Rollen und Berechtigungen mit klaren Beispielen erklĂ€rt, damit Sie entscheiden können, was Inhaber, Manager, Mitarbeiter und Kunden sehen dĂŒrfen und Datenlecks verhindern.
Ein âDatenleckâ im Arbeitsalltag wirkt oft unspektakulĂ€r. Ein SupportâAgent öffnet ein Kundenprofil und sieht die komplette Zahlungshistorie. Ein Kunde meldet sich an und findet interne Notizen wie â20% Rabatt anbieten, wenn sie sich beschwerenâ oder die tatsĂ€chlichen Kosten und Margen auf einer Rechnung. Es wurde kein Passwort gestohlen â die App hat einfach das Falsche angezeigt.
Die meisten Lecks passieren aus Versehen. Berechtigungen werden spĂ€t ergĂ€nzt, ein neuer Bildschirm wird schnell ausgeliefert oder jemand kopiert eine alte Rolle, die fĂŒr Tests âgut genugâ war. Dann wird mit einer kleinen Ănderung, etwa einem neuen Feld in einer Tabelle, stillschweigend etwas fĂŒr alle sichtbar.
Deshalb sollten Rollen und Berechtigungen von Anfang an einen zentralen Platz in der AppâPlanung haben, nicht nur eine Nachgedanke. Die meisten Kleinunternehmen landen bei den gleichen vier Rollentypen: Inhaber, Manager, Mitarbeiter und Kunde.
Das Ziel ist einfach: Jede Person soll nur das sehen, was sie fĂŒr ihre Arbeit braucht â und nichts anderes. Das gilt fĂŒr die Daten im Hintergrund, nicht nur fĂŒr die erwarteten Bildschirme.
Wenn Sie schnell auf einer NoâCodeâPlattform wie AppMaster entwickeln, ist das noch wichtiger. Geschwindigkeit ist gut, erhöht aber das Risiko, private Notizen, Preisregeln oder fremde Kundendaten versehentlich offenzulegen, wenn Zugriff nicht von Anfang an mitgedacht wird.
Rollen und Berechtigungen sind die Regeln, die entscheiden, wer in einer App was darf.
Ein Zugriffslevel ist das praktische Ergebnis dieser Regeln. Zwei Personen können beide âMitarbeiterâ sein, aber die eine hat ein höheres Zugriffslevel, weil sie RĂŒckerstattungen genehmigen kann, die andere nicht.
Eine zuverlĂ€ssige Vorgehensweise ist: Mit minimalem Zugriff starten und nur hinzufĂŒgen, was die Person wirklich fĂŒr die tĂ€gliche Arbeit braucht. Wenn jemand nie Rechnungen bearbeitet, geben Sie ihm nicht âzur Sicherheitâ Bearbeitungsrechte. Es ist leichter, spĂ€ter Zugriff zu gewĂ€hren als ein Datenleck rĂŒckgĂ€ngig zu machen.
Die meisten Berechtigungen lassen sich auf wenige Aktionen reduzieren: ansehen, erstellen, bearbeiten, löschen und einige risikoreichere Aktionen wie exportieren oder genehmigen.
Scope beantwortet eine andere Frage: âAuf welche DatensĂ€tze darf die Aktion angewendet werden?â Jemand darf vielleicht Rechnungen ansehen, aber nur die eigenen, nicht alle.
Typische ScopeâMuster sind:
Ein Vertriebsmitarbeiter kann eigene Angebote erstellen und ansehen, aber nicht die komplette Kundendatenbank exportieren. Ein Vertriebsleiter kann die Angebote des gesamten Teams sehen und Rabatte genehmigen. Der Inhaber sieht alles und kann Berichte fĂŒr die Buchhaltung exportieren.
Die meisten Apps haben am Ende dieselben vier Personengruppen. Die Details variieren, das Muster bleibt. Klare Rollen und Berechtigungen verhindern spĂ€ter viele unangenehme "Warum kann die das sehen?"âMomente.
Inhaber benötigen in der Regel vollstĂ€ndige Sichtbarkeit ĂŒber das GeschĂ€ft. Dazu gehören oft Abrechnung, Sicherheitseinstellungen (z. B. Passwortregeln und MFA) und ein AuditâVerlauf, damit sie nachvollziehen können, wer wann was geĂ€ndert hat.
