Bevor Sie einen Vertrag mit einem DPP-Anbieter unterzeichnen, sollten Sie sich acht Fragen stellen. Die meisten Marken stellen sie erst, wenn es zu spät ist. Wie man die Abhängigkeit von DPP-Anbietern vermeidet: 8 Fragen, die jede Marke stellen muss
Der Verkaufsaufruf für eine Digital Product Passport-Plattform folgt in der Regel einem vertrauten Drehbuch. Jemand zeigt Ihnen ein Dashboard. Es gibt einen QR-Code. Daten werden auf einem Telefonbildschirm angezeigt. Es sieht sauber aus und es sieht einfach aus, und gegen Ende fragt ein Compliance-Manager nach den ESPR-Zeitplänen und ein Gründer nach dem Preis.
Fast niemand fragt: Was passiert mit meinem Reisepass, wenn du schließt?
Das ist keine unfaire Frage. Der DPP-Markt ist noch jung, die Verordnung wird noch umgesetzt, und die Unternehmen, die heute eine Compliance-Infrastruktur aufbauen, reichen von gut kapitalisierten Plattformen bis hin zu Zwei-Personen-Startups, die mit Zuschüssen arbeiten. Das Anbieterrisiko ist real. Und im Gegensatz zu einem SaaS-Abonnement für Projektmanagement wird ein digitaler Produktpass einem physischen Produkt beigefügt, das möglicherweise zehn, fünfzehn oder zwanzig Jahre lang im Umlauf ist.
Die gute Nachricht: Die EU hat dieses Problem vorhergesehen. Die Verordnung (EU) 2024/1781 — die Ökodesign-Verordnung für nachhaltige Produkte (ESPR) — wurde ausdrücklich unter Berücksichtigung der Datenkontinuität verfasst. Die von ihr vorgeschriebene Architektur ist so konzipiert, dass sie Lock-In verhindert. Die Schutzmaßnahmen der Verordnung funktionieren jedoch nur, wenn die von Ihnen gewählte Plattform sie tatsächlich umsetzt.
Hier ist, worauf Sie achten müssen.
Jeder digitale Produktpass ist mit einer eindeutigen Produktkennzeichnung verknüpft — einem Code, der das physische Produkt mit seiner digitalen Aufzeichnung verbindet. Woher diese Kennzeichnung stammt, ist wichtiger, als den meisten Marken bewusst ist.
ESPR und die dahinter stehende technische Methodik der JRC definieren drei Identifikationsebenen, die jeder DPP tragen muss: einen eindeutigen Produktkennzeichner (UPI), der den physischen Artikel mit seiner digitalen Aufzeichnung verknüpft; einen eindeutigen Bediener (UOI), der den Wirtschaftsakteur identifiziert, der für das Inverkehrbringen des Produkts auf dem EU-Markt verantwortlich ist; und einen Unique Facility Identifier (UFI), der die physischen Standorte verfolgt, an denen die Produktion oder die Verarbeitung am Ende der Nutzungsdauer stattfindet. Dabei handelt es sich nicht um interne SKUs oder firmeneigene Codes — die Verordnung verlangt Identifikatoren, die in der gesamten globalen Lieferkette auffindbar, auflösbar und überprüfbar sind. Die Normen, die ihr genaues Format regeln, werden derzeit vom europäischen Normungsausschuss CEN/CENELEC Joint Technical Committee 24 entwickelt.
In diesem Rahmen sind GS1-Identifikatoren — GTINs für Produkte, GLNs für Betreiber und Einrichtungen — die weltweit am weitesten verbreitete Implementierung. GTIN wird in 115 Ländern anerkannt, ist in die Zoll-, Einzelhandels- und Logistikinfrastruktur integriert und wird bereits von großen Einzelhändlern und Marktüberwachungsbehörden verlangt. GS1 Digital Link, der offene Standard, der einen QR-Code in eine strukturierte, auflösbare URL umwandelt, ist der Auflösungsmechanismus, den Fluxy.One aus genau diesem Grund verwendet: Er funktioniert überall, mit jedem kompatiblen Resolver, und er ist nicht an eine einzelne Plattform gebunden.
Die GTIN gehört zur Marke, nicht zur Plattform. Ein Unternehmen registriert sich direkt bei GS1 — über GS1 Belgilux, GS1 Germany, GS1 France oder eine andere nationale Mitgliedsorganisation, die ihren Markt abdeckt. Wechselt die Marke den DPP-Anbieter, wird der Identifier mitübertragen. Der QR-Code auf dem Produkt ändert sich nicht.
Die erste Frage, die Sie jedem DPP-Anbieter stellen sollten: Welchen Identifikationsstandard implementieren Sie und kann er von jedem kompatiblen System unabhängig von Ihrer Plattform gelöst werden?
