Zahlungs-QR-Code: So erstellen und akzeptieren Sie QR-Zahlungen im Jahr 2026
Brasilianer scannten allein im Dezember 2025 rund 7,87 Milliarden QR-Codes für Zahlungen – mehr Transaktionen als Visa und Mastercard zusammen im selben Zeitraum in Brasilien verzeichneten. Indiens UPI wickelte im selben Monat 21,63 Milliarden QR-Code-Scans ab. Das weltweite Zahlungsvolumen per QR-Code erreichte 2025 rund 5,4 Billionen US-Dollar, und Juniper Research prognostiziert 8 Billionen US-Dollar bis 2029. Was auch immer der QR-Code heute sein mag, er ist längst nicht mehr nur das schwarz-weiße Quadrat über der Theke eines Cafés. Er ist eines der wichtigsten Zahlungssysteme weltweit, und die Erstellung von QR-Codes gehört heute zu den grundlegenden Fähigkeiten jedes international tätigen Unternehmens.
Dieser Leitfaden erklärt, was ein Zahlungs-QR-Code tatsächlich kodiert, wie die Spezifikationsschicht funktioniert, welche Formate im Jahr 2026 relevant sind, wie man einen solchen Code generiert (mit einer Schritt-für-Schritt-Anleitung unter Verwendung von Plisio für Kryptozahlungen), den aktuellen Markt, die Sicherheitsrisiken beim Quishing und die Fragen, die man sich vor der Auswahl eines Anbieters stellen sollte.
Was ein Zahlungs-QR-Code ist und was er kodiert
Ein Zahlungs-QR-Code ist ein zweidimensionaler Matrix-Barcode, der Zahlungsinformationen kodiert, die von einer Wallet- oder Banking-App analysiert und ausgeführt werden können. ISO/IEC 18004:2024 ist die aktuelle Version des QR-Code-Standards (formell „Quick Response Code“). Der Code selbst enthält kein Geld. Er ist lediglich eine kurze URI-Zeichenfolge, die von einer Zahlungs-App erkannt wird. Die URI kann beispielsweise eine Bankkonto-ID, ein Tag eines Sofortzahlungssystems oder eine Kryptoadresse mit dem darin enthaltenen Betrag sein.
Ein kurzer Blick in die Geschichte: Masahiro Hara erfand den QR-Code 1994 bei Denso Wave, einer Toyota-Tochtergesellschaft, um Autoteile am Fließband zu verfolgen. Denso Wave verzichtete jedoch auf die Durchsetzung des Patents. Genau diese Entscheidung führte dazu, dass QR-Codes heute überall zu finden sind – in Cafés, auf Bezahlseiten und an Parkautomaten. Alipay nutzt QR-Codes seit 2011 im chinesischen Einzelhandel; Kunden scannen dort einfach den QR-Code zum Bezahlen, anstatt Karten mitzuführen.
Wie ein Zahlungs-QR-Code tatsächlich funktioniert
Jeder Zahlungs-QR-Code hat die gleiche physische Struktur. Drei große Eckquadrate dienen als Positionsmarkierungen. Kleinere Ausrichtungsmarkierungen erleichtern die Lesbarkeit bei schräger Kameraeinstellung. Die Codes verwenden die Reed-Solomon-Fehlerkorrektur in vier Stufen: L (ca. 7 % Wiederherstellungsrate), M (ca. 15 %), Q (ca. 25 %) und H (ca. 30 %). Daher lässt sich selbst ein teilweise verschmierter Aufkleber noch scannen. Die Versionen reichen von 1 (21×21 Module) bis 40 (177×177 Module, bis zu 7.089 numerische Zeichen). Eine Zahlungs-URI benötigt selten mehr als 300 Zeichen.
Die Nutzdaten sind beim Bezahlen entscheidend. Fünf Formate, die man 2026 kennen sollte.
