Die DSGVO-Compliance beim Digitalen Produktpass liegt an der Schnittstelle zweier EU-Regulierungsrahmen — dem ESPR-Auftrag, Produktdaten zu teilen, und dem DSGVO-Auftrag, personenbezogene Daten zu schützen. Die entscheidende Erkenntnis: Die meisten DPP-Daten (Materialzusammensetzung, Umweltkennzahlen, Zertifizierungen) sind Produktdaten, keine personenbezogenen Daten, und fallen vollständig außerhalb des DSGVO-Anwendungsbereichs. Aber drei spezifische Berührungspunkte — Verbraucher-Scan-Metadaten (IP-Adressen, vom EuGH in der Rechtssache C-582/14 als personenbezogene Daten bestätigt), Einzelunternehmer-Herstellerangaben und namentlich genannte Lieferkettenkontakte — lösen DSGVO-Pflichten aus, die Artikel 10 der ESPR selbst ausdrücklich anerkennt, indem er für personenbezogene Kundendaten in DPPs eine Einwilligung verlangt.
Warum ist die DSGVO für Digitale Produktpässe relevant?
Ein Digitaler Produktpass beinhaltet Datenflüsse zwischen mehreren Parteien: Marken übermitteln Produktdaten, DPP-Plattformen hosten diese, Verbraucher scannen QR-Codes für den Zugriff, Lieferkettenpartner liefern Beiträge, und Marktüberwachungsbehörden prüfen die Daten. Jeder Datenfluss, der personenbezogene Daten umfasst, löst DSGVO-Pflichten aus — unabhängig davon, ob der primäre Zweck dieses Datenflusses die Produkttransparenz ist.
Die meisten DPP-Daten sind produktbezogene Informationen: Materialzusammensetzung, CO₂-Fußabdruck, Recyclinganweisungen, Zertifizierungsreferenzen. Nichts davon identifiziert eine natürliche Person. Aber mehrere Berührungspunkte im DPP-Ökosystem können personenbezogene Daten beinhalten, und Marken müssen genau wissen, wo diese Berührungspunkte liegen.
Das Risiko ist nicht hypothetisch. Seit Inkrafttreten der DSGVO haben EU-Datenschutzbehörden in über 2.000 Durchsetzungsmaßnahmen insgesamt mehr als 4,5 Milliarden EUR an Bußgeldern verhängt (GDPR Enforcement Tracker, 2025). Während DSGVO-Bußgelder bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes erreichen können, verlangt der ESPR-Sanktionsrahmen von jedem Mitgliedstaat, eigene Sanktionen festzulegen, die „wirksam, verhältnismäßig und abschreckend" sein müssen (Artikel 77). Eine Marke, die gegen beide verstößt, steht vor kumuliertem Risiko aus zwei unabhängigen Durchsetzungsregimen.
Welche DPP-Daten könnten personenbezogen sein?
Kontaktdaten des Wirtschaftsakteurs
Die ESPR verlangt, dass DPPs eine Herstelleridentifikation enthalten: Firmenname, Anschrift und Kontaktdaten einer verantwortlichen Person. Für juristische Personen sind geschäftliche Kontaktdaten in der Regel keine personenbezogenen Daten. Aber für Einzelunternehmer — im Mittelstand und bei kleinen Marken verbreitet — identifizieren Name und Anschrift des Herstellers eine natürliche Person und stellen damit personenbezogene Daten gemäß Art. 4 Abs. 1 DSGVO dar.
Scan-Daten der Verbraucher
Wenn ein Verbraucher einen DPP-QR-Code scannt, kann die Hosting-Plattform Metadaten erfassen: IP-Adresse, Gerätetyp, Betriebssystem, ungefährer Standort und Zeitstempel. Nach der DSGVO sind IP-Adressen personenbezogene Daten — der EuGH hat dies in der Rechtssache C-582/14, Breyer gegen Deutschland, bestätigt. Dies bedeutet, dass Verbraucher-Scan-Analysen eine Rechtsgrundlage erfordern, sei es berechtigtes Interesse oder ausdrückliche Einwilligung.