Gemäß Artikel 9 ESPR ist der Wirtschaftsakteur — der Hersteller oder Importeur, der das Produkt auf dem EU-Markt in Verkehr bringt — rechtlich für die Richtigkeit und Vollständigkeit des DPP verantwortlich. Diese Verantwortung kann nicht an eine Softwareplattform delegiert werden. Sie bleibt bei der Marke.
Eine gut aufgebaute DPP-Plattform spiegelt dies in ihrer technischen Architektur wider. Die Marke kontrolliert den Schreibzugriff auf ihre eigenen Passdaten. Die Mitarbeiter der Plattform sollten nicht in der Lage sein, Kundendaten zu ändern — nicht als politische Verpflichtung, sondern als technische Einschränkung, die durch rollenbasierte Zugriffskontrollen durchgesetzt wird, wobei alle Zugriffe unveränderlich protokolliert werden.
Der Widerruf verdient einen gesonderten Hinweis. Ein DPP zu widerrufen bedeutet nicht, es zu löschen. Gemäß dem ESPR-Framework schreibt der Widerruf ein unveränderliches Ereignis in den Compliance-Datensatz — mit einem Zeitstempel, einem angegebenen Grund und der Identität der Person, die reagiert hat. Die Geschichte des Reisepasses bleibt erhalten. Dies ist wichtig für die Marktüberwachungsbehörden, die in der Lage sein müssen, zu rekonstruieren, was wann passiert ist.
Fragen Sie einen beliebigen Anbieter: Ist die Schreibzugriffsbeschränkung eine Richtlinie oder wird sie auf Architekturebene durchgesetzt? Die Antwort sagt viel aus.
Eine Sicherungskopie ist nicht dasselbe wie ein Arbeitsdatensatz. Diese Unterscheidung ist wichtiger, als in den meisten DPP-Diskussionen anerkannt wird.
Aufbewahrung bedeutet, dass Ihre Daten an einem sicheren Ort gespeichert werden. Kontinuität bedeutet, dass Ihr Reisepass ein aktueller, auflösbarer und aktualisierbarer Datensatz bleibt — ein Datensatz, der auch nach dem Ende der ursprünglichen Plattformbeziehung neue Ereignisse im Lebenszyklus, Zuschreibungen von Akteuren und Eigentumsübertragungen aufnehmen kann. ESPR erfordert den zweiten. Ein veralteter Export oder ein defekter Resolver verfehlt den Punkt des Passes, unabhängig davon, was im Backup enthalten ist.
Was Kontinuität zwischen Anbietern ermöglicht, ist nicht allein der Backup-Mechanismus. Es ist die Kombination aus drei Dingen: einer Kennung, die jedem kompatiblen Resolver erneut zugewiesen werden kann; einem Ereignisprotokoll in einem offenen Format, das jeder zertifizierte Betreiber aufnehmen und weiter anhängen kann; und dem EU-Zentralregister, das gemäß Artikel 13 der ESPR für Juli 2026 vorgeschrieben ist und das darauf ausgelegt ist, den kanonischen Referenzdatensatz zu speichern und die Auflösung unabhängig von einer einzelnen Plattform aufrechtzuerhalten.
Die genauen Rechte und Pflichten — wer an einen Datensatz anhängen kann, unter welcher Authentifizierung, über welche Plattformgrenzen hinweg — werden in den delegierten Rechtsakten pro Produktkategorie festgelegt. Das ist keine Lücke im aktuellen Rechtsrahmen; so wurde die Verordnung konzipiert, um zu funktionieren.
Die meisten DPP-Anbieter hosten die Daten selbst. Das ist in Ordnung — es ist betrieblich sinnvoll, und die Verordnung verlangt von Marken nicht, dass sie sich selbst hosten. Was die Verordnung verlangt, ist ein Sicherheitsnetz.
Artikel 11 der ESPR schreibt vor, dass eine aktuelle Sicherungskopie jedes DPP von einem unabhängigen Dritten aufbewahrt wird — getrennt von der primären Plattform. Diese Anforderung wurde speziell zur Bekämpfung der Insolvenz verfasst. Wenn ein DPP-Anbieter schließt, behält der Backup-Betreiber die Daten und kann sie auf eine neue Plattform übertragen. Die Verordnung wurde so konzipiert, dass Ihr Reisepass Ihren Verkäufer überlebt.
Das Zertifizierungssystem für diese Backup-Betreiber wird derzeit von der Europäischen Kommission fertiggestellt, sodass die genaue Definition von „unabhängig“ und „zertifiziert“ noch in der Entwicklung ist. Was in der Verordnung bereits enthalten ist, ist die Verpflichtung selbst: Die Unterstützung muss erfolgen, und zwar durch eine separate Partei.
