CPMS Auswahl Checkliste 2026: 22 Fragen vor der Vendor-Entscheidung

Am 25. März 2026 hat das Bundeskabinett einen Gesetzentwurf zur Änderung des Preisangabenrechts beschlossen, der den Bußgeldrahmen für Verstöße gegen die AFIR-Preisangabepflichten an öffentlich zugänglichen Ladepunkten von 25.000 Euro aufbis zu 100.000 Euro pro Verstoß anhebt. Die Bundesnetzagentur erhält damit erstmals einen wirksamen Sanktionsrahmen. Parallel wird ab dem 14. April 2026 die DATEX-II-Datenmeldung an die Mobilithek (Artikel 20 AFIR) verbindlich, mit Aktualisierungsfristen von 24 Stunden statisch und einer Minute dynamisch.

Beides ist im Kern keine Aufgabe der Hardware, sondern des Charge Point Management Systems (CPMS). Wer sein CPMS heute kauft, kauft die Compliance-Fähigkeit für mindestens fünf Jahre mit ein. Falsche Architekturentscheidungen — Backend-Re-Signierung von OCMF-Datensätzen, fehlender DATEX-II-Export, unsaubere Trennung zwischen kWh-Primär- und Belegungsentgelt — setzen den Operator direkt der neuen Sanktion aus. CPMS-Wechsel sind teuer: dokumentierte Migrationsfaktoren von 3- bis 5-fachenKosten gegenüber dem ursprünglichen Kaufpreis bei proprietären Systemen, plus Datenmigration, Vertragsneuverhandlung, OCPP- Re-Pairing der gesamten Hardware-Flotte.

Diese Checkliste fasst zusammen, welche 22 Fragen ein CPO einem CPMS-Anbieter vor der Vertragsunterschrift stellen muss, um die AFIR- und Eichrechtsrisiken nicht zu importieren. Sie ist herstellerneutral und basiert auf den Originaltexten von AFIR, MessEG, OCPP-2.1- und OCMF-Spezifikationen sowie den öffentlich zugänglichen Vendor-Whitepapers von AMPECO, Driivz, has.to.be, Monta, Virta und GreenFlux.

Sieben Funktionsbereiche sind im Jahr 2026 nicht verhandelbar. Jeder Bereich erzwingt eine konkrete CPMS-Fähigkeit; jede Fähigkeit lässt sich vor Vertragsunterschrift verifizieren.

Datenmeldung an die Mobilithek (Artikel 20 AFIR): DATEX-II v01-00-00 nativ, ohne Drittadapter, mit zugesicherten Update-Frequenzen 24 Stunden statisch und 60 Sekunden dynamisch. Klassisches Polling reicht nicht; eine event-getriebene Architektur ist notwendig.

BNetzA-Ladesäulenregister-Synchronisation: Die Mobilithek-Meldung ersetzt nicht die Anzeige nach LSV. Beide Kanäle müssen aus einer konsistenten Datenquelle versorgt werden, mit Diff-Logging zwischen den Registern. Operator müssen Inkonsistenzen prüfbar machen können.

OCMF-Signaturpfad: Das CPMS muss signierte Messdatensätze aus dem Zähler unverändert weiterleiten und nicht im Backend re-signieren. Die OCMF-Spezifikation der S.A.F.E. ist eindeutig: Inhalte des Payload-Datensatzes dürfen zwischen Signierung und Verifikation nicht modifiziert werden. Wer re-signiert, bricht die Eichrechtskonformität. Frage an den Anbieter: „Wird der OCMF-Datensatz vom Backend unverändert weitergeleitet oder neu erzeugt?“

Tarifengine mit kWh-Primärzwang: kWh-Preis als Pflichtfeld; zeitbasierte Komponenten nur als ergänzendes Belegungsentgelt; Plausibilitätsprüfung im Editor; getrennte Anzeige der Bestandteile in der Vor-Ort-Display-Logik (Artikel 7 AFIR). Eine Engine, die zeitprimäre Tarife als Standardkonfiguration zulässt, ist 2026 ein Compliance-Risiko.

Ad-hoc-Zahlungslogik: Ohne Vorregistrierung, ohne App-Pflicht, ohne Roaming-Vertrag (Artikel 5 Absatz 1 AFIR). Integration mit physischem Kartenterminal und kontaktlosem NFC-Reader an DC-Stationen über 50 kW.

Audit-Trail und Evidenzpaket: Versionierte Tarifänderungen mit Zeitstempel, exportierbare historische Status- und Sitzungsdaten in einer Form, die in einer BNetzA-Inspektion oder einem Verbraucherbeschwerdeverfahren nachvollziehbar ist.

Subventionsreporting: Datenexport oder Modul für KfW-877, BMDV-Schnellladegesetz und laufende Förderprogramme inklusive Nachweis der Förderbedingungen.