Manager mĂŒssen ein Team fĂŒhren, ohne komplette Administratorenrechte zu haben. Sie brauchen Ăbersichten (alles in ihrer Abteilung sehen), Genehmigungen (Rabatte, RĂŒckerstattungen, UrlaubsantrĂ€ge, InhaltsĂ€nderungen) und Berichte. Eventuell benötigen sie eingeschrĂ€nkte AdminâFunktionen wie Mitarbeiter einladen oder ein Passwort zurĂŒcksetzen, aber keinen Zugang zu Abrechnung oder globalen Sicherheitseinstellungen.
Mitarbeiter sollen schnell ihre tĂ€gliche Arbeit erledigen können, mit möglichst geringem Risiko. Ein sicherer Standard ist ânur das, was mir zugewiesen ist.â Ein SupportâAgent sieht nur seine Tickets, ein Disponent nur die Touren des Tages, ein VerkĂ€ufer nur seine Leads. Exporte und BulkâDownloads sollten standardmĂ€Ăig aus sein und nur bei echtem Bedarf aktiviert werden.
Kunden sollten nur ihre eigenen Daten sehen, auch wenn mehrere Personen ein Konto teilen. Ermöglichen Sie begrenzte Aktionen (Anfragen erstellen, Rechnungen bezahlen, Profil aktualisieren), aber halten Sie interne Notizen, Mitarbeiterkommentare und interne Stati verborgen.
Eine DefaultâKonfiguration, die in vielen Unternehmen funktioniert:
Viele Teams definieren Rollen nach Bildschirmen: âMitarbeiter können die Bestellseite öffnen, Kunden nicht.â Das hilft, ĂŒbersieht aber das eigentliche Risiko. Dieselben Daten erscheinen in Suche, Kommentaren, Benachrichtigungen, Exporten und AnhĂ€ngen.
Listen Sie Ihre Datenbereiche auf, nicht die MenĂŒs. Hochrelevante Bereiche sind meist Kundenkontakte, Bestellungen und Lieferstatus, Rechnungen und Zahlungsstatus, GehĂ€lter und HRâNotizen sowie interne Notizen oder Analysen.
Bestimmen Sie dann, was jede Rolle mit jedem Datentyp darf: ansehen, erstellen, bearbeiten, löschen, genehmigen und teilen. Hier kommen feldbezogene Regeln ins Spiel. Dasselbe Objekt braucht oft eine öffentliche und eine interne Ansicht.
Beispiel: Eine Bestellung kann Kundenname, Lieferadresse, Preis, interne Marge und eine interne Notiz wie âKunde reklamiert hĂ€ufig, Rabatt anbietenâ enthalten. Ein Kunde sollte Adresse und Status sehen, aber niemals Marge oder interne Notiz. Ein Manager sieht alle Felder plus die Möglichkeit, Rabatte zu genehmigen. Mitarbeiter sehen nur die Felder, die sie zur AusfĂŒhrung benötigen, aber keine Finanzdetails.
Dateien und AnhĂ€nge verdienen besondere Vorsicht. VertrĂ€ge, Ausweise, Belege und Screenshots enthalten oft sensiblere Informationen als Formularfelder. Behandeln Sie sie als eigene Berechtigung: wer kann hochladen, wer herunterladen und wer kann Dateivorschauen sehen. Entscheiden Sie auĂerdem, ob AnhĂ€nge die Rechte des ĂŒbergeordneten Datensatzes erben (z. B. eine Rechnung) oder eigene Regeln brauchen.
Behandeln Sie Exporte und Massenaktionen nicht als automatisch inklusive, nur weil jemand eine Liste sehen kann. Machen Sie sie explizit: Export nach CSV/PDF, BatchâDownload von AnhĂ€ngen, MassenstatusĂ€nderungen (genehmigen, stornieren, erstatten), MassenâBenachrichtigungen (EâMail/SMS/Telegram) und AdminâAktionen wie Umverteilung von DatensĂ€tzen.
Stellen Sie sich ein kleines Dienstleistungsunternehmen vor: Der Inhaber verkauft Projekte, Manager ĂŒberwachen Jobs, Mitarbeiter fĂŒhren die Arbeit aus und Kunden genehmigen Angebote und bezahlen Rechnungen. Der schnellste Weg, peinliche Fehler zu vermeiden, ist, Rollen und Berechtigungen zu vereinbaren, bevor sich jemand einloggt.
