Am 30. Mai 2025 haben CEN und CENELEC die ersten sechs Europäischen Normen für den Digital Product Passport (DPP) veröffentlicht: EN 18216 bis EN 18223. Sie bilden die technische Grundlage, auf der Hersteller, Importeure und Plattformbetreiber die Anforderungen der ESPR-Verordnung (EU) 2024/1781 umsetzen müssen. Dieser Artikel erklärt, was jede Norm regelt, wo sie an bestehende Regulierung anknüpft und welche Architekturentscheidungen Unternehmen jetzt treffen sollten.
Warum diese Normen jetzt erscheinen
Die ESPR ist seit ihrem Inkrafttreten 2024 verbindliches EU-Recht. Sie verpflichtet Wirtschaftsakteure, für bestimmte Produktgruppen einen DPP bereitzustellen, der „aktuelle und genaue Informationen" enthält — so der Wortlaut der Verordnung. Was das technisch bedeutet, ließ die ESPR jedoch offen. Diese Lücke schließen CEN und CENELEC nun mit einem Normenpaket, das Datenaustausch, eindeutige Identifikatoren, Datenträger, Speicherarchitektur, APIs und Systeminteroperabilität abdeckt.
Das Timing ist nicht zufällig. Die Europäische Kommission arbeitet parallel an Durchführungsverordnungen für sektorspezifische DPP-Anforderungen — etwa für Textilien, Stahl und Elektronik. Ohne harmonisierte technische Normen wären diese Verordnungen kaum vollziehbar. CEN und CENELEC liefern damit das Fundament, auf dem die delegierten Rechtsakte aufbauen können.
Die sechs Normen im Überblick
EN 18216 – Datenaustausch und allgemeines Datenmodell
EN 18216 definiert das übergreifende Datenmodell für den DPP: welche Informationsklassen existieren, wie sie strukturiert sind und nach welchen Regeln sie ausgetauscht werden. Die Norm unterscheidet systematisch zwischen Daten auf Produktebene (Item) und Chargenebene (Lot) — eine Differenzierung, die das JRC bereits in seinen Stahl-Entwürfen eingeführt hat und die für dynamische Daten wie den produktspezifischen CO₂-Fußabdruck nach ISO 14067 entscheidend ist.
EN 18217 – Eindeutige Identifikatoren
EN 18217 regelt, wie Produkte und Produktinstanzen im DPP-Ökosystem eindeutig identifiziert werden. Die Norm ist technologieneutral formuliert, verweist aber explizit auf bestehende Identifikationssysteme — darunter den GTIN aus dem GS1-Standard. Für Unternehmen, die bereits mit GS1 Digital Link arbeiten, schafft EN 18217 Rechtssicherheit: Die dort verwendeten Identifikatoren sind normkonform.
EN 18218 – Datenträger
EN 18218 spezifiziert, welche physischen und digitalen Datenträger für den DPP zulässig sind: QR-Codes, DataMatrix, RFID/NFC und weitere. Besonders relevant ist die Verbindung zu RAIN-RFID: TEKLYNX hat seine CODESOFT-Software bereits aktualisiert, um GS1-„++"-Kodierungsschemata zu unterstützen, mit denen Web-URLs direkt in RAIN-RFID-Tag-Speicher geschrieben werden können — eine Anforderung, die aus der Kombination von EN 18220 und dem GS1 Digital Link-Standard folgt.
EN 18219 – Datenspeicherung und Registry-Architektur
EN 18219 ist die architektonisch bedeutsamste Norm des Pakets. Sie legt fest, wie DPP-Daten gespeichert, versioniert und über eine Registry auffindbar gemacht werden. Der Grundsatz: Die Registry speichert nicht die eigentlichen Passdaten, sondern ausschließlich den eindeutigen Identifikator, den Resolver-Endpunkt und den Warencode. Die Passdaten verbleiben beim Hersteller oder einem autorisierten Datentreuhänder.
Dieses dezentrale Architekturmuster entspricht dem Entwurf der Durchführungsverordnung zur DPP-Registry. Das CIRPASS-2-Konsortium hatte in seiner Stellungnahme zum Registry-Entwurf explizit empfohlen, EN 18219 als verbindliche Referenz in die Durchführungsverordnung aufzunehmen — unter anderem, um die Interoperabilität mit dem GS1 Digital Link sicherzustellen. Mit der Veröffentlichung der Norm ist diese Empfehlung nun umsetzbar.