Wenn Ihre DPP-Plattform Verbraucher-Scans zu Analysezwecken verfolgt, benötigen Sie einen DSGVO-konformen Cookie-/Tracking-Einwilligungsmechanismus — dieselben Pflichten, die für jede Website gelten, die Besucher trackt, gelten auch für Ihre DPP-Hosting-Plattform. Gehen Sie nicht davon aus, dass die DSGVO-Einwilligungspflichten entfallen, weil die ESPR den DPP vorschreibt.
Lieferkettenpersonen
Fabrik-Ansprechpartner, Qualitätsprüfer und Zertifizierungsauditoren, die in der Lieferkettendokumentation namentlich genannt werden, können ebenfalls DSGVO-Pflichten auslösen. Wenn deren Namen oder Kontaktdaten in das DPP-System einfließen — selbst hinter der eingeschränkten Zugangsstufe — gilt die DSGVO für diese Daten. Auftragsverarbeitungsverträge mit Lieferkettenpartnern müssen dies abdecken.
Was ausdrücklich KEINE personenbezogenen Daten sind
Die Mehrheit der DPP-Inhalte fällt vollständig außerhalb des DSGVO-Anwendungsbereichs:
- Produktmaterialzusammensetzung (z. B. 95,2 % Bio-Baumwolle, 4,8 % Elasthan)
- Umweltkennzahlen (z. B. 7,2 kg CO₂e CO₂-Fußabdruck)
- Zertifizierungsreferenzen (z. B. OEKO-TEX Standard 100, GOTS)
- Herstellungsstandort (Fabrikadresse, nicht persönlicher Kontakt)
- Recycling- und End-of-Life-Anweisungen
- Produktidentifikatoren (GTIN, Chargennummern, Seriennummern)
DPP-Datenkategorien: Personenbezogen vs. nicht personenbezogen
| Datenkategorie | Personenbezogen? | DSGVO anwendbar? |
|---|---|---|
| Materialzusammensetzung | Nein | Nein |
| Umweltauswirkungs-Kennzahlen | Nein | Nein |
| Produktidentifikatoren (GTIN, Charge) | Nein | Nein |
| Firmendaten des Herstellers | In der Regel nein | Nur bei Einzelunternehmern |
| Name/E-Mail der verantwortlichen Person | Ja (wenn natürliche Person) | Ja |
| Scan-Metadaten der Verbraucher (IP, Standort) | Ja | Ja |
| Fabrik-Ansprechpartner | Ja (wenn namentlich benannt) | Ja |
| Zertifizierungen und Standards | Nein | Nein |
| Recyclinganweisungen | Nein | Nein |
Für die meisten KMU ist die Menge personenbezogener Daten in einem DPP gering — aber sie ist nicht null.
Was die ESPR zum Datenschutz sagt
Die ESPR ignoriert den Datenschutz nicht. Die Verordnung adressiert das Verhältnis zwischen DPPs und personenbezogenen Daten in mehreren Bestimmungen direkt:
- Ausschluss von Kundendaten: Personenbezogene Daten von Kunden dürfen nicht ohne deren ausdrückliche Einwilligung im DPP gespeichert werden. Dies ist ein strengerer Standard als die allgemeine „Rechtsgrundlage" der DSGVO — die ESPR verlangt spezifisch eine Einwilligung, nicht ein berechtigtes Interesse.
- Beschränkungen für Dienstleister: DPP-Dienstleister dürfen Passdaten nicht verkaufen, weiterverwenden oder über das für Hosting und Verarbeitung unbedingt Erforderliche hinaus verarbeiten. Dies spiegelt den DSGVO-Grundsatz der Zweckbindung wider und ist direkt in die ESPR geschrieben.
