Legende
- Ausgeliefert
- Die Kontrolle ist live und durch Tests gedeckt.
- Teilweise
- Einige Unterklauseln oder Zielgruppen sind ausgeliefert; der Rest ist dokumentiert und verfolgt.
- Geplant
- Code-Arbeit noch nicht begonnen; Aktivierung hängt von einer externen Abhängigkeit oder einer bewussten Reihenfolge ab.
- Nicht adressiert
- Heute keine Code-Arbeit; kein verbindliches Ziel.
- Außerhalb des Geltungsbereichs
- Die Pflicht liegt bei einem anderen Akteur (Hersteller, Zoll, Kommission) oder der Bau gehört einer anderen Partei.
Status-Zählungen: 35 Ausgeliefert · 7 Teilweise · 2 Geplant · 0 Nicht adressiert · 10 Außerhalb des Geltungsbereichs
Maschinenlesbar: /compliance/matrix.json (Cache: 1 Tag).
Matrix
| Regulierung | Artikel | Anforderung | Status | Hinweis |
|---|---|---|---|---|
| ESPR | 9(1) |
Produkte nur auf den EU-Markt mit DPP gemäß dem geltenden delegierten Rechtsakt; Daten korrekt, vollständig, aktuell. | Außerhalb des Geltungsbereichs | Hersteller-Pflicht. Unsere Plattform ermöglicht Pass-CRUD, Revisionsverfolgung und einen Vollständigkeits-Scorer; wir erzwingen 'vollständig' nicht, weil die Verordnung das den sektoralen delegierten Rechtsakten überlässt. |
| ESPR | 9(2)(a-c) |
Delegierte Rechtsakte legen sektorspezifische Daten, Datenträger und Etiketten-Layout fest. | Teilweise | Sektor-Schemas verfolgen den stabilisierten Entwurf + die endgültige Verordnung jedes Sektors. Batterie ist vollständig verfolgt; Textil und Elektronik sind noch nicht final — Schemas werden bei Veröffentlichung neu getaggt. |
| ESPR | 9(2)(d) |
DPP auf Modell-, Chargen- oder Stück-Ebene gemäß dem delegierten Rechtsakt. | Ausgeliefert | Spalte passport_type trägt model | batch | item. Batterie-Stück-Pässe (Anhang XIII §4) sind per Definition stückgenau. |
| ESPR | 9(2)(e) |
DPP für Kunden vor Vertragsschluss zugänglich — auch Fernabsatz. | Außerhalb des Geltungsbereichs | Hersteller-Platzierungs-Pflicht. Wir stellen eine öffentliche URL bereit; der Hersteller ist für die Einbettung am Verkaufsort zuständig. |
| ESPR | 9(2)(f-g) |
Welche Akteure haben welche Lese-/Schreib-Zugriffsrechte auf welche Daten. | Ausgeliefert | Rollenbasierte Berechtigungen ausgeliefert in Phase 16. Hersteller / Auditor / Verwerter / Reparateur / Notified-Body sehen jeweils die ihnen zugeordneten Felder. Verwerter-Schreibflächen sind Folgephase. |
| ESPR | 9(2)(h) |
Detaillierte Vorgaben zur Eingabe und Aktualisierung von Daten. | Ausgeliefert | Sektorspezifisches Formular + Revisionsjournal + JSON / PDF / CSV-Export. Bulk-CSV-Upload ab Tarif Professional+. |
| ESPR | 9(2)(i) |
DPP über die erwartete Produktlebensdauer verfügbar. | Ausgeliefert | DELETE auf einen Pass liefert 403; is_active wechselt am Lebensende auf False, die Zeile bleibt. Artikel 10(4) explizit. |
| ESPR | 9(3) |
Einfacher Zugriff für die Wertschöpfungskette; Prüfbarkeit für Behörden; Rückverfolgbarkeit. | Teilweise | Öffentliche URL + Audit-Kette mit hash-verketteten Diffs. Plattformübergreifende Lieferketten-Vererbung ist eine separate Phase 2 (eureg.net). |
| ESPR | 10(1)(a) |
Datenträger mit dauerhaftem eindeutigen Produktidentifikator. | Ausgeliefert | passports.short_code ist der dauerhafte Identifikator; GS1 Digital Link ist der parallele Identifikator bei gesetzten GTIN + Serial (Professional+). |