EN 18220 – APIs und Datenzugriff
EN 18220 definiert die Schnittstellen, über die DPP-Daten programmatisch abgerufen werden können. Die Norm legt Endpunktstruktur, Authentifizierungsanforderungen und Antwortformate fest. Für Entwickler bedeutet das: Wer eine konforme DPP-Plattform baut, muss diese API-Spezifikation implementieren. Ein minimales Beispiel für einen konformen Resolve-Request könnte so aussehen:
GET /dpp/resolve/{identifier}
Accept: application/json
Authorization: Bearer <token>
Die Norm schreibt keine spezifische Programmiersprache vor, orientiert sich aber an RESTful-Prinzipien und JSON als primärem Austauschformat.
EN 18223 – Systeminteroperabilität
EN 18223 schließt das Paket ab und adressiert die Interoperabilität zwischen verschiedenen DPP-Systemen, Plattformen und nationalen Infrastrukturen. Die Norm definiert Konformitätsstufen und legt fest, welche Mindestanforderungen ein System erfüllen muss, um als interoperabel zu gelten. Für Unternehmen, die in mehreren EU-Mitgliedstaaten tätig sind, ist EN 18223 die relevanteste Norm: Sie verhindert, dass nationale Umsetzungen zu technischen Insellösungen werden.
Verbindung zur Batterieverordnung und sektorspezifischen Anforderungen
Das Normenpaket ist nicht sektorisoliert. Die Batterieverordnung (EU) 2023/1542 kennt die Lot-/Item-Unterscheidung bereits implizit: Kapazitätsdaten, die sich durch Degradation verändern, müssen aktuell gehalten werden. Ohne eine klare Speicher- und Resolver-Architektur — wie sie EN 18219 und EN 18220 nun definieren — ist diese Anforderung kaum erfüllbar. Hersteller von Industriebatterien und Elektrofahrzeugbatterien können die neuen Normen daher direkt als Implementierungsleitfaden nutzen.
Ähnliches gilt für den Stahlsektor: Der JRC-Entwurf für stahlspezifische DPP-Anforderungen sieht vor, dass der produktspezifische CO₂-Fußabdruck auf Chargenebene gepflegt und nach ISO-14067-kompatiblen Methoden berechnet wird. EN 18216 liefert dafür das Datenmodell, EN 18219 die Speicherarchitektur.
Was Unternehmen jetzt tun sollten
Bestandsaufnahme der Identifikationsinfrastruktur
Der erste Schritt ist eine Überprüfung, ob vorhandene Produktidentifikatoren EN 18217-konform sind. Wer bereits GTINs und GS1 Digital Links verwendet, ist gut positioniert. Wer proprietäre Identifikatoren einsetzt, muss eine Migrationsstrategie entwickeln.
Resolver-Architektur planen
EN 18219 macht eine Resolver-Infrastruktur obligatorisch. Unternehmen müssen entscheiden, ob sie einen eigenen Resolver betreiben oder einen Drittanbieter nutzen. Entscheidend ist, dass der Resolver die in der Norm definierten Antwortformate unterstützt und mit der zentralen EU-DPP-Registry kommunizieren kann.
API-Konformität sicherstellen
Wer eine eigene DPP-Plattform betreibt, muss die EN-18220-Schnittstellen implementieren. Für Unternehmen ohne eigene IT-Kapazitäten empfiehlt sich die frühzeitige Auswahl einer Plattform, die die Normen vollständig unterstützt — und nicht nur einzelne Aspekte davon.
Ausblick: Weitere Normen und delegierte Rechtsakte
CEN und CENELEC haben angekündigt, das Normenpaket schrittweise zu erweitern. Parallel dazu arbeitet die Europäische Kommission an den sektorspezifischen Durchführungsverordnungen, die auf diesen Normen aufbauen werden. Für Textilien ist eine Verordnung noch für 2025 angekündigt; für Elektronik und weitere Produktgruppen folgen weitere Schritte bis 2027.
Unternehmen, die jetzt mit der Implementierung beginnen, haben einen strukturellen Vorteil: Sie können Architekturentscheidungen noch ohne den Druck unmittelbarer Fristen treffen und ihre Systeme schrittweise an neue sektorspezifische Anforderungen anpassen — statt unter Zeitdruck monolithische Lösungen zu bauen, die spätere Änderungen erschweren.
Die Veröffentlichung von EN 18216 bis EN 18223 ist kein bürokratischer Meilenstein, sondern der Startschuss für eine konkrete Implementierungsphase. Wer die Normen kennt, kann heute schon die richtigen Weichen stellen.