- Verifizierung von Zugangsdaten: Die Kommission wird Durchführungsrechtsakte für Verfahren zur Ausstellung und Überprüfung digitaler Berechtigungsnachweise autorisierter Nutzer erlassen — um sicherzustellen, dass eingeschränkte Daten nur berechtigten Parteien zugänglich sind.
- Datengenauigkeitspflichten: Wirtschaftsakteure müssen sicherstellen, dass DPP-Daten korrekt, vollständig und aktuell sind — in Einklang mit dem DSGVO-Grundsatz der Richtigkeit.
Diese Bestimmungen bedeuten, dass die ESPR unter Berücksichtigung der DSGVO-Kompatibilität konzipiert wurde. Die beiden Verordnungen ergänzen sich, sie widersprechen sich nicht.
Die 7 DSGVO-Grundsätze angewandt auf DPPs
Die sieben Grundprinzipien der DSGVO (Artikel 5) gelten alle, wenn personenbezogene Daten in das DPP-Ökosystem gelangen. So bildet jeder Grundsatz auf den DPP-Kontext ab:
| DSGVO-Grundsatz | Was er für DPPs bedeutet |
|---|---|
| 1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz | Identifizieren Sie eine Rechtsgrundlage für jede Verarbeitung personenbezogener Daten. Berechtigtes Interesse kann Kontaktdaten von Wirtschaftsakteuren abdecken; Verbraucher-Scan-Tracking erfordert typischerweise eine Einwilligung. |
| 2. Zweckbindung | Für die regulatorische Compliance erhobene DPP-Daten dürfen nicht ohne gesonderte Einwilligung für Marketingzwecke verwendet werden. Eine Marke darf Verbraucher-Scan-Daten nicht zur Erstellung von Kundenprofilen nutzen. |
| 3. Datenminimierung | Erheben Sie nur personenbezogene Daten, die unbedingt erforderlich sind. Das dreistufige Zugangssystem unterstützt dies, indem es einschränkt, wer welche Daten sieht. |
| 4. Richtigkeit | DPP-Daten müssen aktuell gehalten werden. Veraltete personenbezogene Daten (z. B. Kontakt einer ehemaligen verantwortlichen Person) müssen berichtigt oder gelöscht werden. |
| 5. Speicherbegrenzung | Personenbezogene Daten im DPP-Kontext erfordern möglicherweise längere Aufbewahrung (an die Produktlebensdauer gekoppelt), dies muss aber begründet und dokumentiert werden. |
| 6. Integrität und Vertraulichkeit | Zugriffskontrollen, Verschlüsselung und sicheres Hosting sind für alle personenbezogenen Daten im DPP-System erforderlich. |
| 7. Rechenschaftspflicht | Dokumentieren Sie Ihre DSGVO-Compliance-Maßnahmen. Führen Sie ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO), das alle personenbezogenen Datenflüsse in Ihrer DPP-Umsetzung abdeckt. |
Das dreistufige DPP-Zugangssystem (öffentlich / Lieferkette / regulatorisch) ist hervorragend mit dem DSGVO-Grundsatz der Datenminimierung vereinbar. Jede Stufe gibt nur die Daten frei, die für die jeweilige Nutzerrolle relevant sind — Verbraucher sehen keine Lieferantenkontaktdaten, und die Öffentlichkeit sieht keine proprietären Rezepturen. Diese integrierte Zugriffskontrolle vereinfacht die DSGVO-Compliance erheblich.
DPP-Zugangsstufen und Datenminimierung
Das dreistufige Zugangssystem der ESPR bildet direkt auf DSGVO-Anforderungen ab:
Öffentliche Stufe: Enthält ausschließlich nicht personenbezogene Produktdaten — Materialzusammensetzung, Umweltkennzahlen, Pflegehinweise, Zertifizierungen. Kein DSGVO-Problem für die angezeigten Daten selbst. Allerdings kann der Vorgang des QR-Code-Scannens personenbezogene Metadaten (IP-Adresse, Gerätedaten) erzeugen, die eine Rechtsgrundlage erfordern.