| ESPR | 10(1)(b) |
Datenträger physisch auf Produkt / Verpackung / Begleitdokument. | Außerhalb des Geltungsbereichs | Hersteller-Pflicht. Wir erzeugen den QR; das Anbringen ist Sache des Herstellers. |
| ESPR | 10(1)(c) |
Datenträger + Identifikator entsprechen der ISO/IEC 15459-Familie. | Teilweise | GS1-Digital-Link-Codierung (Professional+) erfüllt ISO/IEC 15459-6 (GTIN). Trial / Starter nutzen unseren internen short_code (eindeutig, aber kein formaler 15459-Identifikator). |
| ESPR | 10(1)(d) |
Offene Standards, interoperabel, maschinenlesbar, strukturiert, kein Vendor-Lock-in. | Ausgeliefert | JSON-LD mit öffentlichem @context (Schema.org + dpp:-Namespace). CORS offen. Pro-Pass-Export-Bundle (Phase 19) plus Konto-ZIP für Selbsthosting. |
| ESPR | 10(1)(e) |
Personenbezogene Daten nur mit ausdrücklicher Einwilligung (DSGVO Art. 6). | Ausgeliefert | Position A: Scan-Analytics nutzen Art. 6(1)(f) berechtigtes Interesse mit minimalen Daten (ip_country aus Header, Geräteklasse — keine rohe IP, kein roher UA, kein Tracking-Cookie). Datenschutzerklärung dokumentiert Grundlage + Art. 21 Widerspruchsrecht. |
| ESPR | 10(1)(f-g) |
Daten beziehen sich auf Modell/Charge/Stück; Zugriff geregelt nach delegiertem Rechtsakt. | Ausgeliefert | Spalte passport_type + rollenbasiertes Berechtigungsmodell (Phase 16). Feldgenaue Audience-Tagging erfolgt sektorspezifisch; Batterie Anhang XIII vollständig implementiert. |
| ESPR | 10(2) |
Daten anderer Unionsrechtsakte können einbezogen werden. | Ausgeliefert | Spalten documents + material_declarations + hazardous_substances + certifications JSONB geben dem Hersteller Slots für regulierungsübergreifende Overlays (REACH SVHC, RoHS DoC, WEEE). |
| ESPR | 10(3) |
Datenträger / URL kostenlos an Händler + Marktplätze, innerhalb von 5 Werktagen. | Ausgeliefert | QR-PNG + URL sind kostenlos, vom Dashboard herunterladbar, teilbar. Wir erlegen keine Wartezeit auf. |
| ESPR | 10(4) |
Hersteller muss eine Sicherungskopie über einen DPP-Dienstleister bereithalten. | Ausgeliefert | Wir sind der DPP-Dienstleister. Phase 19 liefert pro-Pass + konto-weite Export-Bundles plus eine portable Resolver-Vorlage, sodass der Hersteller eine vollständige selbst-hostbare Kopie hält. Anhang III(l)-Backup-Provider-Feld auf jedem Pass erfasst. |
| ESPR | 11(a) |
Volle Interoperabilität mit anderen DPPs (technisch, semantisch, organisatorisch). | Teilweise | JSON-LD über HTTPS, IETF/W3C-Standards. Semantische Vokabularien werden mit der CIRPASS-2-Arbeit der Kommission abgeglichen, sobald das gemeinsame Vokabular erscheint. |
| ESPR | 11(b) |
Kostenloser, einfacher Zugriff für 13 aufgezählte Zielgruppen (Verbraucher, Hersteller, Zoll, Verwerter, Zivilgesellschaft, …) gemäß Zugriffsrechten. | Teilweise | 5 Audience-Rollen ausgeliefert (Hersteller / Auditor / Verwerter / Reparateur / Notified Body). Zivilgesellschaft und Gewerkschaften erben in v1 die Verbraucher-Sicht (öffentliche Stufe). |
| ESPR | 11(c) |
DPP gespeichert vom Wirtschaftsakteur, der das Produkt in Verkehr bringt, oder von einem DPP-Dienstleister. | Ausgeliefert | Wir sind die Speicherschicht — PostgreSQL + MinIO auf EU-Hardware in Dänemark. |
| ESPR | 11(d) |