Beginnen wir mit dem EMVCo-Händlermodus (MPM, Version 1.1). Dies ist das TLV-kodierte Format, das den meisten nationalen QR-Code-Systemen zugrunde liegt – PIX in Brasilien, PromptPay in Thailand, DuitNow in Malaysia, PayNow in Singapur, BharatQR in Indien und HKQR in Hongkong. EMVCo hat außerdem einen Verbrauchermodus definiert, bei dem der Code in der Wallet des Kunden angezeigt und vom Händler gescannt wird.
BIP21 ist das Bitcoin-URI-Schema: `bitcoin:
?amount=&label=`. Es wurde zwar formell durch BIP321 ersetzt, aber BIP21 bleibt auch 2026 das dominierende Übertragungsformat.
EIP-681 erfüllt dieselbe Funktion für Ethereum: `ethereum:0xabc...?value=2.5e18` für natives ETH, mit einer erweiterten Form für ERC-20-Token wie USDC und USDT. Der Standard erlaubt zudem beliebige Vertragsaufrufe, nicht nur Überweisungen.
Solana Pay ist die Spezifikation, die von Solana-Wallets und Händlern verwendet wird: `solana:?amount=&spl-token=&reference=&memo=`. Das Referenzfeld ist ein öffentlicher Schlüssel, den der Händler als Korrelations-ID verwendet. Der Händler fragt `getSignaturesForAddress` ab, um die Zahlung zu erkennen, bevor die Transaktionssignatur eingesehen wird. Die Zahlung erfolgt in Sekundenbruchteilen, die Gebühren liegen im Cent-Bereich.
LNURL-pay macht Bitcoin Lightning für den Einzelhandel praktikabel. Eine herkömmliche Lightning-Rechnung ist lang, nur einmal verwendbar und der Betrag ist gesperrt. LNURL-pay kodiert eine bech32-URL, die auf einen Server-Endpunkt verweist; die Wallet kontaktiert den Endpunkt, ruft die Lightning-Rechnung ab und bezahlt. BTCPay Server, Blink, Breez und LNURLPoS nutzen dieses Verfahren.
Die Wallet übernimmt den gesamten Zahlungsvorgang: Sie liest die URI, füllt das Formular aus, signiert mit dem Schlüssel oder der PIN des Nutzers und sendet die Zahlung. Der Zahlungsvorgang ist schneller als das Bezahlen mit Karte, weshalb Kunden in Märkten mit vielen QR-Codes diese einfach scannen, anstatt eine Karte mit sich zu führen.
Statische vs. dynamische QR-Codes für Zahlungen
Es gibt zwei Varianten. Statische QR-Codes enthalten eine feste Nutzlast (z. B. eine Wallet-Adresse oder eine Händler-ID) und fordern den Kunden auf, den Betrag manuell einzugeben. Dynamische QR-Codes werden für jede Transaktion neu generiert. Betrag und Rechnungs-ID sind fest integriert, und die Gültigkeitsdauer ist kurz. Beide Varianten funktionieren in der Praxis, aber nur dynamische Codes ermöglichen einen widerrufbaren Zahlungslink. Die meisten Unternehmen machen es falsch. Dynamische QR-Codes sind in nahezu jedem Geschäftsumfeld die richtige Wahl. Statische QR-Codes sind nur dann sinnvoll, wenn der damit verbundene Sicherheitsrisiko-Kompromiss abgewogen und akzeptiert wurde.
| Typ | Inhalt | Am besten geeignet für | Sicherheit |
|---|---|---|---|
| Statisch | Feste Nutzdaten (Wallet-Adresse, Händler-ID); Kunde gibt Betrag ein | Trinkgeldgläser, Spendenbuttons, Kioske mit geringem Besucheraufkommen | Weiter unten – derselbe Code kann fotografiert und wiedergegeben werden; Aufkleber zielen auf statische Codes ab |
| Dynamisch | Wird pro Transaktion generiert, enthält Betrag und Rechnungsnummer, oft zeitlich begrenzt | E-Commerce-Kassenabwicklung, Kassenterminals, Rechnungen | Höher – Einweg, widerrufbar, schwieriger zu fälschen |
Der andere Aspekt ist die Analyse. Dynamische Codes werden über einen Server geleitet, wodurch Händler Scan-Protokolle, Geolokalisierungshinweise und Konversionsdaten erhalten. Statische Codes liefern hingegen keine Daten.