Lieferkettenstufe: Kann Lieferantenkontaktdaten enthalten, die personenbezogene Daten darstellen. Erfordert Auftragsverarbeitungsverträge (AVV) zwischen der Marke, der DPP-Plattform und Lieferkettenpartnern. Der Zugang ist auf verifizierte Parteien mit berechtigtem Bedarf beschränkt — Recycler, Reparateure, Distributoren. Für Praxisbeispiele, wie diese Zugangsstufen funktionieren, siehe unsere kommentierte DPP-Aufschlüsselung.
Regulatorische Stufe: Vollzugriff für Marktüberwachungsbehörden. Die Rechtsgrundlage ergibt sich direkt aus der ESPR — Behörden haben ausdrückliche gesetzliche Befugnis zum Zugriff auf alle DPP-Daten, einschließlich aller darin enthaltenen personenbezogenen Daten.
Diese Stufenstruktur bedeutet, dass Marken nicht allen DPP-Daten dasselbe Datenschutzniveau auferlegen müssen. Konzentrieren Sie die Datenschutzkontrollen auf die Datenkategorien, die tatsächlich personenbezogene Daten enthalten, und lassen Sie das Zugangsstufensystem den Rest regeln.
Wie stellen Sie DSGVO-Konformität in Ihrem DPP sicher?
Fünf konkrete Schritte, um sicherzustellen, dass Ihre DPP-Umsetzung die DSGVO-Anforderungen erfüllt:
1. Datenschutz-Folgenabschätzung (DSFA) durchführen
Kartieren Sie alle personenbezogenen Datenflüsse in Ihrem DPP-System. Identifizieren Sie jeden Punkt, an dem personenbezogene Daten erhoben, verarbeitet oder gespeichert werden — von den Angaben zur verantwortlichen Person bis hin zu Verbraucher-Scan-Analysen. Eine DSFA ist rechtlich erforderlich, wenn Ihre Verarbeitung eine systematische Überwachung oder eine umfangreiche Verarbeitung personenbezogener Daten umfasst, und in allen Fällen als bewährte Praxis empfohlen.
2. Einwilligungsmechanismen für Verbraucher-Tracking implementieren
Wenn Ihre DPP-Plattform Verbraucher-Scans verfolgt (die meisten tun dies für Analysezwecke), fügen Sie einen DSGVO-konformen Einwilligungsmechanismus hinzu. Dies ist identisch mit der Cookie-Einwilligungspflicht auf jeder Website. Wenn Ihre Plattform keine einzelnen Scans verfolgt — nur aggregierte Seitenaufrufe —, reduzieren sich Ihre Einwilligungspflichten erheblich.
3. Auftragsverarbeitungsverträge (AVV) abschließen
Schließen Sie AVV mit Ihrem DPP-Dienstleister und allen Lieferkettenpartnern, deren personenbezogene Daten in das System fließen. Der AVV muss spezifizieren: welche personenbezogenen Daten verarbeitet werden, Zweck und Dauer der Verarbeitung, Sicherheitspflichten des Auftragsverarbeiters und Verfahren für Betroffenenrechte.
4. Aufbewahrungsrichtlinien definieren
Die ESPR verlangt, dass DPP-Daten für die erwartete Lebensdauer des Produkts verfügbar bleiben — was Jahre oder Jahrzehnte sein kann. Richten Sie die Aufbewahrung von Produktdaten an den ESPR-Anforderungen aus, bauen Sie aber separate Überprüfungszeitpläne für personenbezogene Daten ein. Die Kontaktdaten einer verantwortlichen Person aus dem Jahr 2027 sollten nicht ungeprüft bis 2040 im System verbleiben.
5. Alles dokumentieren
Führen Sie ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO. Dieses umfasst: Kategorien verarbeiteter personenbezogener Daten, Verarbeitungszwecke, Empfängerkategorien, geplante Aufbewahrungsfristen und eine Beschreibung der Sicherheitsmaßnahmen. Diese Dokumentation unterstützt zugleich Ihre ESPR-Rechenschaftspflichten.