Beginnen Sie bei Gelddetails. Preise dĂŒrfen fĂŒr mehr Personen sichtbar sein als die Marge. Eine ĂŒbliche Regel: Mitarbeiter sehen, was berechnet werden muss, aber nicht, warum dieser Preis gewĂ€hlt wurde. Ein Techniker braucht vielleicht Positionen zur ErklĂ€rung einer Rechnung, aber nicht die interne Marge, Lieferantenkosten oder einen speziellen Rabatt, den Sie zur Auftragsgewinnung gewĂ€hrt haben.
Kundendaten sind ein weiterer Hotspot. Viele Teams möchten, dass mehrere Personen Kontaktdaten ansehen können (um die richtige Person anzurufen), aber nur wenige dĂŒrfen sie bearbeiten. Ansonsten kommt es zu versehentlichen Ăberschreibungen wie der RechnungsâEâMail, die durch eine private EâMail ersetzt wird, und Rechnungen erreichen die Buchhaltung nicht mehr.
Ein einfaches Setup, das fĂŒr viele Teams gut funktioniert:
Sperren Sie risikoreiche Aktionen: Eine Rechnung als bezahlt markieren, eine RĂŒckerstattung ausstellen oder eine Zahlungsmethode Ă€ndern sollte nur dem Inhaber (oder einer vertrauenswĂŒrdigen Finanzrolle) vorbehalten sein.
Ein SupportâDesk wirkt einfach: Kunden schicken Nachrichten, Ihr Team antwortet, Tickets werden geschlossen. Probleme entstehen, wenn dieselbe Ticketansicht fĂŒr alle wiederverwendet wird. Eine falsche Einstellung und Kunden sehen interne Notizen, Tags oder sogar Mitarbeiterkennzahlen.
Stellen Sie sich ein kleines EâCommerceâUnternehmen mit einem gemeinsamen SupportâPostfach vor. Ein Ticket enthĂ€lt die KundenâNachricht, Bestelldetails, Versandstatus und interne Notizen wie âmöglicher Betrug, Ausweis prĂŒfenâ oder âVIP, priorisierenâ. Diese interne Information hilft dem Team, darf aber niemals fĂŒr den Kunden sichtbar sein.
Eine klare Trennung, die sensible Daten schĂŒtzt:
PII von Kunden ist die nĂ€chste Falle. Support braucht oft Telefonnummer oder Adresse, aber nicht bei jedem Ticket. Eine gute Regel: Zeigen Sie sensible Felder nur, wenn der Workflow sie erfordert. Beispiel: Adresse nur nach Auswahl âVersandproblemâ anzeigen und wieder verbergen, wenn das Ticket geschlossen wird.
Halten Sie interne Kennzahlen getrennt von der Kundenerfahrung. Werte wie âZeit bis erste Antwortâ, âAgentenbewertungâ oder âan Rechtsabteilung eskaliertâ gehören nur in Mitarbeiterâ und ManagerâAnsichten.
Stellen Sie sich ein Lager und ein AuĂenteam vor, die den ganzen Tag Lieferungen abwickeln. Eine Person plant Routen, eine andere kommissioniert, Fahrer erledigen Stopps. Wenn Ihre App falsche Details an die falschen Leute zeigt, ist das nicht nur peinlich â es kann Kundendaten, Preise oder interne Notizen offenlegen.
Beginnen Sie damit, fĂŒr jede Gruppe klar zu trennen, was sie tĂ€glich braucht.
Mitarbeiter (Kommissionierer und Fahrer) brauchen meist eine enge, aufgabenfokussierte Ansicht. Ein Fahrer sollte beim Ăffnen der App nur die ihm fĂŒr den Tag zugewiesenen Jobs sehen, mit Stoppreihenfolge, Kontaktdaten fĂŒr den Stopp und Lieferanweisungen. Er sollte nicht die komplette Kundenliste durchstöbern oder Jobs anderer Fahrer sehen. Wenn er eine Schicht abdeckt, kann ein Manager den Job umverteilen, statt weite Zugriffsrechte zu vergeben.