So erstellen Sie einen Zahlungs-QR-Code mit Plisio
Plisio ist ein Non-Custodial-Zahlungsgateway für Kryptowährungen und eignet sich hervorragend, um die einzelnen Schritte anschaulich zu erklären. Die Gelder werden direkt an die Wallet des Händlers überwiesen und von Plisio nicht verwahrt. Die Gebühr beträgt pauschal 0,5 % für die Gateway-API-Version, 1,5 % für die White-Label-Version und ist für die persönliche Wallet-Version kostenlos. Für die Standardversion ist keine KYC-Prüfung erforderlich. Unterstützte Kryptowährungen sind unter anderem BTC, ETH, USDT, USDC, LTC, BCH, DOGE, DASH, XMR, ZEC, TUSD, BTT, TRX, BNB, BUSD und ETC. Multi-Chain-USDT (TRC-20 und ERC-20) wird standardmäßig unterstützt.
Es gibt vier Wege zu einem Plisio-Zahlungs-QR-Code, und der Händler wählt den Weg anhand der Integrationstiefe.
Option A ist das Dashboard. Registrieren Sie sich mit Ihrer E-Mail-Adresse und Ihrem Passwort auf plisio.net. Öffnen Sie das Dashboard, gehen Sie zu „Rechnungen“ und klicken Sie auf „Neue Rechnung“. Geben Sie den Betrag in USD oder EUR ein, wählen Sie die Kryptowährungen aus, in denen Sie Zahlungen akzeptieren möchten, und klicken Sie auf „Erstellen“. Plisio generiert eine Rechnungs-URL mit einem eingebetteten dynamischen QR-Code. Kunden können diesen QR-Code mit jeder beliebigen Wallet-App scannen, um zu bezahlen. Drucken Sie die Rechnung aus, fügen Sie sie in eine E-Mail ein oder zeigen Sie sie an der Kasse an.
Option B ist die REST-API. Der Basis-Endpunkt ist `https://api.plisio.net/api/v1/`. Anfragen erfolgen per HTTP GET, Antworten im JSON-Format. Der Endpunkt zur Rechnungserstellung generiert QR-Codes auf Anfrage und gibt eine gehostete Seite mit dem dynamischen QR-Code sowie einem Rohdaten-`wallet_hash` zurück, mit dem Sie Ihre eigene Benutzeroberfläche gestalten können. Webhooks senden Statusaktualisierungen (`new`, `pending`, `completed`), sodass die Auftragsabwicklung automatisch aktualisiert wird.
Option C ist das White-Label-POS-System. Händler, die kein Plisio-Branding wünschen, wählen die White-Label-Variante (1,5 % Gebühr statt 0,5 %). Die Zahlungsseite wird im eigenen Branding des Händlers angezeigt, der QR-Code wird serverseitig pro Bestellung generiert, und der Kunde sieht kein Plisio-Logo. Diese Option eignet sich besonders für Cafés, Kioske und Ladenterminals.
Option D ist die Installation eines Plugins. Es gibt Plugins für WooCommerce, Magento, PrestaShop, OpenCart, BigCommerce, Ecwid und Shopware sowie Spenden-Widgets für Twitch, YouTube, TikTok, Twitter, Instagram und Facebook. Nach der Installation fügen Sie den API-Schlüssel ein, legen die akzeptierten Kryptowährungen fest, und im Checkout erscheint die Option „Mit Krypto bezahlen“ mit einem QR-Code.