Neuer DPP für ein bestehendes Produkt muss auf den/die Original-DPP(s) verweisen. | Ausgeliefert | Phase 15.2 lieferte previous_passport_ids JSONB-Spalte + JSON-LD previousPassports-Verlinkung + Viewer-Kettendarstellung. Hash-relevant — Vorgängeränderungen flippen den Integritätshash. |
| ESPR | 11(e) |
DPP bleibt nach Insolvenz / Liquidation / Einstellung der Tätigkeit verfügbar. | Ausgeliefert | Phase 19 liefert ein vollständiges On-Demand-Export-Bundle (JSON-LD + PDF + QR + Revisionen) plus eine portable Resolver-Vorlage. Hersteller hält eine selbst-hostbare Kopie unabhängig von unserem Fortbestand. Öffentliche Kontinuitätserklärung unter /continuity. |
| ESPR | 11(f) |
Rechte zum Einführen / Ändern / Aktualisieren begrenzt durch Zugriffsrechte. | Ausgeliefert | Rollenbasierte Schreibpfade (Phase 16-Plumbing). Heute schreiben nur Hersteller-Konten; Verwerter-Schreibflächen für Refurbishment-Pässe sind eine zukünftige Phase. |
| ESPR | 11(g) |
Datenauthentifizierung, Zuverlässigkeit, Integrität gewährleistet. | Ausgeliefert | passport_hash (SHA-256 über kanonisches JSON-LD) bei jedem Speichern. Revisionskette mit hash_before / hash_after / strukturiertem Diff. Ketten-Validator unter /p/{code}/audit. |
| ESPR | 11(h) |
Hohes Maß an Sicherheit, Datenschutz, Betrugsschutz. | Ausgeliefert | Phase 20 liefert eine dokumentierte interne Sicherheitsprüfung gegen eine OWASP ASVS L2 + API Top-10 Checkliste; vierteljährlicher Rhythmus. Siehe /security für die öffentlichen Aussagen und docs/security-review-{YYYY-MM-DD}.md für jede datierte Prüfung. |
| ESPR | 11 last subpara |
DPP-Dienstleister dürfen Daten nicht über die Speicherung hinaus verkaufen / wiederverwenden / verarbeiten. | Ausgeliefert | Allgemeine Geschäftsbedingungen begrenzen das. Wir monetarisieren keine Kundendaten. Dokumentiert in /privacy und /terms. |
| ESPR | 11 implementing acts |
Kommission kann Verfahren für die Ausstellung / Verifizierung digitaler Berechtigungen festlegen. | Außerhalb des Geltungsbereichs | Durchführungsrechtsakt noch nicht erlassen. Bei Erlass richtet sich unser Berechtigungsmodell nach dem entstehenden EU-Schema (vermutlich eIDAS-DPP). |
| ESPR | 12(1) |
Betreiber- + Anlagen-Identifikatoren entsprechen der ISO/IEC 15459-Familie oder gleichwertig. | Ausgeliefert | Phase 15.3 lieferte Format-Validatoren für GLN (Mod-10-Prüfziffer), EORI (Länderpräfix + alphanumerisch), DUNS (9-stellig). Unbekannte Formate passieren (die Verordnung erlaubt explizit gleichwertige Schemata). |
| ESPR | 12(2-3) |
Wenn eine eindeutige Betreiber-/Anlagen-ID nicht verfügbar ist, beantragt der DPP-Ersteller sie im Namen des Akteurs. | Ausgeliefert | Phase 15.4 lieferte den pendingIssuance-Zustand auf facility_id und other_operator_identifiers. Hersteller bestätigt, gemäß Art. 12(2)/(3) zuvor Bestätigung eingeholt zu haben; Status flippt im JSON-LD auf pendingIssuance, bis die ID ausgestellt ist. |
| ESPR | 12(4-6) |
Lebenszyklus-Regeln für eindeutige Identifikatoren — anstehende delegierte Rechtsakte. | Außerhalb des Geltungsbereichs | Delegierte Rechtsakte der Kommission noch nicht erlassen. |
| ESPR | 13(1) |
Kommission richtet bis zum 19. Juli 2026 ein Register für Identifikatoren + Warencodes ein. | Außerhalb des Geltungsbereichs | Nicht unsere Infrastruktur. Aufbau durch die Kommission. |
| ESPR | 13(4-5) |