OCPP 2.1 wurde am 23. Januar 2025 von der Open Charge Alliance freigegeben. Die Version baut auf OCPP 2.0.1 auf und erweitert sie um Vehicle-to-Grid und bidirektionale Kommunikation gemäß ISO 15118-20, dezentralen Energieressourcen-Steuerung (DER), Prepaid- Karten, Ad-hoc-Kartenterminal-Zahlung, sicheren dynamischen QR-Code und Batteriewechsel-Unterstützung. Verbatim aus der OCA- Veröffentlichung: „OCPP 2.1 extends OCPP 2.0.1… all application logic developed for OCPP 2.0.1 will continue to work in OCPP 2.1.“

OCPP 1.6 ist mit OCPP 2.1 nicht kompatibel. ISO 15118-2 Plug-and-Charge benötigt mindestens OCPP 2.0.1; Vehicle-to-Grid benötigt OCPP 2.1 mit ISO 15118-20. Wer heute eine V2G-Implementierungsstrategie plant — der EnWG-V2G-Rahmen wurde am 13. November 2025 vom Bundestag beschlossen, das Aggregator-Lizenzregime nach § 14c EnWG ist seitdem aktiv — braucht zwingend OCPP-2.1-Kompatibilität auf der CPMS-Seite.

Verfügbarkeit nach Anbieter (Stand April 2026, basierend auf publizierten Whitepapers und OCA-Zertifizierungen): AMPECO, Driivz, GreenFlux führen OCPP 2.0.1 produktiv. AMPECO ist OCPP 1.6 Full & Security Certified. Monta, Virta, Spirii, Vaylens, Reev und ChargeIT führen OCPP 1.6 sicher; OCPP-2.0.1- und 2.1-Fortschritt variiert und ist nicht zentral publiziert. Frage an den Anbieter: „Welche OCPP-Version ist heute zertifiziert? Welche Roadmap für 2.0.1 und 2.1?“ Antworten ohne konkrete Zertifizierungsnachweise sind ein Warnsignal.

OCPI 2.2.1 ist der etablierte Standard für Roaming-Hubs. Gireve führt OCPI 2.2.1 produktiv, Hubject erreichte General Availability Ende 2025. GreenFlux unterstützt alle drei zentralen Hubs (e-clearing.net, Gireve, Hubject) nativ. Das ist gut. Das Problem ist subtiler: Das OCPP-Eichrecht-Whitepaper der Open Charge Alliance scope-t die signierte-Messdaten-Übertragung ausschließlich auf den Pfad zwischen Ladepunkt und CPMS. Der Charge-Detail-Record-Austausch über OCPI ist explizit außerhalb des Scopes der OCMF-Signaturpflicht.

Praktische Konsequenz für Operatoren mit Roaming-Geschäft: Die über Hubject oder Gireve eingehenden CDRs der eigenen Säulen sind eichrechtlich nicht durchgängig signiert; sie sind Faktura-Daten, aber kein Beleg-Äquivalent. Wer Roaming-Sitzungen bei einer Reklamation rekonstruieren muss, braucht den Original-OCMF- Datensatz aus der eigenen CPMS-Datenbank. Frage an den Anbieter:„Wie lange werden signierte OCMF-Datensätze aufbewahrt, und in welchem Format kann ich sie pro Sitzung exportieren?“

Vendor-Whitepaper sind in einem Punkt einig: Bei proprietären Systemen fallen 3- bis 5-fache Migrationskosten gegenüber dem ursprünglichen Lizenzwert an. Die Hauptkostenposten: jede Säule muss neu konfiguriert werden, Nutzer- und Sitzungs- und Abrechnungsdaten müssen migriert werden, Roaming-Verträge werden neu geschlossen, Förderzusagen werden gegebenenfalls auf den neuen Anbieter übertragen oder verfallen. Jede CPMS-Plattform hat eine eigene Datenstruktur; ein Datenexport in ein neutrales Schema ist selten dokumentiert. Hier liegen die teuersten versteckten Kosten.

Das DSGVO-Risiko bei Migrationen ist eigenständig: Sitzungsdaten enthalten Standortinformationen, Zeitstempel und Verbrauchsprofile. Die 72-Stunden-Meldepflicht bei Datenschutzverstößen erfasst auch versehentliche Offenlegung während einer Migration. Operator sollten vom alten und neuen Anbieter dokumentierte Verarbeitungsverträge für den Migrationszeitraum verlangen.