Die DPPs der meisten KMU werden nur sehr wenige personenbezogene Daten enthalten. Wenn Sie eine DPP-Plattform nutzen, die keine einzelnen Verbraucher-Scans verfolgt, und Ihre Produktdaten nur Firmennamen (nicht einzelne Personen) referenzieren, ist Ihr DSGVO-Risiko minimal. Richten Sie Ihren Compliance-Aufwand proportional aus — überentwickeln Sie keine Datenschutzkontrollen für Daten, die keine personenbezogenen Daten sind.
DPP-DSGVO-Compliance-Checkliste
Verwenden Sie diese Checkliste, um die DSGVO-Compliance Ihrer DPP-Umsetzung systematisch zu überprüfen. Jeder Punkt bezieht sich auf eine spezifische DSGVO-Pflicht. Für die meisten KMU werden die Mehrzahl dieser Punkte schnelle Bestätigungen sein — die Menge personenbezogener Daten in einem typischen DPP ist gering.
Datenkartierung
- Alle personenbezogenen Daten in Ihrem DPP-System identifizieren — Listen Sie jedes Datenfeld auf, das eine natürliche Person identifizieren könnte (Name/E-Mail der verantwortlichen Person, Einzelunternehmer-Angaben, Fabrik-Ansprechpartner)
- Verbraucher-Scan-Datenerfassung kartieren — Dokumentieren Sie, welche Metadaten Ihre DPP-Hosting-Plattform beim Scannen eines QR-Codes erfasst (IP-Adresse, Gerätetyp, Standort, Zeitstempel)
- Jedes Datenfeld nach ESPR-Zugangsstufe klassifizieren — Bestätigen Sie, dass personenbezogene Daten auf die entsprechende Stufe (Lieferkette oder regulatorisch) beschränkt sind und nicht ohne Einwilligung in der öffentlichen Stufe offengelegt werden
Rechtsgrundlage
- Rechtsgrundlage für jede Kategorie personenbezogener Daten festlegen — Berechtigtes Interesse kann Kontaktdaten von Wirtschaftsakteuren abdecken; Verbraucher-Scan-Tracking erfordert typischerweise eine Einwilligung
- Einwilligungsmechanismus für Verbraucher-Tracking implementieren — Wenn Ihre Plattform einzelne Scan-Daten protokolliert, fügen Sie einen DSGVO-konformen Einwilligungsbanner hinzu (identisch mit der Website-Cookie-Einwilligungspflicht)
- Einzelunternehmer-Exposition prüfen — Wenn Sie Einzelunternehmer sind, stellen Name und Adresse im DPP personenbezogene Daten dar — bestätigen Sie, dass eine Rechtsgrundlage für diese Veröffentlichung vorliegt
Vereinbarungen und Dokumentation
- Auftragsverarbeitungsverträge (AVV) mit Ihrem DPP-Dienstleister abschließen — Inhalt: welche personenbezogenen Daten verarbeitet werden, Zweck, Dauer, Sicherheitspflichten des Auftragsverarbeiters, Verfahren für Betroffenenrechte
- AVV mit Lieferkettenpartnern abschließen, deren personenbezogene Daten in das System fließen — Fabrik-Ansprechpartner, Qualitätsprüfer, Zertifizierungsauditoren, die in DPP-Daten genannt werden
- Verzeichnis von Verarbeitungstätigkeiten (VVT) führen gemäß Art. 30 DSGVO — Kategorien personenbezogener Daten, Zwecke, Empfänger, Aufbewahrungsfristen, Sicherheitsmaßnahmen
Betroffenenrechte
- Verfahren für Auskunftsersuchen Betroffener einrichten — Namentlich genannte Personen in Ihrem DPP (verantwortliche Personen, Lieferantenkontakte) haben das Recht auf Auskunft, Berichtigung und Löschung ihrer personenbezogenen Daten
- Aufbewahrungsfristen für personenbezogene Daten definieren — Getrennt von der Produktdatenaufbewahrung (die den ESPR-Produktlebensdauer-Anforderungen folgt). Personenbezogene Daten jährlich überprüfen; bei Rollenwechsel aktualisieren.