Hersteller lädt Identifikatoren hoch; Register liefert pro Upload eine eindeutige Registrierungs-ID. | Geplant | Phase 7 lieferte die Abstraktion (eu_registry.py + ARQ-Task + RegistryPointer-Tabelle). Stub-Modus, bis die Kommission die LinkSet-API und unsere Provider-Credentials veröffentlicht — drei Umgebungsvariablen entfernt. |
| ESPR | 13(6) |
Kommission, zuständige nationale Behörden und Zoll haben Zugriff auf das Register. | Außerhalb des Geltungsbereichs | Deren Zugriff ins Register, nicht unserer. |
| ESPR | 14 |
Kommission richtet ein öffentlich zugängliches Webportal zur Suche über DPPs ein. | Außerhalb des Geltungsbereichs | Aufbau durch die Kommission. Wir liefern unser JSON-LD in einer Form aus, die das Portal aufnehmen kann; sobald das Register unsere Domain indexiert, funktioniert der Portal-Zugriff automatisch. |
| ESPR | 15(1) |
Importeur stellt dem Zoll die eindeutige Registrierungs-ID aus Art. 13(5) bereit. | Geplant | Sobald das Register live ist, ist unser RegistryPointer.registry_id der Wert, den der Hersteller dem Zoll übergibt. Prominente Darstellung im Dashboard ist eine kleine UI-Folgeaufgabe. |
| ESPR | 15(2-3) |
Zoll prüft Registrierungs-ID + Warencode vor Freigabe; Register interagiert mit EU CSW-CERTEX. | Außerhalb des Geltungsbereichs | Zollverfahren + Aufbau der Kommission. Außerhalb unserer Fläche. |
| ESPR | 15(4) |
Kommission und Zoll können DPP- / Register-Daten abrufen und nutzen. | Ausgeliefert | JSON-LD-Endpunkt mit offener CORS bedient diesen Vertrag. |
| ESPR | Annex III |
Anhang-III-Datenelemente (a)–(l) — Hersteller / Bevollmächtigter / Importeur / Betreiber / Anlagen / DPP-Dienstleister / Dokumente / TARIC / GTIN. | Ausgeliefert | Jedes Anhang-III-Element hat eine Spalte oder JSONB-Slot. Sektorale delegierte Rechtsakte wählen die geforderte Untermenge; wir erfassen das volle Set, damit der Hersteller alles Relevante befüllen kann. |
| Battery | 77(1) |
LMT, Industrie >2 kWh, EV-Batterien auf dem Markt ab 18. Februar 2027. | Ausgeliefert | Batterie-Sektor-Schema verfolgt alle vier Kategorien (portable / SLI / industriell / LMT / EV). Pflichtfelder unterscheiden sich je Kategorie. |
| Battery | 77(2) |
Öffentliche Information gemäß Anhang XIII §1; eingeschränkte §2 + §3 je Zielgruppe. | Ausgeliefert | Alle §1/§2/§3/§4-Felder vorhanden. Phase 16 spaltet die eingeschränkte Stufe in Auditor / Verwerter / Reparateur / Notified-Body-Rollen; vorher waren alle eingeschränkten Felder in einem Bucket. |
| Battery | 77(3) |
Über QR zugänglich; QR + Identifikator entsprechen ISO/IEC 15459-1..6. | Teilweise | QR + GS1-Digital-Link-Codierung (Professional+). Trial / Starter nutzen unseren internen short_code (eindeutig, aber kein formaler 15459-Identifikator). |
| Battery | 77(4) |
Hersteller stellt sicher, dass die Information korrekt, vollständig und aktuell ist. | Ausgeliefert | Hersteller-Verantwortung. Wir liefern CRUD + Vollständigkeits-Scorer + Revisionsverlauf. 'Delegiertes Authoring' (zusätzliche Nutzer auf einem Hersteller-Konto, die in dessen Namen schreiben) ist eine Folgephase. |
| Battery | 77(5) |
Offene Standards, interoperabel, kein Vendor-Lock-in, maschinenlesbar, strukturiert, durchsuchbar. | Ausgeliefert | Wie ESPR 10(1)(d) — JSON-LD mit offenem @context, CORS offen, exportierbar als PDF / JSON / CSV / ZIP. |
| Battery | 77(6) |
