Am 29. April 2026 hat die Europäische Kommission den Entwurf der Durchführungsverordnung zum Digitalen Produktpass-Register veröffentlicht (Ares(2026)4424976). Sie konkretisiert Artikel 13(5) der ESPR (VO 2024/1781) und legt fest, wie das von der Kommission betriebene Register technisch und organisatorisch funktionieren wird.
Der Text ist als Entwurf gekennzeichnet und noch nicht angenommen. Die wesentlichen Mechanismen sind aber bereits klar erkennbar - und sie haben unmittelbare Konsequenzen für jeden Hersteller, der ab 2027 einen DPP ausstellen muss.
Was das Register ist - und was es nicht ist
Eine Klarstellung vorweg: Das EU-Register speichert nicht die DPP-Daten selbst. Es ist ein zentraler Verzeichnisdienst, der für jede Registrierung eine eindeutige ID, den Warencode, die Identität des Wirtschaftsakteurs, einen Hash der DPP-Version und einen Verweis auf die Backup-Kopie beim DPP-Diensteanbieter vorhält.
Erwägungsgrund 3 nennt das ein «dezentrales Modell»: Die Produktdaten leben weiterhin beim Hersteller oder bei seiner DPP-Plattform. Das Register ist die kanonische Adressliste, kein Datensilo.
Funktional besteht das Register aus:
- einer Web-Oberfläche und einer API für Registrierungen
- einer Verifizierungsplattform für Wirtschaftsakteure
- einer Liste der zugelassenen DPP-Diensteanbieter
- einem semantischen Repository (mehrsprachig, DCAT-AP-strukturiert) als Referenz für Datenattribute, Modellstrukturen und Rollen
- einem Logsystem mit gestaffelten Aufbewahrungsfristen
Verifizierung vor Registrierung
Kein DPP wird im Register angelegt, bevor der einreichende Wirtschaftsakteur als verified economic operator geführt ist (Art. 4). Verifizierung erfolgt direkt beim Register und nutzt die eIDAS-Mittel aus VO 910/2014:
- Juristische Person in der EU: qualifiziertes elektronisches Siegel oder elektronische Attributbescheinigung
- Natürliche Person als Einzelunternehmer in der EU: qualifizierte elektronische Signatur, eID-Stufe «hoch», oder Attributbescheinigung
- Akteure ausserhalb der EU: qualifizierte Signatur bzw. Siegel oder Attributbescheinigung
Die Verifizierung gilt maximal drei Jahre. Wer nicht erneuert, wird auf «unverifiziert» gesetzt und verliert das Recht, neue DPPs zu registrieren oder bestehende zu ändern (Art. 4(4)).
Diese Verifizierung ist die rechtliche Voraussetzung. Sie liegt zwischen dem Hersteller und der Kommission - und wird auch dann nicht delegiert, wenn ein Dienstleister wie Transpareo die operative Registrierung übernimmt.
Granularität: Modell, Charge oder Artikel
Artikel 8 verlangt, dass DPPs auf der Granularitätsebene registriert werden, die der jeweilige Sektorrechtsakt vorsieht - Modell, Charge oder Artikel. Wenn ein Artikel-DPP angelegt wird und Charge- oder Modell-IDs existieren, müssen sie mitgeführt werden. Bei Charge-DPPs gilt Analoges für Modell-IDs.
Für Hersteller bedeutet das: Die internen Stammdaten brauchen eine saubere Hierarchie zwischen Modell, Charge und Einzelprodukt. Ohne diese Verknüpfung scheitert die automatische Validierung der Registrierung.
Versionierung, Hash und Aufbewahrung
Jede DPP-Version wird mit der ursprünglichen Registrierungs-ID verknüpft. Bei jeder Änderung verlangt das Register einen Hash der aktuellen DPP-Version - kryptografisch verifizierbar, nicht manuell erzeugbar.
Der Registrierungsnachweis (Art. 9) ist ein elektronisches Dokument, das die Kommission qualifiziert siegelt und mit einem Zeitstempel versieht. Inhalt mindestens: Registrierungs-ID, Warencode, Akteurs-Identität, Datum und Hash der letzten Version. 90 Tage gültig, beliebig regenerierbar.
Standard-Aufbewahrung: 10 Jahre ab Registrierung, sofern Unionsrecht oder Sektorrecht keine andere Frist vorsieht (Art. 10(3) der DPP-Register-Durchführungsverordnung). Selbst Insolvenz oder Liquidation des Herstellers entbinden nicht von der Verfügbarkeitspflicht (ESPR Art. 11(e)).
Logsystem
Das Register protokolliert dreistufig (Art. 14):
- Zugriffe und Authentifizierungen: 6 Monate
- Datenänderungen: Dauer der Registrierung
- Administrative Aktionen und Datenaustausch: 5 Jahre
Nationale Behörden erhalten Zugriff bei Vorfällen, Audits oder Stichproben.