Es gibt eine zweite Schutzschicht, die oft übersehen wird. Gemäß Artikel 13 der ESPR muss die Kommission bis zum 19. Juli 2026 ein zentrales digitales Register einrichten. Dieses Register wird den kanonischen Referenzdatensatz jedes DPP enthalten — keine Kopie, sondern einen auflösbaren Live-Datensatz, der unabhängig von einer einzelnen Plattform bestehen bleibt. Aktualisierungen, Zuordnung von Akteuren, Ereignisse im Lebenszyklus: Die Architektur geht davon aus, dass diese in der Registrierung fortgeführt werden, auch wenn die ursprüngliche Plattformbeziehung endet.
Speziell zur Lösung: Identifikatoren, die auf offenen Standards basieren, können jedem kompatiblen Resolver erneut zugewiesen werden. Die Migration von einem Resolver eines Anbieters zu einem anderen ist ein technischer Vorgang, kein Datenverlust.
Das Scannen eines QR-Codes auf einem Produkt ist eine einzige Geste. Was auf dem Bildschirm erscheint, hängt ganz davon ab, wer den Scan durchführt.
Ein Verbraucher, der eine Jacke kauft, sieht Informationen zur Materialzusammensetzung, Pflegehinweise und Nachhaltigkeitsinformationen. Ein zertifizierter Reparaturbetrieb sieht technische Diagramme und Ersatzteilreferenzen. Eine Zollbehörde sieht Konformitätsbescheinigungen und Konformitätserklärungen. Ein Recyclingunternehmen sieht Daten zum chemischen Gehalt und Anweisungen zur Demontage. Eine Marktüberwachungsbehörde sieht alles — einschließlich des vollständigen Prüfpfads aller Änderungen, die jemals am Reisepass vorgenommen wurden.
Derselbe QR-Code. Vier völlig unterschiedliche Ansichten.
Dies ist keine Designentscheidung — es ist eine behördliche Anforderung. Artikel 10 der ESPR schreibt einen gestaffelten Zugang vor: Verschiedene Akteure sehen je nach Rolle und Genehmigungsgrad unterschiedliche Ebenen des Reisepasses. In den delegierten Rechtsakten, die Produktkategorien für Kategorien veröffentlicht werden, wird genau festgelegt, welche Akteure welche Datenfelder einsehen, eingeben, ändern oder aktualisieren können.
Eine Grenze ist unabhängig von delegierten Rechtsakten bereits in der Verordnung festgelegt: Personenbezogene Kundendaten können ohne ausdrückliche Zustimmung nicht im DPP-System gespeichert werden. Der Reisepass ist ein Produktdatensatz. Er ist keine Kundendatenbank und kann auch keine werden.
Bis die delegierten Rechtsakte für eine bestimmte Produktkategorie in Kraft sind, werden die Zugriffsebenen gemeinsam von der Plattform und der Marke konfiguriert. Jeder seriöse Anbieter wird Ihnen sagen, dass dieser Teil des Frameworks noch im Aufbau ist — und wird Ihnen genau zeigen, wie seine aktuelle Zugriffsarchitektur auf die Anforderungen delegierter Rechtsakte umgestellt wird, wenn sie eintreffen.
Die Frage, die es wert ist, gestellt zu werden: Können Sie jetzt sehen, wer wann auf Ihre Passdaten zugegriffen hat? Ein unveränderliches Zugriffsprotokoll, das jede Ansicht aufzeichnet, von welchem Akteurtyp, zu welcher Zeit, ist keine optionale Funktion. Auf diese Weise zeigen Sie einer Aufsichtsbehörde, dass Ihre Datenverwaltung funktioniert hat.
Marken mit eigenen Rezepturen, Materialbeschaffungsvereinbarungen oder Herstellungsverfahren befürchten oft, dass ein DPP von ihnen verlangt, diese Informationen öffentlich zu veröffentlichen. Diese Sorge ist verständlich und in den meisten Fällen fehl am Platz.
Der ESPR-Rahmen unterscheidet zwischen Daten, die öffentlich zugänglich sein müssen, und Daten, die autorisierten Akteuren — Regulierungsbehörden, Wirtschaftsprüfern, Marktüberwachungsbehörden — unter Vertraulichkeitsbedingungen vorbehalten sind. Eine Kosmetikmarke muss ihre Rezeptur nicht veröffentlichen. Ein Textilhersteller muss seine Lieferantenliste nicht an die Verbraucher weitergeben. Die Verordnung verlangt Transparenz in Bezug auf Nachhaltigkeitsmerkmale, nicht die Offenlegung von Geschäftsgeheimnissen.
Die genauen Grenzen werden Produkt für Produkt in den delegierten Rechtsakten festgelegt. Für Kategorien, für die es noch keine delegierten Rechtsakte gibt, bleiben die Zugriffsebenen konfigurierbar. Eine gute DPP-Plattform ermöglicht es der Marke, zu definieren, was öffentlich ist, was verifizierten professionellen Akteuren vorbehalten ist und was nur den Aufsichtsbehörden zur Verfügung steht.