Sicherheit
- Sicherheitsmaßnahmen der DPP-Plattform bestätigen — Verschlüsselung, Zugriffskontrollen, EU-Datenresidenz (falls zutreffend)
- ESPR Artikel 10-Konformität verifizieren — Personenbezogene Kundendaten dürfen nicht ohne ausdrückliche Einwilligung im DPP gespeichert werden. Bestätigen Sie, dass Ihr System dies durchsetzt.
Für Marken, die bereits für ihre Website und Kundendaten DSGVO-konform sind, sind die meisten dieser Punkte Erweiterungen bestehender Prozesse, nicht neue Fähigkeiten. Der inkrementelle DSGVO-Aufwand für den DPP ist proportional zur Menge personenbezogener Daten in Ihrem System — die für die meisten KMU minimal ist.
Was bedeutet das konkret für Ihre Marke?
Die Überschneidung zwischen DPP- und DSGVO-Pflichten ist enger, als es zunächst scheint. Die große Mehrheit der DPP-Daten — Materialzusammensetzung, Umweltkennzahlen, Zertifizierungen, Recyclinganweisungen — sind Produktdaten, keine personenbezogenen Daten, und fallen vollständig außerhalb des DSGVO-Anwendungsbereichs.
Wo die DSGVO greift — Verbraucher-Scan-Analysen, Kontaktdaten der verantwortlichen Person, namentlich genannte Lieferkettenpersonen —, sind die Pflichten überschaubar und klar definiert. Marken, die für ihre Websites und Kundendaten bereits DSGVO-konform sind, verfügen über die Prozesse und die Infrastruktur, um DPP-bezogene personenbezogene Daten zu handhaben, ohne etwas Neues aufbauen zu müssen.
Der Schlüssel liegt darin, Produkttransparenz nicht mit personenbezogenen Daten gleichzusetzen. Ein DPP, der Verbrauchern mitteilt, dass ein T-Shirt zu 95 % aus Bio-Baumwolle besteht und in Portugal hergestellt wurde, ist kein Datenschutzproblem. Eine DPP-Plattform, die stillschweigend die IP-Adresse und den Standort jedes Verbrauchers beim Scannen eines QR-Codes protokolliert, schon — und mit DSGVO-Bußgeldern von durchschnittlich 1,5 Millionen EUR je Durchsetzungsmaßnahme in der EU (GDPR Enforcement Tracker, 2025) sind die Kosten eines Fehlers real.
Kennen Sie den Unterschied, und gestalten Sie Ihre DPP-Umsetzung entsprechend. Wenn Kosten oder operative Komplexität ein Anliegen sind, behandelt unser Leitfaden zu DPP-Herausforderungen die 7 größten Hindernisse für KMU — einschließlich Datenqualität. Nutzen Sie unseren DPP Readiness Checker, um zu bewerten, wo Ihre Marke sowohl bei Produktdaten als auch bei der Compliance-Bereitschaft steht.
Häufig gestellte Fragen
Was sind die 7 DSGVO-Grundsätze?
Die 7 DSGVO-Grundsätze sind: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz; Zweckbindung; Datenminimierung; Richtigkeit; Speicherbegrenzung; Integrität und Vertraulichkeit; und Rechenschaftspflicht. Im DPP-Kontext gelten diese primär für Verbraucher-Scan-Daten (IP-Adressen, Geräteinformationen), Kontaktdaten von Wirtschaftsakteuren (wenn sie eine natürliche Person identifizieren) und namentlich genannte Lieferkettenpersonen im System. Die meisten DPP-Produktdaten — Materialzusammensetzung, Umweltkennzahlen, Zertifizierungen — sind keine personenbezogenen Daten und fallen nicht unter diese Grundsätze.