Manager brauchen das breitere Bild: DienstplÀne aller Teams, LagerbestÀnde und laufende Probleme (verspÀtete Lieferungen, fehlgeschlagene Zustellungen, beschÀdigte Artikel, fehlende Unterschriften). Sie brauchen Werkzeuge, um Ausnahmen zu lösen: Stopp neu zuweisen, Route splitten oder eine Inventuranpassung genehmigen.
Kunden brauchen die kleinste Ansicht: nur ihren Lieferstatus. Sie können ETA verfolgen, Liefernachweis sehen und Updates erhalten wie âout for deliveryâ oder âverspĂ€tetâ. Sie dĂŒrfen niemals andere Kunden, Tagesrouten oder interne AusnahmeâNotizen sehen.
Eine einfache Durchsetzungsregel ist, Daten nach Zuweisung und Kundenkonto zu scopen. Ein DeliveryâJob kann lesbar sein nur fĂŒr (1) das zugewiesene Teammitglied, (2) Manager und (3) den zum Auftrag gehörenden Kunden.
Benennen Sie Ihre Nutzergruppen in klarer Sprache. âInhaberâ, âManagerâ, âMitarbeiterâ und âKundeâ sind ein guter Anfang, aber nur, wenn sie zur Arbeitsweise Ihres Unternehmens passen. Schreiben Sie fĂŒr jede Gruppe in einem Satz, wie Erfolg aussieht, z. B. âManager können Arbeit zuweisen und Teamleistung sehen, ohne Gehaltsdaten einzusehen.â
Als NĂ€chstes ordnen Sie Aktionen den Datenbereichen zu. Denken Sie nicht zuerst in Bildschirmen, sondern in den vorhandenen Daten: Welche Daten gibt es und was dĂŒrfen Menschen damit tun. Ein einfaches Raster auf Papier reicht:
Testen Sie den Entwurf mit realen Aufgaben, nicht mit Vermutungen. Gehen Sie typische AblĂ€ufe durch wie âBestellung erstellenâ, âTicket lösenâ oder âBericht herunterladenâ. Wenn eine Aufgabe Sie zwingt, zu breite Rechte zu vergeben, fehlt vermutlich eine feinere Berechtigung (z. B. âSummen anzeigenâ ohne âExportâ).
FĂŒgen Sie Genehmigungen ein, wo Geld oder sensible Ănderungen betroffen sind. Mitarbeiter können eine Rechnung entwerfen, aber nur ein Manager darf sie genehmigen oder versenden. Mitarbeiter können Lieferadressen bearbeiten, aber Bankdaten dĂŒrfen nur der Inhaber Ă€ndern.
Die meisten Datenlecks in kleinen Teams sind keine Hacks. Sie passieren, wenn die App jemandem mehr Zugriff gibt, als der Job erfordert. Rollen und Berechtigungen versagen, wenn sie einmal gesetzt und nie wieder ĂŒberprĂŒft werden.
Ein verbreitetes Muster: Jemand erhĂ€lt âAdminâ nur fĂŒrs Setup. Die Eile vergeht, die Rechte bleiben. Wochen spĂ€ter exportiert diese Person eine komplette Kundenliste âfĂŒr einen Berichtâ und private Daten liegen in einer Tabelle.
Wiederkehrende Fehler:
Die NebentĂŒren sind am tĂŒckischsten. Sie sperren Mitarbeiter von einer Vertragsseite, schicken ihnen aber die PDF per EâMail. Oder die mobile Ansicht zeigt ausgeblendete Felder, die auf dem Desktop verborgen sind.
Eine praktische Lösung: Behandeln Sie Exporte und Downloads als eigene Berechtigungen, nicht als normalen âAnzeigenâ-Recht. Wenn eine Rolle eine Liste braucht, geben Sie stattdessen eine gefilterte Ansicht statt eines kompletten Exports.
Bevor Sie echte Nutzer einladen, gehen Sie davon aus, dass jemand auf das falsche Feld klickt, den Bildschirm teilt oder eine Datei herunterlÀdt, die er nicht darf. Ein paar Checks jetzt ersparen spÀter viel Arbeit.
Starten Sie mit sicheren Defaults. Ein neuer Nutzer landet automatisch in der niedrigsten Rolle, ohne Zugang zu Geld, Exporten oder AdminâEinstellungen. Wenn jemand mehr braucht, machen Sie die Ănderung bewusst.
