraum, die anderen für eine Geheimwaffe ohne Auflagen. Beides stimmt nicht.

Der DSGVO-Grundgedanke kurz und ehrlich

Die DSGVO regelt die Verarbeitung personenbezogener Daten. Sobald Daten einer identifizierbaren Person zugeordnet werden können, greift sie. Sind Daten dagegen rein anonym oder transaktionsbezogen ohne Personenbezug, fällt der Vorgang nicht in den DSGVO-Anwendungsbereich.

Genau hier setzt eine sauber konzipierte Bon-Werbung an: Der QR-Code auf dem Bon ist eine Transaktions-ID, kein Personenidentifikator. Solange beim Druck und der Codierung keine personenbezogenen Daten verknüpft werden, entsteht am POS kein DSGVO-relevanter Vorgang.

Was am POS dabei sein muss — und was nicht

Was DSGVO-konform geht

  • Aufdruck eines QR-Codes mit anonymer Transaktions-ID
  • Verknüpfung dieser ID mit den gekauften Produkten als Warengruppe (z. B. „Energy-Drink“) für kontextuelle Angebote
  • Zählen von Scans und Einlösungen aggregiert
  • Aufzeichnen der Aktion, die der Nutzer auf der Landing-Page selbst auslöst (in dessen Verantwortung)

Was DSGVO-pflichtig wird

  • Sobald der Kunde auf der Landing-Page Daten eingibt (E-Mail, Adresse), greift die DSGVO. Hier braucht der Werbetreibende eine eigene Datenschutzerklärung und Einwilligung.
  • Wenn Cookies oder Fingerprinting auf der Landing-Page gesetzt werden, muss ein TTDSG-konformes Consent-Banner stehen.
  • Wenn Marken später auf gesammelte Adressen zugreifen, gilt natürlich die volle DSGVO mit Auftragsverarbeitungsverträgen.

Was klar nicht zulässig ist

  • Kreditkartendaten oder Bezahldaten zur Personalisierung der Werbung verwenden
  • Personenbezogene Bondaten ohne Rechtsgrundlage an Marken weitergeben
  • QR-Code mit Profilen aus anderen Quellen verknüpfen, ohne Einwilligung

Die Rolle des Händlers

Für Tankstellen- und Kioskbetreiber ist dies eine entscheidende Aussage: Wenn die technische Lösung den QR-Code als anonyme Transaktions-ID generiert, wird der Händler nicht zum datenschutzrechtlichen Verantwortlichen für die nachgelagerte Werbung. Er druckt einen Bon — Punkt. Was der Kunde danach freiwillig tut (scannen, klicken, etwas kaufen), liegt außerhalb der Datenverarbeitung des Händlers.

Das ist ein wichtiges Argument im Pitch gegenüber großen Filialnetzen, die häufig konzernweite Datenschutzvorgaben durchsetzen müssen.

Die Rolle der Marke

Auf der anderen Seite hat die werbende Marke eine klare DSGVO-Pflicht: Sobald der Kunde auf der Landing-Page personenbezogene Daten eingibt — sei es eine E-Mail-Adresse für einen Coupon oder eine Lieferadresse — muss die übliche DSGVO-Mechanik greifen: Datenschutzerklärung, Rechtsgrundlage (meist Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO), Auskunftsrecht, Löschrecht. Saubere Retail-Media-Plattformen unterstützen das, indem sie standardisierte Consent-Templates bereitstellen.

Praktische Empfehlungen

Drei pragmatische Empfehlungen für Werbetreibende und Händler, die mit Bon-Werbung starten wollen:

  1. Anonyme Transaktions-ID statt Personenbezug. Lassen Sie sich von Ihrem Plattformanbieter schriftlich bestätigen, dass keine personenbezogenen Daten am POS erfasst werden.
  2. Klares Trennverständnis. Datenverantwortung am POS = Händler. Datenverantwortung auf der Landing-Page = Werbetreibender. Diese Trennlinie ist sauber dokumentierbar.
  3. Auftragsverarbeitung rechtssicher. Sobald die Plattform für Marken Daten verarbeitet, braucht es einen AVV nach Art. 28 DSGVO. Das ist Standard, sollte aber nicht vergessen werden.

Fazit

Bon-Werbung am POS ist DSGVO-konform machbar — wenn sie technisch sauber gebaut ist und die Verantwortlichkeiten klar getrennt sind. Wer hier auf einen Plattformpartner setzt, der DSGVO-Themen aktiv adressiert (und nicht nur in den AGBs erwähnt), bekommt einen Werbekanal mit hoher Konversionsrate ohne juristisches Risiko.

→ Tankstellenshop Zusatzeinnahmen 2026

→ App-Müdigkeit & Browser-Loyalty

→ Datenschutz-Konzept als 1-Pager anfordern