Unabhängig vom Zahlungsweg sieht der Kunde dasselbe: einen QR-Code, einen Countdown-Timer für den festgelegten Wechselkurs und eine Bestätigungsseite, sobald die Zahlung die erste Blockbestätigung erreicht hat. Der Händler erhält die Gelder an seine Wallet-Adresse; Plisio behält vor der Abrechnung 0,5 % ein.
Der QR-Zahlungsmarkt 2026: PIX, UPI und Krypto-Plattformen
Drei Transportwege werden den Großteil des Frachtaufkommens im Jahr 2026 abdecken: Brasilien, Indien und China. Wer eine Strategie für schnelles Reisen plant, benötigt ein umfassendes Bild aller drei.
Brasiliens PIX-Zahlungssystem wickelte im Dezember 2025 rund 7,87 Milliarden Transaktionen ab. Ein Monat. Ein Land. Das Gesamtjahr 2025 belief sich auf etwa 6,7 Billionen US-Dollar, ein Plus von 34 % gegenüber dem Vorjahr (EBANX, CEIC). PIX überholte das gesamte Kartenvolumen in Brasilien im ersten Quartal 2023 (PCMI zählte 8,1 Milliarden PIX-Transaktionen gegenüber 8,0 Milliarden Kredit- und Debitkartentransaktionen).
Indiens UPI-System verzeichnet ein noch steileres Wachstum. Die Prognosen für 2025 belaufen sich auf 228,3 Milliarden Transaktionen und ein Volumen von 299,7 Billionen ₹ (ca. 3,5 Billionen US-Dollar), davon allein 21,63 Milliarden im Dezember 2025. UPI wickelt mittlerweile rund die Hälfte aller Echtzeitzahlungen weltweit ab.
China ist größer, nur schwieriger genau zu erfassen. Alipay und WeChat Pay wickeln zusammen über 90 % der mobilen Zahlungen des Landes ab, und mehr als 90 % dieser Zahlungen erfolgen per QR-Code-Scan. Allein Alipay verzeichnete im Februar 2026 726 Millionen monatlich aktive Nutzer.
Krypto-QR ist der jüngste Akteur auf dieser Liste. Visas Pilotprojekt zur Abwicklung von USDC-Zahlungen über Solana erreichte bis November 2025 ein jährliches Transaktionsvolumen von 3,5 Milliarden US-Dollar. 2026 wird das System auf die Cross River Bank und die Lead Bank ausgeweitet. Juniper Research schätzt das weltweite QR-Zahlungsvolumen im Jahr 2025 auf 5,4 Billionen US-Dollar und prognostiziert bis 2029 ein Volumen von 8 Billionen US-Dollar in 61 Ländern. Die Methodik ist großzügig: QR wird als eine einzige Buchhaltungskategorie behandelt, obwohl die zugrunde liegenden Systeme grundlegend anders sind. Das Wachstum ist dennoch real.
| Schiene | Emittent | Gebühr an den Händler | Geschwindigkeit | Endgültigkeit | Geographie |
|---|---|---|---|---|---|
| PIX | Zentralbank von Brasilien | 0 bis ca. 0,2 % | <10 s | Bankrückkehrbar (Betrugsfälle) | Brasilien |
| UPI | NPCI | ~0% (P2M MDR begrenzt) | <5 s | Reversibel | Indien |
| Visa / Mastercard QR | Visa / MC | 1,5–2,5 % | <30 s | Rückbuchung bis zu 180 Tage | Global |
| WeChat Pay / Alipay | Tencent / Ant | ~0,6 % | <5 s | Plattform reversibel | China |
| Plisio (Krypto) | Plisio (nicht-verwahrend) | 0,5 % | 1 Bestätigung (~10 min BTC, ~30 s TRX) | Irreversibel | Global |
| Solana Pay | Solana-Ökosystem | Netzwerkgebühr von ca. 0,0001 USD | <1 s | Irreversibel | Global |
| Lightning / LNURL | Lightning-Netzwerk | <0,1 % | <1 s | Irreversibel | Global |
Wo Unternehmen Zahlungs-QR-Codes verwenden
Im Jahr 2026 sind sechs konkrete Einsatzmuster erkennbar.