Bei Portabilität geht es nicht nur darum, eine Exportschaltfläche zu haben. Die Frage ist, ob die exportierten Daten von einem anderen System gelesen werden können, ohne dass sich die Originalplattform im Raum befindet.
Die Antwort hängt vom Format ab. JSON-LD, das nach dem CIRPASS-2-Vokabular strukturiert ist — dem EU-eigenen offenen Interoperabilitätsframework, das in Zusammenarbeit mit GS1 entwickelt wurde — ist das Format, das jeder zertifizierte DPP-Betreiber aufnehmen kann. Wenn Ihre Reisepassdaten in einem proprietären Schema gespeichert sind, ist zwar technisch gesehen eine Exportdatei vorhanden, die jedoch ohne benutzerdefinierte Integration praktisch nicht lesbar ist.
Neben dem Datenformat stellt sich die Frage der Validierungsregeln. Die SHACL-Formen — die formalen Definitionen dessen, was ein konformes DPP für eine bestimmte Produktkategorie enthalten muss — werden von CIRPASS-2 öffentlich veröffentlicht und im Rahmen des EU-Standardisierungsprozesses beibehalten. Eine DPP-Plattform, die auf diesen offenen Formen aufbaut, schreibt die Regeln nicht, sie setzt sie um. Wenn die Formen aktualisiert werden, um neuen delegierten Rechtsakten Rechnung zu tragen, wird die Validierungslogik aktualisiert. Die Daten müssen nicht verschoben werden.
Acht Fragen, die es wert sind, jedem DPP-Anbieter gestellt zu werden, bevor Sie sich verpflichten:
Welchen Identifikationsstandard implementieren Sie und kann er von jedem kompatiblen System unabhängig von Ihrer Plattform gelöst werden?
Wem gehört eigentlich der Schreibzugriff auf Passdaten — und wird das architektonisch oder durch Richtlinien durchgesetzt?
Wo befindet sich die obligatorische Sicherungskopie und von welchem unabhängigen Betreiber?
In welchem Format werden Daten exportiert, und können Sie nachweisen, dass eine andere zertifizierte Plattform sie ohne Anpassungen aufnehmen kann?
Welches Validierungsschema implementiert die Plattform und wie werden diese Schemas aktualisiert, wenn neue delegierte Rechtsakte veröffentlicht werden?
Können Sie das Ereignisprotokoll für einen Musterpass anzeigen, das nur als Anlage dient, und bestätigen, dass es nicht rückwirkend geändert werden kann?
Können Sie das unveränderliche Zugriffsprotokoll anzeigen — jede Ansicht, von welchem Akteurtyp, zu welcher Zeit?
Wie sieht Ihr Migrationsprozess aus, wenn wir uns für einen Umzug entscheiden? Wie lange dauert es und zu welchen Kosten? Ein Anbieter, der ernsthaft über Interoperabilität nachgedacht hat, wird eine konkrete Antwort erhalten, noch bevor die delegierten Rechtsakte eintreffen.
Ein Anbieter mit einer gut konzipierten Infrastruktur wird direkte Antworten auf alle acht haben. Vage Antworten zu jedem von ihnen sind es wert, geprüft zu werden.
Die EU hat den DPP-Rahmen nicht mit Blick auf die Anbieterbindung konzipiert. Sie hat es mit Kontinuität, Interoperabilität und Rechenschaftspflicht als ausdrücklichen Zielen konzipiert. Die offenen Identifikationsstandards, die obligatorische Datensicherung durch Dritte, das zentrale Register, die offenen Validierungsformen — das sind architektonische Entscheidungen, die in der Verordnung verankert sind, keine optionalen Funktionen.
Die Marken, die den DPP-Übergang am reibungslosesten bewältigen werden, sind diejenigen, die die Anbieterauswahl als Infrastrukturentscheidung und nicht als Softwarekauf betrachten. Die oben genannten Fragen sind nicht feindselig. Dies sind die richtigen Fragen, die man jeder seriösen Plattform stellen sollte, und eine seriöse Plattform wird sie willkommen heißen.
Wenn du verstehen willst, wie Fluxy.One sie in der Praxis angeht, das Gespräch beginnt hier.
Fluxy.One — die Transparenzinfrastruktur für die Weltwirtschaft.
Kostenlose Demo buchen
Privacy is important to us, so you have the option of disabling certain types of storage that may not be necessary for the basic functioning of the website. Blocking categories may impact your experience on the website. More information
Privacy is important to us, so you have the option of disabling certain types of storage that may not be necessary for the basic functioning of the website. Blocking categories may impact your experience on the website. More information
