CIRPASS-2 schlägt eine Referenzarchitektur für das EU-DPP-System vor
CIRPASS-2 hat eine Entwurfsfassung einer Referenzarchitektur für das europäische System des Digitalen Produktpasses veröffentlicht. Die 25 Empfehlungen betreffen Interoperabilität, Identität, Datenintegrität, Produktidentifikation und Zugriff und schaffen damit eine technische Grundlage für künftige DPP-Infrastrukturen.
CIRPASS-2 testet DPPs in realen Einsatzumgebungen
CIRPASS-2 ist ein Innovationsprojekt, das im Rahmen des Programms „Digitales Europa“ der Europäischen Kommission gefördert wird. Das Projekt wird vom französischen Forschungsinstitut CEA-List koordiniert und läuft von Mai 2024 bis April 2027.
In 13 Leuchtturm-Pilotprojekten werden Digitale Produktpässe in den Bereichen Textilien, elektrische und elektronische Geräte, Reifen und Baustoffe erprobt. Beteiligt sind Hersteller, Forschungseinrichtungen, Normungsorganisationen und Technologieanbieter.
Am 10. Juni 2026 veröffentlichte CIRPASS-2 die aktualisierte D4.1-Referenzarchitektur für das europäische System des Digitalen Produktpasses. Zum Veröffentlichungspaket gehören außerdem ein Empfehlungsübersichtsblatt vom 9. Juni sowie eine begleitende Analyse zu Risiken und Gegenmaßnahmen vom 5. Juni.
Die Dokumente sollen die Lücke zwischen der Ökodesign-Verordnung für nachhaltige Produkte, kurz ESPR, und den Organisationen schließen, die technische Komponenten für DPP-Systeme entwickeln.
Architektur definiert Rollen und Bausteine
Die Referenzarchitektur beschreibt das DPP-System als Zusammenspiel technischer Dienste, Governance-Funktionen und interoperabler Datenkomponenten.
Diese Bausteine werden Rollen wie verantwortlichen Wirtschaftsakteuren, Behörden, DPP-Dienstleistern, Ausstellern von Nachweisen, Akteuren der Lieferkette und Endnutzern zugeordnet.
Das Dokument ist ein explorativer Vorschlag des CIRPASS-2-Konsortiums. Es handelt sich weder um eine verbindliche EU-Spezifikation noch um eine Vorgabe von CEN-CENELEC JTC 24.
Die 25 Empfehlungen decken sechs Bereiche ab: Interoperabilität, Identitäts- und Zugriffsmanagement, DPP-Integrität, DPP-Zugriff, Datenmanagement und Informationsdarstellung.
JSON-LD und APIs für Interoperabilität
CIRPASS-2 empfiehlt JSON-LD als Standardformat für den Austausch von DPP-Daten. Zusätzlich schlägt das Projekt modulare und erweiterbare DPP-Vorlagen vor, um semantische Interoperabilität zwischen Produktgruppen und Softwareplattformen zu unterstützen.
Für das Lebenszyklusmanagement sollen Systeme die in prEN 18222 definierten standardisierten Kern-APIs verwenden. Wo keine maßgebliche Spezifikation vorliegt, empfiehlt der Bericht die Orientierung an etablierten offenen Schnittstellen.
Produkte mit Komponenten, die über eigene Produktpässe verfügen, sollen dauerhafte Verknüpfungen zu diesen untergeordneten DPPs bereitstellen, anstatt ausschließlich mit kopierten Daten zu arbeiten.
Verifiable Credentials und kontrollierter Zugriff
Die Architektur empfiehlt Verifiable Credentials für Organisationsidentitäten, authentifizierte Rollen und DPP-Datensätze. Rollennachweise sollen von vertrauenswürdigen Stellen ausgestellt oder abgesichert werden.
Der Zugriff auf geschützte DPP-Informationen soll über rollenbasierte Zugriffskontrollen geregelt werden. Öffentliche und rollenspezifische Datensätze könnten als miteinander verknüpfte JSON-LD Verifiable Credentials bereitgestellt werden.
Der Vorschlag unterscheidet zwischen Identitätsnachweisen vertrauenswürdiger Dritter und DPP-Datennachweisen, die vom verantwortlichen Wirtschaftsakteur ausgestellt werden.
Integrität, Aktualisierungen und langfristige Verfügbarkeit
CIRPASS-2 empfiehlt, sowohl den ursprünglichen Produktpass als auch spätere Aktualisierungen als unveränderliche Datensätze zu behandeln. Änderungen sollen neue, mit Zeitstempel versehene Einträge erzeugen, anstatt bestehende Informationen zu überschreiben.
Systeme sollen signierte Belege für Aktualisierungen bereitstellen und unabhängige kryptografische Nachweise zur Authentizität speichern. Ein Meldemechanismus soll es autorisierten Parteien ermöglichen, fehlerhafte oder ungültige DPPs zu kennzeichnen.
Backup-Anbieter sollen den vollständigen DPP-Datenbestand spiegeln, mit dem Primärsystem synchron bleiben und dieselben Zugriffsregeln anwenden.
Dauerhafter Zugriff über Produktidentifikatoren
Der verantwortliche Wirtschaftsakteur soll einen Weiterleitungsdienst betreiben, der den Unique Product Identifier eines Produkts dem aktuellen Speicherort seines DPP zuordnet.
Dadurch bleibt der Produktidentifikator dauerhaft bestehen, auch wenn sich der Datenstandort im Laufe des Produktlebenszyklus ändert. CIRPASS-2 empfiehlt zusätzlich einen unabhängigen EU-weiten Fallback-Dienst für die Weiterleitung.
Produkte, deren Daten während des Lebenszyklus aktualisiert werden müssen, etwa durch Reparatureinträge, sollen Identifikatoren auf Einzelproduktebene erhalten. Nutzer mit hohem Zugriffsvolumen, darunter Behörden und Reparaturnetzwerke, könnten Caching oder lokale Repositorien benötigen.
Risiken gehen über Cybersicherheit hinaus
Die begleitende Analyse behandelt fehlerhafte Daten, kopierte Identifikatoren, manipulierte Datenträger, unautorisierte Änderungen, Systemausfälle, Tracking sowie die Offenlegung geschäftlich sensibler Informationen.
Zu den vorgeschlagenen Gegenmaßnahmen zählen Verschlüsselung, Authentifizierung, Zugriffskontrolle, Rate Limiting, Änderungsprotokolle, kryptografische Signaturen, robuste Datenträger und Fallback-Dienste.
Der Bericht weist zugleich darauf hin, dass technische Integrität nicht beweist, dass eine Produktaussage inhaltlich korrekt ist. Bestimmte Risiken, darunter physische Manipulationen oder Missbrauch durch autorisierte Parteien, können daher bestehen bleiben.
Für Systemintegratoren, Lösungsanbieter und Hersteller bietet die Architektur einen Rahmen, um Datenmodelle, APIs, Identitätssysteme, Identifier-Auflösung und Lebenszyklusaktualisierungen vor einer großflächigen DPP-Einführung zu bewerten.
Entdecken Sie die vollständige CIRPASS-2-Referenzarchitektur, alle 25 Empfehlungen und die detaillierte Risikoanalyse: https://cirpass2.eu/project-results/