Skip to content
InfoDPP Logo
InfoDPP
ESPR knowledge hub
technology

Wer darf einen DPP betreiben? EU-Regeln für Dienstleister

Was die EU für DPP-Dienstleister vorbereitet: Zertifizierung, Interoperabilität, Backup-Regeln und Plattform-Governance.

· 9 Min. Lesezeit · InfoDPP

Warum dieses Thema jetzt wichtig ist

Die Europäische Kommission diskutiert den Digitalen Produktpass nicht mehr nur als produktbezogenes Compliance-Werkzeug. Sie bereitet auch Regeln für die Unternehmen vor, die die Infrastruktur rund um den DPP betreiben werden.

Das ist bedeutsam, denn ein DPP-Dienstleister ist kein gewöhnlicher Softwareanbieter. In der Praxis kann ein solcher Dienstleister Produktdaten hosten, Zugriffsrechte verwalten, Sicherungskopien pflegen, Interoperabilität unterstützen, APIs bereitstellen und sicherstellen, dass Passdaten verfügbar bleiben, wenn Produkte durch den Markt bewegt werden.

Für Unternehmen, die eine DPP-Plattform auswählen, verschiebt sich damit die Frage von „Kann dieser Anbieter einen QR-Code generieren?” zu „Wird diese Architektur wahrscheinlich funktionsfähig bleiben, wenn die EU-Governance-Regeln konkreter werden?”

Was die Kommission tatsächlich vorbereitet

Die Europäische Kommission hat eine eigene Initiative zu Regeln für DPP-Dienstleister im Rahmen der ESPR gestartet. Die Initiative stellt klar, dass die Kommission beabsichtigt, einen delegierten Rechtsakt über den Betrieb von DPP-Dienstleistern als wesentlichen Bestandteil der DPP-Governance zu erlassen.

Der Prozess hat bereits einen sichtbaren Zeitplan:

  • Evidenzaufruf: 12. November bis 10. Dezember 2024
  • Öffentliche Konsultation: 8. April bis 1. Juli 2025
  • Entwurf des Rechtsakts: in Vorbereitung
  • Annahme durch die Kommission: geplant für Q4 2026

Der endgültige Rechtsrahmen ist noch nicht veröffentlicht, aber die Richtung ist nicht mehr abstrakt. Die Kommission hat dem Markt bereits spezifische Fragen zur Datenspeicherung, zum Datenmanagement und zum möglichen Bedarf eines Zertifizierungssystems für Dienstleister gestellt.

Was heute bereits klar ist

Noch vor der Veröffentlichung des endgültigen delegierten Rechtsakts sind mehrere Punkte hinreichend deutlich.

1. DPP-Dienstleister werden als eigenständige Governance-Rolle behandelt

Die Kommission betrachtet die DPP-Infrastruktur nicht als unsichtbares Back-Office-Detail. Sie sieht darin eine Funktion, die eigene Regeln erfordern kann, da Dienstleister an der Schnittstelle zwischen Wirtschaftsoperateuren, Regulierungsbehörden, Verbrauchern, Zollsystemen und Marktüberwachungsbehörden stehen.

2. Die Debatte dreht sich nicht darum, ob Governance-Regeln notwendig sind

Die Debatte dreht sich darum, wie diese Regeln aussehen sollen. Das ist ein wichtiger Unterschied. Die grundlegende Governance-Schicht steht bereits zur Diskussion. Offene Fragen betreffen Zertifizierung, Rollentrennung, Dateneigentum und technische Erwartungen.

3. Interoperabilität ist zentral, nicht optional

Im gesamten Konsultationsprotokoll taucht ein Thema immer wieder auf: DPP-Dienstleister sollen Unternehmen nicht in proprietären Systemen einsperren. Offene Standards, portable Identifikatoren und Übertragbarkeit zwischen Anbietern gehören zu den stärksten wiederkehrenden Forderungen.

4. Backup und Kontinuität werden wichtig sein

Der ESPR-Rahmen enthält bereits die Vorgabe, dass DPP-Daten auch dann verfügbar bleiben müssen, wenn der ursprüngliche Betreiber oder Wirtschaftsakteur verschwindet. Die Dienstleister-Debatte macht dies nun operativ: Wer speichert Sicherungskopien, wann werden sie freigegeben und ob Backup eine eigenständige Rolle sein sollte.