Zugriff geregelt nach Artikel 78. | Ausgeliefert | Rollenbasiertes Berechtigungsmodell (Phase 16). Anforderungen aus Art. 78 spiegeln ESPR Art. 11. |
| Battery | 77(7) refurb |
Refurbished/remanufacturing Batterie: neuer Pass verlinkt mit Original-Pass(en). | Ausgeliefert | Phase 15.2 lieferte previous_passport_ids JSONB-Spalte + Viewer-Kettendarstellung. Verwerter, der den QR einer refurbished Batterie scannt, kann zur Originalbatterie zurückgehen. |
| Battery | 77(7) waste |
Wenn eine Batterie zu Abfall wird, geht die Verantwortung auf Erzeuger / EPR-Org / Abfallbetreiber über. | Teilweise | Art. 77(8) viewerseitig: Pass liefert 410 Gone bei battery_status='waste'. Art. 77(7) Eigentumsübergabe-Flow ('Pass auf Betreiber X übertragen') ist eine Folgephase. |
| Battery | 77(8) |
Batteriepass endet nach Recycling. | Ausgeliefert | battery_status='waste' → Viewer 410 Gone. Zeile bleibt für Art. 10(4) lebenslange Prüfung in der DB. |
| Battery | 77(9) |
Kommission erlässt bis 18. August 2026 einen Durchführungsrechtsakt zu 'Person mit berechtigtem Interesse'. | Außerhalb des Geltungsbereichs | Durchführungsrechtsakt noch nicht erlassen. Unser Berechtigungsmodell antizipiert die Rollenliste; spezifische Download- / Teilen- / Republish-Regeln werden bei Erlass codiert. |
| Battery | 78 |
Artikel 78 spiegelt ESPR Artikel 11 mit batteriespezifischer Formulierung. | Ausgeliefert | Gleiche Lage: Integrität (g) und Speicher (c) ausgeliefert. Verlinkung, Kontinuität, Sicherheitsprüfung allesamt geschlossen durch Phasen 15.2 / 19 / 20. |
| Battery | Annex XIII §1 |
§1 — Öffentliche Felder (jedem zugänglich). | Ausgeliefert | Alle 19 §1-Felder vorhanden und mit öffentlicher Stufe getaggt. Verbraucher-Sicht. |
| Battery | Annex XIII §2 |
§2 — Berechtigtes Interesse + Kommission (Zusammensetzung, Demontage, Sicherheitsmaßnahmen). | Ausgeliefert | Phase 16: Auditor + Verwerter + Reparateur sehen §2-Felder; Verbraucher / anonym nicht. |
| Battery | Annex XIII §3 |
§3 — Notified Bodies + Marktüberwachung (Prüfberichte). | Ausgeliefert | Phase 16: notified_body sieht §3-Felder ausschließlich. Verwerter / Reparateur nicht. |
| Battery | Annex XIII §4 |
§4 — Stück-Pass, berechtigtes Interesse (State of Health, Ladezyklen usw.). | Ausgeliefert | Phase 16: Auditor + Verwerter + Reparateur sehen §4-Felder auf Stück-Pässen. |
| Battery | Annex VI(C) |
Anhang VI Teil C — physische QR-Anforderungen (hoher Kontrast, mit Smartphone lesbar, dauerhafte Anbringung). | Ausgeliefert | Standard-Farbpaar für Kontrast validiert. pyzbar-Round-Trip-Selbsttest bestätigt Smartphone-Lesbarkeit. Dauerhafte Anbringung ist Hersteller-Pflicht. |
Prüfrhythmus
Die Matrix wird vierteljährlich geprüft, im Gleichschritt mit der internen Sicherheitsprüfung (siehe /security). Zeilen ändern den Status, wenn Phasenarbeit ausgeliefert wird; das as_of-Feld der JSON-Alternative ändert sich im selben Commit. Drift zwischen dieser Seite und dem zugrunde liegenden Code ist der Bug, den wir verhindern — die Datenstruktur in app/services/compliance_matrix.py ist die einzige Wahrheitsquelle.
Frage zu einer bestimmten Zeile? Sprechen Sie uns an — wir nehmen sie ins FAQ auf, wenn sie öfter kommt.
Fragen zu dieser Richtlinie? Bitte das Kontaktformular nutzen — oder erreichen Sie das Team über die Angaben auf der Kontaktseite.