EU-Kommission konsultiert Entwurf für zentrales DPP-Register

Hintergrund: Warum ein zentrales Register für digitale Produktpässe?

Der Digitale Produktpass (DPP) ist das Herzstück der europäischen Ökodesign-Verordnung (ESPR), die seit Juli 2024 in Kraft ist. Sie verpflichtet Hersteller, für eine wachsende Zahl von Produktkategorien maschinenlesbare Datensätze bereitzustellen — von Batterien über Textilien bis hin zu Elektronik. Doch wo landen die Verweise auf diese Datensätze? Genau hier setzt die neue Durchführungsverordnung an.

Die Europäische Kommission veröffentlichte am 29. April 2026 einen Entwurf der Implementing Regulation zum DPP-Registry, der nun einer öffentlichen Konsultation unterzogen wird. Das Dokument beschreibt, wie ein zentralisiertes Register eindeutige Produktidentifikatoren speichern und mit dezentral gehosteten Produktdaten verknüpfen soll. Es handelt sich nicht um eine Datenbank der Produktdaten selbst — sondern um ein Verzeichnis der Verweise.

Diese Architekturentscheidung ist bewusst: Die EU will kein monolithisches Datensilo schaffen, sondern ein interoperables Netz aus Herstellersystemen, das über einen gemeinsamen Knotenpunkt auffindbar wird.

Was der Entwurf konkret vorschreibt

Struktur: Zentrales Register, dezentrale Daten

Der Kerngrundsatz des Entwurfs lautet: Das Registry speichert ausschließlich eindeutige Identifikatoren (Unique Identifiers, UIDs) sowie die zugehörigen Resolver-Endpunkte — also die URLs, unter denen die eigentlichen DPP-Daten abrufbar sind. Die Produktdaten selbst verbleiben beim Hersteller oder einem beauftragten Datenbetreiber.

Dieses Modell orientiert sich konzeptionell stark am GS1 Digital Link, dem offenen Standard, der GTINs mit strukturierten Web-URIs verknüpft. Ein Scanner oder ein Marktaufsichtsbehörde kann über den zentralen Registry-Eintrag den zuständigen Resolver finden und von dort die vollständigen Passdaten abrufen.

Registrierungspflichten für Wirtschaftsakteure

Der Entwurf legt fest, dass Hersteller und Importeure verpflichtet sind, ihre Produkte vor dem Inverkehrbringen im Register anzumelden. Konkret müssen sie:

den eindeutigen Produktidentifikator (UID) übermitteln,
den Resolver-Endpunkt (URL) hinterlegen, unter dem der DPP abrufbar ist,
Metadaten zur Produktkategorie und zum zuständigen Wirtschaftsakteur bereitstellen.

Die Registrierung soll über eine standardisierte API erfolgen, deren technische Spezifikation noch durch ECLASS und weitere Normungsgremien ausgearbeitet wird. Der Entwurf verweist auf die laufenden Arbeiten des CEN/CENELEC JTC 24, der die Datenmodelle harmonisieren soll.

Zugangsrechte und Datenschutz

Ein zentraler Streitpunkt in der Konsultation dürfte die Frage sein, wer auf welche Registry-Daten zugreifen darf. Der Entwurf unterscheidet drei Akteursklassen:

Akteur	Lesezugriff	Schreibzugriff	Bemerkung
Öffentlichkeit / Verbraucher	Resolver-URL, Produktkategorie	Nein	Keine sensiblen Handelsdaten
Marktaufsichtsbehörden	Vollständiger Eintrag inkl. Metadaten	Nein	EU-weit einheitlich
Wirtschaftsakteure (Hersteller, Importeure)	Eigene Einträge	Ja	Authentifizierung via EU Login

Handelssensible Informationen — etwa Lieferantenbeziehungen oder Einkaufspreise — sollen explizit nicht im Registry gespeichert werden. Dafür verweist der Entwurf auf die Möglichkeit, im DPP selbst Zugriffsebenen (Access Rights) zu definieren, wie sie die ESPR-Delegierten-Verordnung für Batterien bereits vorsieht.

Technische Implikationen für Hersteller und IT-Dienstleister

API-Integration und Bulk-Registrierung

Für Unternehmen mit großen Produktportfolios ist die Frage der Massenregistrierung entscheidend. Der Entwurf skizziert eine REST-API, über die UIDs in Batches übermittelt werden können. Ein vereinfachtes Beispiel, wie ein solcher Registrierungsaufruf strukturiert sein könnte:

POST /registry/v1/products
Content-Type: application/json
Authorization: Bearer <EU-Login-Token>

{
  "uid": "https://id.gs1.org/01/04012345678901/21/ABC123",
  "resolverEndpoint": "https://dpp.example.com/resolver",
  "productCategory": "ESPR:TextileUpperGarment",
  "economicOperator": {
    "eori": "DE123456789",
    "name": "Muster GmbH"
  }
}

Die UID selbst soll einem anerkannten Identifikationssystem entsprechen — der Entwurf nennt explizit GS1 GTINs sowie ISO/IEC 15459-konforme Codes. Proprietäre Systeme sind zulässig, müssen aber global eindeutig und dauerhaft auflösbar sein.