Der Einzelhandel ist der größte Anwendungsbereich für Kryptowährungen: PIX-QR-Sticker an den Kassen brasilianischer Lebensmittelgeschäfte, UPI-QR-Tags neben Handyläden in Mumbai, Lightning-QR-Codes in Cafés in El Salvador und Lugano. Restaurants nutzen statische QR-Codes für Speisekarte und Rechnung – alles mit einem einzigen Scan. Im E-Commerce wird per Warenkorb ein dynamischer QR-Code generiert, beispielsweise über Shopify- oder WooCommerce-Plugins. So entfällt das Kartenformular für mobile Nutzer. Grenzüberschreitende Rechnungsstellung ist einer der wichtigsten Anwendungsfälle für Krypto-QR-Codes: Ein SaaS-Anbieter in Tallinn sendet einem Kunden in Lagos eine Rechnungs-URL per E-Mail. Der Kunde scannt den Code, bezahlt in USDT-TRC20, und der Anbieter erhält das Geld innerhalb weniger Minuten für 0,5 %. Spenden sind einfach: Eine gemeinnützige Organisation klebt einen statischen BIP21-QR-Code auf einen Flyer, ein Content-Creator platziert ein Plisio-Widget unter seinem Twitch-Stream. Peer-to-Peer-Überweisungen nutzen UPI-Handle-QR-Codes in Indien und Pix-Key-QR-Codes (CPF, Telefonnummer, E-Mail-Adresse) in Brasilien, um Restaurantrechnungen aufzuteilen.
Sicherheit und Quishing: Was Händler wissen müssen
Die größte Bedrohung ist nicht technischer Natur. Betrüger drucken Aufkleber mit einer Phishing-URL im QR-Code und kleben diese über den echten QR-Code. Die Polizei von Redondo Beach fand 2024 rund 150 gefälschte QR-Aufkleber an den Parkuhren der Stadt. Dieses Muster wiederholte sich in Austin, Atlanta, San Antonio und mehreren Küstenstädten im Großraum Los Angeles. Auch Restaurants, Ladestationen für Elektrofahrzeuge und Hotelfernsehmenüs meldeten diese Vorgehensweise.
Auch im digitalen Bereich hat QR-Phishing rasant zugenommen. Laut Keepnets Update von 2026 enthielten 2025 etwa 12 % aller Phishing-E-Mails einen QR-Code. Die Anzahl der Phishing-E-Mails schnellte von rund 47.000 im August 2025 auf 249.000 im November 2025 in die Höhe – eine Verfünffachung innerhalb von drei Monaten. Etwa 90 % dieser Angriffe zielten auf den Diebstahl von Zugangsdaten ab. Führungskräfte waren etwa 40-mal häufiger betroffen als Mitarbeiter. Nur etwa 36 % der QR-Phishing-Versuche wurden von Nutzern oder Filtern erkannt. Das IC3 des FBI gab 2026 eine Warnung (FLASH Alert) bezüglich der nordkoreanischen Kimsuky-Gruppe heraus, die schädliche QR-Codes in Spear-Phishing-E-Mails einbettete. Die Anzahl der beim IC3 gemeldeten Phishing-Fälle erreichte 2024 300.487 – etwa das Zehnfache des Wertes von 2018.