Testen Sie die Kundenerfahrung wie ein AuĂenstehender. Kunden dĂŒrfen nur ihre eigenen DatensĂ€tze sehen, auch wenn sie URLs Ă€ndern, suchen oder filtern. Ein schneller Test: Melden Sie sich als Kunde A an und versuchen Sie, Kunde B per Name, Rechnungsnummer oder TicketâID zu finden.
FĂŒnf schnelle Checks, die die meisten Lecks entdecken:
Machen Sie einen âUnfallâTestâ. Bitten Sie eine Kollegin, eine echte Aufgabe mit einem Mitarbeiterkonto zu erledigen, und versuchen Sie dieselbe Aufgabe mit einem Kundenkonto. Wenn der Kunde interne Preise sehen, komplette Kundenlisten herunterladen oder eine RĂŒckerstattung auslösen kann, sind Ihre Berechtigungen zu weit gefasst.
Eine hĂ€ufige Anfrage beginnt so: Ein Kunde möchte ein Portal zum âStatus prĂŒfenâ, aber Ihr Team nutzt dasselbe System zur Auftragsabwicklung. Ohne klare Rollen und Berechtigungen kann das Portal interne Notizen, AuftrĂ€ge anderer Kunden oder mitarbeiterinterne Preise offenbaren.
Stellen Sie sich eine Druckerei vor: Ein Auftrag lĂ€uft von Angebot ĂŒber Produktion bis Lieferung und Rechnung in einer App.
Das sollte jede Rolle in diesem Ablauf sehen:
Zwei RandfÀlle bringen das Modell oft durcheinander.
Erstens: Ein Manager ĂŒbernimmt vorĂŒbergehend ein anderes Team. Schalten Sie ihn nicht auf Inhaber. Geben Sie stattdessen zeitlich begrenzten Zugriff, z. B. Zugriff auf Team BâAuftrĂ€ge fĂŒr 7 Tage. Nach Ende der Vertretung lĂ€uft der Zugriff ab.
Zweitens: Ein VIPâKunde verlangt âmehr Einblickâ. Geben Sie mehr Kontext, ohne mehr Daten freizugeben. Zeigen Sie eine erweiterte Zeitachse oder einen eigenen Nachrichtenverlauf, aber behalten Sie interne Notizen (z. B. âKunde hat offene Zahlungenâ oder âNeudruck wegen unseres Fehlersâ) fĂŒr Mitarbeiter vor.
Verantwortlichkeiten Ă€ndern sich â betrachten Sie Zugriff als etwas, das geprĂŒft werden muss, nicht als Einmalaufgabe. Wenn jemand die Rolle wechselt, nehmen Sie nicht einfach Rechte hinzu. Entfernen Sie, was nicht mehr nötig ist, und fĂŒgen Sie dann die kleinste notwendige Menge an Rechten fĂŒr die neue Aufgabe hinzu.
Starten Sie klein. WĂ€hlen Sie einen Workflow, der am wichtigsten ist, z. B. âRechnung erstellen und Zahlung entgegennehmenâ oder âSupportâTicket erfassen und beantwortenâ. Definieren Sie Rollen und Berechtigungen fĂŒr diesen einen Ablauf zuerst, dann erweitern Sie.
Halten Sie die Regeln in einer einfachen Tabelle: Rolle, was sie tun darf, was sie nicht darf, und eventuelle Grenzen (z. B. ânur eigene DatensĂ€tzeâ oder ânur Standort Xâ). Wenn jemand fragt: âSehen Mitarbeiter Kundentelefonnummern?â, sollte die Tabelle in Sekunden antworten.
Ein pragmatisches Vorgehen zur EinfĂŒhrung:
Wenn Sie auf AppMaster (appmaster.io) bauen, hilft es, Rollen gemeinsam mit Ihrem Datenmodell und der GeschĂ€ftslogik zu planen, damit dieselben Regeln konsistent in WebâApps, mobilen Apps und APIâEndpoints gelten.
Wenn Sie möchten: Erstellen Sie noch heute Ihre erste Rollentabelle und probieren Sie sie an einem Workflow aus. Dieser einzelne Schritt verhindert die meisten versehentlichen Datenlecks.
