Product Information Management vs. DSGVO
Was haben die europäische Datenschutz-Grundverordnung (DSGVO) oder das Bundes-Datenschutzgesetz (BDSG) mit dem Thema PIM zu tun, wenn doch nur Produktinformationen verarbeitet werden und keine personenbezogenen Daten? Auf den ersten Blick scheint die Antwort völlig klar zu sein: PIM, BDSG und DSGVO haben keine Berührungspunkte. Doch wenn man etwas genauer hinschaut und den Blickwinkel ein wenig erweitert, dann stellt man fest, dass ein PIM-System nicht losgelöst von anderen Systemen gesehen werden kann, sondern immer nur als Ergänzung oder Teil eines Gesamtsystems. Und genau an diesem Punkt wird es spannend! Doch erst einmal der Reihe nach.
Am Anfang steht der Standard
Stellen wir uns als Erstes den ganz typischen Anwendungsfall für ein PIM-System vor. Ein Unternehmen speichert und bearbeitet im PIM seine ganzen Produktinformationen und nutzt diese Informationen beispielsweise für die Erstellung eines Katalogs. In diesem Fall handelt es sich wirklich nur um das Handling von Sachinformationen. Das hat nichts mit den Bestimmungen zum Umgang mit personenbezogenen Daten zu tun. Hier muss keine Rücksicht auf die DSGVO oder das BDSG genommen werden, sehr wohl aber vielleicht auf andere Bestimmungen, wie z. B. auf die EU- Kennzeichnungsvorschriften. So weit, so gut!
PIM oder nicht PIM? Das ist hier die Frage!
Die Bezeichnung PIM ist kein verbindlicher oder gar genormter Begriff. Von daher ist es angebracht, alle Systeme, welche in irgendeiner Art und Weise mit Produktinformationsmanagement zu tun haben, unter dem Sammelbegriff PIM zu führen.
Interessant wird es nämlich, wenn das eingesetzte PIM eine sog. „Content- und Customer-Experience-Management-Lösung“ ist. Dann nämlich werden definitiv personenbezogene Daten verarbeitet, um kontextbezogene und personalisierte digitale Erlebnisse überhaupt realisieren zu können. Hierbei geht es um Daten, wie z. B. IP-Adressen, geografische User-Daten, Daten im Zusammenhang mit Online-Bestellungen, etc. Solche PIM-Lösungen müssen zwingend bestimmte Funktionen entweder selbst oder als externe Zusatzkomponenten bereitstellen. Dazu gehören unter anderem die Möglichkeit zur Beschränkung auf den Datenzugriff, eine Suche und der Export von Daten in Bezug auf eine Person und noch vieles mehr.
Das integrierte PIM
Handelt es sich bei der eingesetzten Lösung um ein typisches PIM-System, welches aber integriert eingesetzt wird und mit welchem vorliegende Produktdaten mit personenbezogenen Daten aus verbundenen Systemen verarbeitet werden, ist dringend Vorsicht geboten! Auch hier werden personenbezogene Daten, ähnlich wie bei Content- und Customer-Experience-Management-Lösungen, verarbeitet und somit sind zwingend die Anforderungen der DSGVO und des BDSG einzuhalten und zu erfüllen!
Technische Unterstützung?
Professionelle PIM-Systeme stellen hierfür bereits umfassende Hilfsmittel für die Identifikation von Datenrisiken sowie für den Schutz und die Kontrolle der Daten zur Verfügung. Auf diese Weise sind Unternehmen in der Lage, beim Einsatz von datenzentrierten Anwendungen ihre Datenschutz- und Datensicherheitsinitiativen voranzutreiben und Richtlinien einzuhalten.
In jedem Fall gilt es genau zu prüfen, woher welche Daten stammen und in welchem System sie verarbeitet werden. Doch nicht immer ist es offensichtlich, ob Datenschutzvorschriften zu berücksichtigen sind oder nicht. Im Zweifel hilft immer der Rat eines erfahrenen System-Integrators oder eines Datenschutzbeauftragten, welcher in der Themenwelt PIM-eCommerce-BI zuhause ist.
Autor:
Thomas Eingärtner sammelte zum Thema Datenschutz bereits Erfahrungen in zahlreichen Projekten während seiner 15-jährigen Tätigkeit bei verschiedenen internationalen Service-Providern und Telekommunikations-Netzbetreibern und anschließend mehr als 10 Jahre lang bei unterschiedlichen IT-Systemhäusern und Software-Herstellern in den Bereichen Prozess Management, Prozess Automation, Business Itelligence, Product Information Management, Marketing Automation und eCommerce. Heute arbeitet Thomas Eingärtner als Berater für Datenschutz und als externer Datenschutzbeauftragter für kleine und mittelständische Unternehmen.