Was das Konsultationsprotokoll zeigt

Der Evidenzaufruf zog 178 Stellungnahmen an — von Plattformanbietern, Herstellern, Normungsakteuren, Branchenverbänden, Datenraum-Initiativen und Konformitätsbewertungsstellen. Das ergibt keine endgültige Rechtsantwort, zeigt aber, wo der stärkste Konsens liegt.

Interoperabilität und Anti-Lock-in sind der stärkste gemeinsame Nenner

Dies ist die deutlichste Erkenntnis aus dem gesamten Feedback-Set. Befragte aus sehr unterschiedlichen Branchen argumentieren, dass DPP-Dienstleister auf offenen, international anerkannten Standards basieren und Architekturen vermeiden sollten, die einen Anbieterwechsel unnötig erschweren.

Warum das in der Praxis wichtig ist:

In der Praxis bedeutet das:

  • Unternehmen sollten ihre Produktdaten in nutzbarer Form exportieren können
  • Identifikatoren und Links sollten bei einem Anbieterwechsel nicht brechen
  • Anbieter sollten nicht auf geschlossene Protokolle setzen, die Ausstiegsbarrieren schaffen
  • Ein DPP sollte zwischen Plattformen und Systemen portabel bleiben

Dezentrale Governance findet breite Unterstützung

Ein weiterer wiederkehrender Punkt: DPP-Daten sollten nicht automatisch in einem zentralen proprietären Repository eines externen Betreibers konzentriert werden. Eine breite Gruppe von Befragten sprach sich für ein dezentraleres Modell aus, bei dem der Wirtschaftsoperateur die Kontrolle über seine Daten behält.

Das bedeutet nicht, dass jedes Unternehmen selbst hosten wird. Es bedeutet, dass das Governance-Modell Raum lassen sollte für:

  • klares Dateneigentum beim Wirtschaftsoperateur
  • Plattform-Hosting ohne implizite Übertragung der Kontrolle
  • portable Datensätze und exportierbare Strukturen
  • begrenzte und klar definierte Backup-Rollen

Zertifizierung ist auf dem Tisch, aber noch ungeklärt

Die Konsultation zeigt deutlich, dass einige Stakeholder ein formales Ex-ante-Zertifizierungsmodell bevorzugen, während andere leichtere oder flexiblere Aufsicht unterstützen. Verweise auf Informationssicherheitsreife (z. B. ISO 27001) als praktische Mindesterwartung sind erkennbar.

  • einige Akteure plädieren für eine formale unabhängige Zertifizierung, bevor ein Anbieter tätig werden darf
  • andere unterstützen freiwillige Zertifizierung oder Mindestanforderungen an die Sicherheit statt schwerer Zugangshürden
  • mehrere Stellungnahmen verweisen auf Informationssicherheitsmanagement auf dem Niveau von ISO 27001 als praktische Basiserwartung

Irgendeine Form nachweisbarer Governance und Zuverlässigkeit ist wahrscheinlich, aber der genaue rechtliche Mechanismus steht noch nicht fest.

Sicherungskopien sind kein triviales Speicherthema

Die Backup-Debatte ist spezifischer, als sie klingt. Stakeholder fragen:

  • Ob die Sicherung vom selben Anbieter oder einem separaten Dienstleister betrieben werden sollte
  • Ob sie einen Live-Spiegel oder nur den letzten gültigen Stand enthalten sollte
  • Wer darauf zugreifen kann und unter welchen Bedingungen
  • Wie Kontinuität funktionieren soll, wenn der Wirtschaftsakteur oder Dienstleister aufhört zu existieren

Das ist wichtig, weil ein Anbieter, der nur für Frontend-Anzeige gebaut ist, später Schwierigkeiten haben könnte, strukturiertere Kontinuitäts- und Freigabelogik zu erfüllen.

Was offen bleibt

In mehreren wichtigen Fragen ist Vorsicht angebracht.

1. Das endgültige Zertifizierungsmodell ist nicht veröffentlicht

Ob der delegierte Rechtsakt eine vollständige Ex-ante-Zertifizierung, eine leichtere Konformitätsbewertung, eine freiwillige Zertifizierung oder ein Hybridmodell erfordern wird, ist noch nicht bekannt.

2. Die Grenze zwischen Primärhosting und Backup ist fließend

Die rechtliche und betriebliche Unterscheidung zwischen einer Plattform, die einen DPP aktiv bedient, und einem Anbieter, der nur eine Kontinuitätskopie vorhält, befindet sich noch in der Diskussion.