Vendor-Resilienz ist die zweite Lock-in-Dimension. Konsolidierungs- und Übernahmeereignisse im Markt sind Realität: Monta übernahm über den Vourity-Deal die ABB-Nordic-CPMS-Kundenverträge; AMPECO schloss im November 2024 eine 26-Millionen-USD-Series-B ab und ist damit gut finanziert; Stadtwerke-naher Anbieter wie chargecloud (gegründet 2016, Sitz in Köln) sind seit Gründung mit dem Stadtwerke-Köln-Konzern verbunden. Frage an den Anbieter: „Welche Source-Code-Escrow-Vereinbarungen oder Open-Source-Migrationspfade existieren, falls Sie pivotieren oder insolvent werden?“

Diese Liste ist als Anhang zu jeder RFP einsetzbar. Antworten in freier Form genügen nicht; verlangen Sie pro Frage einen Verweis auf die technische Dokumentation oder das Whitepaper, in dem die Fähigkeit verbindlich beschrieben ist.

Compliance (Pflicht ab 2026)

• 1. DATEX-II-v01-00-00-Export an die Mobilithek nativ — ohne Drittadapter? Vertraglich zugesicherte Update-SLA?
• 2. Statusupdates innerhalb von 60 Sekunden, Stammdaten innerhalb von 24 Stunden — SLA-fixiert?
• 3. Preistransparenz-Engine für Artikel 5 und 7 AFIR mit kWh-Primärzwang und getrennter Komponentendarstellung am Display?
• 4. Ad-hoc-Zahlung mit physischer Kartenterminal-Integration ohne App-Zwang?
• 5. OCMF-Signatur-Pass-through: Backend leitet signierte Messdaten unverändert weiter (kein Re-Signing)?
• 6. Audit-Trail mit versionierten Tarifänderungen und exportierbarem Evidenzpaket für BNetzA-Inspektionen?
• 7. BNetzA-Ladesäulenregister-Synchronisation aus derselben Datenquelle wie die Mobilithek-Meldung?
• 8. Subventionsreporting für KfW-877 und BMDV-Schnellladegesetz als Modul oder dokumentierter Datenexport?

Protokolle

• 9. OCPP-Versionsmatrix: 1.6 (Bestand), 2.0.1 (ISO 15118-2 Plug-and-Charge), 2.1 (V2G) — mit Zertifizierungsnachweis?
• 10. ISO 15118-2 heute, Roadmap für ISO 15118-20 mit Zeitachse?
• 11. OCPI 2.2.1 nativ — Hubject, Gireve, e-clearing.net Anbindung verifiziert?
• 12. OCMF-Signaturdatensätze: Aufbewahrungszeitraum und Exportformat pro Sitzung?

Architektur und Lock-in

• 13. Mehrmandantenfähigkeit für Stadtwerke-Verbünde oder Konzernstrukturen?
• 14. Datenresidenz EU mit dokumentierter DSGVO-Verarbeitungskette?
• 15. Source-Code-Escrow oder Open-Source-Migrationspfad bei Vendor-Insolvenz oder Pivot?
• 16. Datenexport bei Vertragsende: SQL-Dump, CSV, dokumentiertes Schema für Migration in eine Nachfolgeplattform?
• 17. Bulk-Import von Hardware-Fingerprints für den OCPP-Re-Pairing-Aufwand bei Migration?

Total Cost of Ownership

• 18. Preisstruktur: Per-Charger-Flat, Per-Transaktion-Fee oder Hybrid? Welche versteckten Komponenten?
• 19. DATEX-II-Adapter und Mobilithek-Anbindung im Grundpreis inklusive oder Add-on?
• 20. Wer haftet bei OCMF-Signaturbruch im Roaming-CDR-Pfad (OCA-Whitepaper-Out-of-Scope)?

Vendor-Resilienz

• 21. Finanzielle Stabilität: Funding-Runway, Profitabilität, letzte Finanzierungsrunde dokumentiert?
• 22. Roadmap-Transparenz für OCPP 2.1, ISO 15118-20, CRA-Compliance ab 11. Dezember 2027?

ChargeSuite arbeitet anbieterneutral und sitzt als Compliance- Schicht über Ihrem bestehenden CPMS — oder hilft bei der strukturierten Auswahl eines neuen. Wir liefern für eine aktuelle oder geplante CPMS-Entscheidung einen PDF-Prüfbericht, der die 22 Fragen oben gegen die Vendor-Dokumentation matcht. Ergebnis: ein Risiko-Matrix-Bericht, den Sie direkt mit dem Anbieter durchgehen können, bevor der Vertrag unterschrieben wird.

Unser Compliance Brain prüft 188 Einzelanforderungen aus sieben Regelwerken (AFIR, MessEG/MessEV, LSV, EnWG, BDEW, CRA, DSGVO). Sie sehen pro Anforderung, ob Ihr aktuelles oder geplantes CPMS sie erfüllt — mit konkretem Verweis auf die Vendor- Dokumentation. Keine Marketingversprechen, sondern Prüfnachweis.

Jetzt kostenlosen CPMS-Prüfbericht anfordern → oder Preise und Pakete vergleichen.