Für Unternehmen, die bereits mit Tools wie dem qr3.app Bulk-Import arbeiten, ändert sich das Prinzip nicht grundlegend: Eine strukturierte CSV- oder JSON-Lieferung von UIDs und Resolver-URLs lässt sich auf die Registry-API abbilden. Die eigentliche Herausforderung liegt in der Governance — wer pflegt die Einträge, wenn sich Resolver-URLs ändern oder Produkte vom Markt genommen werden?

Lebenszyklus-Management: Rückruf und Archivierung

Der Entwurf adressiert auch den Produktlebenszyklus nach dem Inverkehrbringen. Hersteller sind verpflichtet, Registry-Einträge zu aktualisieren, wenn:

der Resolver-Endpunkt sich ändert,
das Produkt zurückgerufen wird (der Eintrag muss dann als „recalled" markiert, aber nicht gelöscht werden),
das Unternehmen aufgelöst oder übertragen wird.

Die Archivierungspflicht ist auf mindestens 10 Jahre nach dem letzten Inverkehrbringen des Produkts festgelegt — eine Anforderung, die insbesondere für KMU ohne eigene IT-Infrastruktur eine Herausforderung darstellt.

Zeitplan und nächste Schritte

Die öffentliche Konsultation zum Entwurf läuft voraussichtlich bis Ende Juni 2026. Stellungnahmen können über das EU Have Your Say-Portal eingereicht werden. Die Kommission hat signalisiert, dass die finale Durchführungsverordnung noch 2026 verabschiedet werden soll, um mit den ersten produktspezifischen ESPR-Delegierten-Verordnungen — allen voran für Textilien (geplant 2027) — synchron zu sein.

Für die Batterien-Verordnung, die bereits seit Februar 2024 verbindlich ist, gilt eine Sonderregelung: Das Battery Passport-System läuft zunächst über einen separaten Mechanismus, soll aber mittelfristig in das zentrale Registry integriert werden.

Was Unternehmen jetzt tun sollten

Auch wenn die Verordnung noch nicht final ist, lassen sich bereits heute vorbereitende Maßnahmen treffen:

UID-Strategie festlegen: Entscheiden Sie, ob Sie auf GS1 GTINs oder ein alternatives System setzen. GS1 Digital Link bietet den Vorteil, dass der Identifier gleichzeitig als auflösbarer Web-URI funktioniert.
Resolver-Infrastruktur aufbauen: Der Resolver-Endpunkt muss dauerhaft erreichbar und versioniert sein. Setzen Sie auf stabile Basis-URLs, keine dynamischen Kurz-URLs.
Datenpflege-Prozesse definieren: Wer im Unternehmen ist verantwortlich für Registry-Updates bei Produktänderungen oder Rückrufen?
Konsultation verfolgen: Die finale Verordnung kann von dem Entwurf abweichen — insbesondere bei den API-Spezifikationen und Zugriffsrechten.

Einordnung: Was das Registry leistet — und was nicht

Das zentrale DPP-Registry ist kein Qualitätszertifikat und keine Konformitätsprüfung. Es ist ein Verzeichnisdienst — vergleichbar mit einem DNS für Produktidentifikatoren. Die inhaltliche Richtigkeit der DPP-Daten liegt weiterhin in der Verantwortung der Wirtschaftsakteure und wird durch Marktaufsichtsbehörden geprüft.

Kritiker aus der Industrie — darunter BusinessEurope — haben bereits angemerkt, dass die Doppelstruktur aus zentralem Registry und dezentralen Datenspeichern die Compliance-Kosten erhöht, ohne den Datenschutz wesentlich zu verbessern. Befürworter, darunter Umweltorganisationen wie das European Environmental Bureau, betonen hingegen, dass nur ein zentraler Einstiegspunkt die Durchsetzbarkeit durch Behörden sicherstellt.

Die Konsultationsphase wird zeigen, ob die Kommission an der hybriden Architektur festhält oder Anpassungen vornimmt. Für Unternehmen, die jetzt mit der technischen Vorbereitung beginnen, gilt: Die Grundprinzipien — eindeutige Identifikatoren, stabile Resolver, strukturierte Metadaten — werden unabhängig vom finalen Verordnungstext Bestand haben.