3. Die endgültigen technischen Anforderungen sind noch nicht kodifiziert

Die politische Richtung ist klar pro-Interoperabilität, aber der delegierte Rechtsakt hat den genauen Standards-Stack, Systempflichten oder Verifizierungsmechanismen für Dienstleister noch nicht definiert.

4. Finanzielle und organisatorische Hürden sind ungeklärt

Einige Befragte warnten, dass übermäßig strenge Anforderungen kleinere europäische Softwareunternehmen ausschließen könnten. Das Anliegen ist in den Konsultationen sichtbar, aber die endgültige Abwägung der Kommission ist noch nicht bekannt.

Was Unternehmen jetzt sicher tun können

Dass der endgültige delegierte Rechtsakt noch nicht veröffentlicht ist, bedeutet nicht, dass Unternehmen passiv warten müssen. Es bedeutet, dass sie sich auf Entscheidungen konzentrieren sollten, die auch bei sich ändernden Details wertvoll bleiben.

1. Offene und portable Produktdaten bevorzugen

Bauen Sie Ihren Workflow nicht um eine Plattform auf, die Exporte erschwert, Identifikatoren verschleiert oder Migration kompliziert macht. Auch ohne den endgültigen Rechtsakt ist Portabilität eine der sichersten Annahmen.

2. Fragen Sie Anbieter nach Dateneigentum und Exit-Logik

Ein seriöser DPP-Dienstleister sollte bereits jetzt Fragen beantworten können wie:

  • Wem gehören die Produktdaten?
  • Wie können sie exportiert werden?
  • Was geschieht bei Beendigung des Dienstes?
  • Wie werden Backup und Kontinuität gehandhabt?

Wenn diese Antworten heute unklar sind, werden sie nach der Annahme des delegierten Rechtsakts kaum einfacher werden.

3. Governance als Teil der Anbieterauswahl behandeln

Bewerten Sie Dienstleister nicht nur nach Frontend-Funktionen. Bewerten Sie ihr Verständnis von Zugriffsrechten, Auditierbarkeit, Rollentrennung, strukturierten Daten und langfristiger Wartbarkeit.

4. Architekturen vermeiden, die sich später schwer anpassen lassen

Die sicherste Vorbereitung besteht nicht darin, die endgültige Regelung zu erraten. Sie besteht darin, nicht auf Annahmen zu bauen, die im Konsultationsverfahren bereits unter Druck stehen — insbesondere proprietäre Bindung und schwache Portabilität.

Warum dies für OriginPass-Käufer relevant ist

Für Hersteller, Importeure und Markeninhaber lautet die zentrale Erkenntnis nicht, dass sie Experten für delegierte Rechtsakte werden müssen. Die zentrale Erkenntnis lautet: Die Wahl des Dienstleisters wird zu einer compliance-relevanten Architekturentscheidung.

Das stärkste Signal aus dem laufenden Prozess deutet darauf hin, dass das erfolgreiche DPP-Modell wahrscheinlich nicht sein wird:

  • geschlossen
  • intransparent
  • schwer exportierbar
  • nachlässig bei Backup und Zugriffslogik

Die wahrscheinlichere Richtung ist ein Modell, das auf Folgendem aufbaut:

  • strukturierte Datensätze
  • portable Identifikatoren
  • klare Eigentumsgrenzen
  • Interoperabilität
  • Governance, die erklärt und geprüft werden kann

Weiterlesen

Offizielle Quellen

Die Wahl einer DPP-Plattform ist nicht mehr nur eine Softwareentscheidung. Arbeiten Sie mit einem Betreiber, der die Fragen zu Dienstleistern, Interoperabilität und Governance bereits ernst nimmt, während die EU-Regeln noch ausgestaltet werden. So geht OriginPass strukturierte Produktdatensätze und portable DPP-Workflows an.

← Zurück zum Blog
OriginPass

Bereiten Sie Ihre Produktdaten auf die ESPR vor

Beginnen Sie mit dem Aufbau Ihres Digitalen Produktpasses — strukturieren Sie Produktdaten, ordnen Sie Identifikatoren zu und seien Sie bereit, bevor delegierte Rechtsakte in Kraft treten. Kostenloser Tarif verfügbar.

Kostenlos starten auf OriginPass →
Schnelle Einrichtung

Keine Kreditkarte erforderlich · Kostenloser Tarif verfügbar · Starten Sie in Ihrem eigenen Tempo