Whatâs the simplest way to start defining roles and permissions?Beginnen Sie damit, die Daten aufzulisten, die Sie speichern (Kunden, Bestellungen, Rechnungen, interne Notizen, Dateien), und entscheiden Sie dann, wer ansehen, erstellen, bearbeiten, löschen, genehmigen und exportieren darf. Starten Sie mit minimalen Rechten und fĂŒgen Sie nur das hinzu, was fĂŒr die tĂ€gliche Arbeit nötig ist.
Whatâs the difference between permissions and scope?Berechtigungen legen fest, welche Aktionen jemand ausfĂŒhren darf (z. B. anzeigen oder bearbeiten), wĂ€hrend Scope bestimmt, auf welche DatensĂ€tze sich diese Aktionen beziehen. Ein Mitarbeiter darf etwa Rechnungen ansehen, aber nur die ihm zugewiesenen oder die seines Standorts.
Do I really need four roles (Owner, Manager, Staff, Client)?âInhaber, Manager, Mitarbeiter, Kundeâ deckt die meisten kleinen Unternehmen ab, weil es Arbeit und Risiko sinnvoll trennt. Bei komplexeren Teams ergĂ€nzen Sie lieber wenige spezielle Rollen (z. B. Finanzen oder Auftragnehmer), statt alle zu Admins zu machen.
What should clients be able to see in a client portal?Als sichere Voreinstellung: Kunden sehen und bearbeiten nur ihre eigenen DatensÀtze; keine internen Notizen, internen Statusfelder, Margen oder mitarbeiterinterne Tags. Bei mehr Sichtbarkeit lieber mehr Statuskontext (z. B. Zeitachse) statt zusÀtzliche Rohdaten freizugeben.
How do I stop staff from seeing margin or sensitive pricing details?Trennen Sie was zu berechnen ist von warum der Preis so ist. Mitarbeiter brauchen oft Positionen und Status einer Rechnung, sollten aber nicht Margen, Lieferantenkosten, RabattâHistorie oder Zahlungssteuerungen wie âals bezahlt markierenâ sehen.
Why are exports and bulk downloads such a big permission risk?Behandeln Sie Exporte als hohes Risiko: Exportieren ist nicht automatisch in der Ansicht enthalten. Viele Lecks passieren, wenn jemand eine komplette Kundenliste oder Rechnungsdaten in eine Tabelle exportiert, ohne den Umfang zu verstehen.
Why isnât ârestrict the screenâ enough to prevent data leaks?Weil Daten an vielen Stellen auftauchen: neben Bildschirmen auch in Suche, Benachrichtigungen, PDFs, mobilen Ansichten, AnhĂ€ngen und APIâAntworten. Sichern Sie zuerst die Datenebene und die Feldsichtbarkeit, dann die Bildschirme darauf.
How should I handle permissions for files and attachments?Behandeln Sie AnhĂ€nge separat, da sie oft sensibler sind als Formularfelder. Legen Sie fest, wer Dateien hochladen, vorschauen und herunterladen darf, und entscheiden Sie, ob DateiâRechte automatisch vom ĂŒbergeordneten Datensatz ĂŒbernommen werden oder eigene Regeln brauchen.
How do I prevent customers from seeing internal notes in a support desk?Bauen Sie zwei Ticketansichten: eine klientensichere Ansicht ohne interne Notizen, Tags oder Mitarbeiterkennzahlen und eine interne Ansicht mit gesamtem Kontext. Zeigen Sie sensible Kundenfelder nur, wenn der Workflow sie erfordert (z. B. Adresse nur bei âVersandproblemâ).
What are quick permission tests I should run before inviting real users?Erstellen Sie DemoâAccounts fĂŒr jede Rolle und fĂŒhren Sie echte Tasks durch, inklusive Suchen, Filtern, AnhĂ€nge öffnen und Dokumente erzeugen. Testen Sie auĂerdem, ob âKunde Aâ wirklich nicht âKunde Bâ finden kann (Namen, IDs, URLs).
21. Jan. 2026
8 Min
20. Jan. 20268 Min
20. Jan. 20268 MinExperimentieren Sie mit AppMaster mit kostenlosem Plan.
Wenn Sie fertig sind, können Sie das richtige Abonnement auswÀhlen.