Werden beim Scannen eines DPP-QR-Codes personenbezogene Daten erfasst?
Das kann der Fall sein, abhängig von der Implementierung der Hosting-Plattform. Wenn ein Verbraucher einen QR-Code scannt, kann die Hosting-Plattform IP-Adresse, Gerätetyp, Betriebssystem und ungefähren Standort erfassen — alles personenbezogene Daten gemäß DSGVO nach dem Breyer-Urteil des EuGH (C-582/14). Wenn die Plattform die DPP-Seite nur ausliefert, ohne einzelne Besucherdaten zu protokollieren, werden keine personenbezogenen Daten erhoben. Prüfen Sie die Datenschutzdokumentation Ihres DPP-Anbieters, um zu verstehen, was erfasst wird.
Können personenbezogene Daten meiner Lieferanten im DPP landen?
Ja, wenn Ihr DPP-System namentlich genannte Personen aus Lieferantenorganisationen enthält — Fabrik-Ansprechpartner, Qualitätsprüfer, Zertifizierungsauditoren. Wenn es nur Firmennamen und Betriebsstättenadressen referenziert, ohne bestimmte Personen zu identifizieren, sind keine personenbezogenen Daten betroffen. Wo individuelle Namen in das System einfließen, benötigen Sie Auftragsverarbeitungsverträge mit diesen Lieferkettenpartnern, und die Daten sollten auf die Lieferketten- oder Regulierungszugangsstufe beschränkt sein — niemals in der öffentlichen Stufe sichtbar.
Wie lange müssen DPP-Daten nach der DSGVO aufbewahrt werden?
Die ESPR verlangt, dass DPP-Daten für die erwartete Lebensdauer des Produkts verfügbar bleiben, was Jahre oder Jahrzehnte umfassen kann. Dies kann Spannungen mit dem DSGVO-Grundsatz der Speicherbegrenzung erzeugen. Die Lösung ist die Trennung von Produktdaten (Aufbewahrung für den gesamten Produktlebenszyklus gemäß ESPR) und personenbezogenen Daten (regelmäßige Überprüfung und Minimierung). Die Kontaktdaten einer verantwortlichen Person sollten bei Rollenwechsel aktualisiert werden; Verbraucher-Scan-Daten sollten eine definierte Aufbewahrungsfrist haben, typischerweise nicht länger als für Analysezwecke erforderlich.
Brauche ich eine DSFA für meinen DPP?
Wenn Ihr DPP-System personenbezogene Daten in großem Umfang verarbeitet oder eine systematische Überwachung umfasst — etwa das Tracking von Verbraucher-Scans über mehrere Produkte oder Regionen —, ist eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO rechtlich erforderlich. Für eine kleine Marke mit einem unkomplizierten DPP, der nur Produktdaten und Informationen auf Unternehmensebene enthält, ist eine DSFA möglicherweise nicht rechtlich erforderlich, aber als bewährte Praxis dennoch empfohlen. Sie zwingt Sie, Datenflüsse zu kartieren und Risiken zu identifizieren, bevor sie zu Problemen werden.
Was sind 5 Beispiele für personenbezogene Daten in einem DPP?
Fünf Beispiele für personenbezogene Daten im DPP-Kontext sind: (1) Name und E-Mail-Adresse der verantwortlichen Person als Produktkontakt, (2) die IP-Adresse eines Verbrauchers, die beim Scannen des QR-Codes erfasst wird, (3) der Name eines Qualitätsprüfers in der Fabrik, der in der Lieferkettendokumentation verzeichnet ist, (4) die Privatadresse eines Einzelunternehmers als Herstelleradresse und (5) Geolokalisierungsdaten des Geräts aus Verbraucher-Scan-Analysen. Von diesen werden nur die erste und vierte im DPP selbst gespeichert — die übrigen werden von der Hosting-Plattform bei Interaktionen generiert.