Die Schutzmaßnahmen sind einfach und werden zu selten genutzt. Verwenden Sie dynamische QR-Codes für alle kommerziellen Zahlungen, damit der Code widerrufen werden kann. Überprüfen Sie die URL-Vorschau, bevor Sie auf „Bestätigen“ tippen – jede seriöse Wallet zeigt das Ziel an. Verwenden Sie HTTPS, vermeiden Sie verkettete Weiterleitungen und signieren Sie die Nutzdaten gegebenenfalls mit dem EMVCo MPM MAC-Feld. Bei Kryptowährungen verhindert die Kombination aus Adresse und Betrag in der URI Fehler mit falschen Beträgen. Das verbleibende Risiko besteht in einer Kettenabweichung: Ein Kunde scannt eine USDC-URI und sendet USDC über die falsche Kette. Wallets wie Trust Wallet und MetaMask warnen mittlerweile davor, Händler sollten jedoch weiterhin vermeiden, Kettenkennungen in einem QR-Code zu mischen.
Vorteile von Zahlungs-QR-Codes für Händler
Die Vorteile von QR-Code-Zahlungen belegen sich in vierfacher Hinsicht. Kosten: Es wird keine spezielle Hardware benötigt, lediglich ein Drucker oder ein Bildschirm. Daher setzen Unternehmen mit geringen Gewinnmargen auf kontaktloses Bezahlen per QR-Code, bevor sie überhaupt ein Kartenterminal in Betracht ziehen. Geschwindigkeit: PIX und UPI werden in weniger als fünf Sekunden abgewickelt, und eine digitale Zahlung per QR-Code ist in der Regel schneller als das Auflegen einer Karte. Geografische Reichweite: QR-Codes funktionieren überall dort, wo ein Smartphone über eine Internetverbindung verfügt. Dies deckt mittlerweile einen größeren Teil der Welt ab als die Netzwerke von Kartenakzeptanzunternehmen. Flexibilität: Ein einzelner QR-Code kann an PIX, UPI, einen Visa-Netzwerk-QR-Code oder eine Stablecoin-URI weitergeleitet werden und unterstützt somit mehrere Zahlungsmethoden über einen Code, je nachdem, welche Funktionen die Wallet des Kunden bietet. Sichere Zahlungsabläufe profitieren von der in die Wallet integrierten biometrischen Bestätigung.
Auswahl einer QR-Zahlungslösung
Sechs Fragen. Stellen Sie sie der Reihe nach, bevor Sie sich für eine QR-Code-Lösung entscheiden.
1. Welche Zahlungsmethode nutzen Ihre Kunden tatsächlich? PIX, UPI, Visa QR, Alipay, Kryptowährungen? 2. Statische oder dynamische Zahlungsmethoden? Und wie sieht es mit den Sicherheitsrisiken bei statischen Zahlungsmethoden aus? 3. Wie hoch sind die Gesamtgebühren inklusive Netzwerk-, Zahlungsabwicklungs- und Währungsgebühren (nicht nur der angegebene Prozentsatz)? 4. Abrechnungswährung: Fiatgeld auf Bankkonto, Stablecoin auf Wallet oder eine Mischung? 5. Rückerstattungsabwicklung bei irreversiblen Zahlungen: Wird diese vom Zahlungsanbieter übernommen oder müssen Sie sie selbst verwalten? 6. Integrationen: Shopify, WooCommerce, Magento, REST-API, Plugin-Marktplatz.
Ich komme immer wieder zu dem Schluss, dass es keine allgemeingültige Antwort gibt. Für Krypto-QR-Codes stehen 2026 folgende Optionen zur Verfügung: Plisio (0,5 %, ohne Verwahrung, kein Standard-KYC-Verfahren), BitPay (1 %, KYC-intensiv), CoinGate (1 %, Fiat-Abrechnungsoption), NOWPayments (0,5 % mit Verwahrungsoption), BTCPay Server (kostenlos, selbst gehostet, technischer Aufwand) und OpenNode (Bitcoin/Lightning-Spezialist). Bei Fiat-Sofortüberweisungen ist die Wahl länderspezifisch: PIX-Intermediäre in Brasilien, NPCI-lizenzierte Apps in Indien und Wallets großer Technologiekonzerne in China. Die richtige Kombination hängt davon ab, welche zwei der sechs genannten Fragen für Ihr Unternehmen am wichtigsten sind.