Personenbezogene Daten - was die Kommission speichert
Artikel 18 listet, welche Daten ausschliesslich beim Register liegen: Vor- und Nachname jedes Nutzers, Login-Credentials, Auth-Tokens, Postanschrift, E-Mail. Bei natürlichen Personen zusätzlich Pass- oder Ausweis-Nummer, eID, Steuer-ID. Diese Daten gehen den DPP-Diensteanbieter nicht an. Kommission ist Controller dieser Account-Daten, der Wirtschaftsakteur bleibt Controller seiner DPP-Daten.
Wie Transpareo die Anforderungen abbildet
Die meisten Anforderungen treffen Architektur-Entscheidungen, die Transpareo bereits in dieser Form trifft. Im Einzelnen:
Dezentrales Modell. Transpareo ist eine Multi-Tenant-Plattform mit isolierter Datenbank pro Kunde. Die DPP-Daten leben in der Datenbank des Wirtschaftsakteurs, nicht in einem zentralen Pool - genau die Architektur, die Erwägungsgrund 3 voraussetzt.
Auftragsverarbeiterrolle sauber abgegrenzt. Artikel 19(5) und 20(3) sehen vor, dass der Wirtschaftsakteur Controller bleibt, auch wenn er einen Dritten mit der Registrierung beauftragt. Transpareo arbeitet bereits heute als Auftragsverarbeiter mit AVV - die Rollen sind klar.
Stabile Backup-URL pro DPP. Jeder Transpareo-DPP ist über eine permanente URL erreichbar, die sich auch über Versionsänderungen hinweg nicht verändert. Genau das verlangt Art. 8(6)(d) als «link to the back-up hosted by a DPP-SP».
Granularität. Das Datenmodell von Transpareo unterscheidet zwischen Produktmodell, Charge und Einzelprodukt und erlaubt Verknüpfungen entlang der Hierarchie - die Voraussetzung, um Artikel 8(3)/(4) zu erfüllen.
Mehrsprachiges semantisches Mapping. Das Repository der Kommission ist mehrsprachig nach DCAT-AP. Transpareo führt jeden Datenpunkt in 39 Sprachen, einschliesslich aller 24 EU-Amtssprachen, mit Übersetzung als Bestandteil des Tarifs.
Versions-Hash. Deterministische Serialisierung nach dem JSON Canonicalization Scheme (RFC 8785) und ein SHA-256-Hash pro DPP-Version sind bereits ausgeliefert. Offen ist nur das exakte Hash-Pinning-Format des EU-Registers; sobald die Kommission es publiziert, bilden wir es zusätzlich ab.
Listing als DPP-Diensteanbieter. Transpareo wird sich für die offizielle Liste der DPP-Diensteanbieter (Art. 2 Nr. 32 der ESPR) bewerben, sobald das Aufnahmeverfahren publiziert ist.
Registrierung im Auftrag. Wir bereiten den Service vor, die Registrierung im Auftrag bevollmächtigter Kunden zu übernehmen - die rechtliche Verantwortung des Kunden bleibt davon nach Art. 19(4) unberührt.
Zeitplan
Das Inkrafttreten regelt Artikel 23: 20 Tage nach Veröffentlichung im Amtsblatt. Welcher Tag das wird, hängt davon ab, wann die Kommission die finale Fassung annimmt. Das Mutter-Mandat aus Artikel 13(5) der ESPR datiert auf den 19. Juli 2026 - bis dahin muss das Register stehen.
Spürbar produktiv wird das Register voraussichtlich erst mit dem 18. Februar 2027: An diesem Tag greift Artikel 77 der EU-Batterieverordnung 2023/1542, und der DPP wird für Industrie-, EV- und LMT-Batterien über 2 kWh verpflichtend. Die Details und die offenen Implementing-Act-Fragen haben wir im ESPR-Zeitplan 2027 aufgeschrieben. Bis dahin bleiben rund neun Monate. Wer Lieferantenverträge, Stammdaten-Migration und interne Freigaben einplant, weiss: das ist knapp, nicht reichlich.
Was offen bleibt
Die Verordnung selbst beschreibt das organisatorische Gerüst. Was fehlt, ist die technische Spezifikation der API - das genaue Schnittstellenformat, die Schemas, die Validierungsregeln. Diese wird voraussichtlich als separate Kommissionsleitlinie nach Art. 15(1) folgen, vermutlich noch im Verlauf von 2026.
Bis dahin ist die Marschrichtung aber eindeutig: dezentrale Architektur, verifizierte Akteure, qualifizierte Signaturen, eindeutige Registrierungs-IDs, Versionsverkettung, semantische Interoperabilität. Alles Konzepte, die nicht mehr verschwinden werden.
Die offizielle Konsultations-Initiative der Kommission ist auf Have Your Say erreichbar.