Anlage zum AVV · Berechtigungskonzept · Stand 2026-06-08

Rollen-Matrix (Berechtigungskonzept)

Anlage zum Auftragsverarbeitungsvertrag (Art. 28 DSGVO) und Erfüllung des Art. 32 Abs. 1 lit. b / lit. d DSGVO (Vertraulichkeit + regelmäßige Überprüfung der Wirksamkeit technisch-organisatorischer Maßnahmen)
Stand: 2026-06-08

Zweck dieses Dokuments

Die Matrix dokumentiert für jede in der WebApp existierende Rolle, welche Module sie aufrufen und welche Aktionen sie darin ausführen darf. Sie ist die Konkretisierung des Berechtigungskonzepts gemäß Art. 32 DSGVO und Anlage zum AVV. Die Drift zwischen Anwendung und dieser Matrix wird automatisiert über den Drift-Test tests/test_role_map_routes.py sowie über die 9-Rollen-Permission-Matrix tests/test_role_matrix_extended.py in der CI/CD-Pipeline geprüft.

Lesehilfe

V Vollzugriff (lesen + anlegen + bearbeiten + löschen) S Schreiben (lesen + anlegen + eigene Einträge ändern, je nach Modul) L Lesen (nur Sicht/Read-Only) kein Zugriff
Service-Toggles (/admin/services) können Module mandantenseitig komplett deaktivieren. Ist ein Modul aus, sehen es alle Rollen nicht — die Matrix beschreibt die Berechtigungen bei aktiviertem Modul.

Rollen-Übersicht

RolleZweck / typische Vergabe
AdminMandanten-Verwalter. Vollzugriff auf alle Module + Konfiguration + Mitarbeiter-Verwaltung.
Verwaltung (delegiert)Mitarbeiter mit einer oder mehreren der ~20 Verwaltungs-Kompetenzen. Vergabe pro Bereich (z. B. „Weiterbildung", „Beschwerde", „Kontakte") ohne Voll-Admin-Rechte.
Manager (Standortleitung)Leitung eines konkreten Standorts. Sieht/verwaltet eigene Standort-Mitarbeiter, kann Termine + Aufträge anlegen.
Regional Manager (Bereichsleitung)Leitung mehrerer Standorte. Wie Manager, jedoch nicht standortgebunden.
Facility (Hauswirtschaft)Pflegt Snacks-/Getränke-Bestand, Wareneingang, Schwellwerte; sieht eigenen Standort.
Baker (interner Anbieter)Pflegt das Sortiment unternehmenseigener Anbieter (z. B. hauseigene Bäckerei). Backoffice-Zugriff auf interne Vendors.
Tradesman (Handwerker)Mitglied eines Handwerker-Trupps. Eigene Stunden buchen, eigene Aufträge ansehen; Lead-Flag erlaubt zusätzlich Trupp-interne Pflege.
Employee (Mitarbeiter)Normaler Mitarbeiter. Eigene Termine, Bestellungen, Weiterbildungen, KVP-/Beschwerde-Einreichung.
MinijobberWie Employee, aber mit reduziertem Modul-Set (keine Handwerker-Verwaltung, kein Fahrtenbuch-Leitung). Zeitapp ist Pflicht.
External (externer Anbieter / Gast)Externer Anbieter mit eigenem Backoffice für sein Sortiment + Bestellungen, oder Beirats-/Klienten-Gastkonto mit konfigurierbarer Whitelist.

Berechtigungs-Matrix Rolle × Modul

Spaltenüberschriften sind die Module der App; pro Zelle die wirksame Berechtigung der Rolle. Lese-Modus ist die rein sichtende Variante (z. B. eigene Termine im Kalender); Schreiben ist „eigene Einträge anlegen/ändern" — Lösch- und Pflege-Rechte über fremde Einträge bündelt die Spalte „Vollzugriff" beim Admin und ggf. bei der Verwaltung mit passender Kompetenz.

Modul / Bereich Admin Verwaltung* Manager Regional Mgr Facility Baker Tradesman Employee Minijobber External
Dashboard / Aktuelles (lesen)VLLLLLLLLL
Aktuelles / News (verwalten)VV*
Kalender (eigene + Audience)VSSSSSSSSL
Termine / Veranstaltungen (anlegen)VV*SSS
Sitzungen (Live-Protokoll, Folgesitzungen)VV*SSLLLLL
Sitzungszimmer-BuchungVV*SSSSSSS
Standorte / Abteilungen (lesen)VV*LLLLLLLL
Standorte / Abteilungen (verwalten)VV*
Anbieter (öffentliche Sicht / Bestellung)VSSSSSSSS
Anbieter-Verwaltung (Stammdaten/Sortiment)VV*
Anbieter-Backoffice (interner Anbieter)VV
Anbieter-Backoffice (externer Anbieter)VV
Snacks & Getränke (Kauf)VSSSSSSSS
Snacks Bestand / HauswirtschaftVV*V
Verzehr-/Einrichtungs-AbrechnungVV*
Handwerker-Aufträge (Liste/Detail)VV*SSS
Handwerker-Auftrag anlegen / vergebenVV*VV
Truppen / Trupp-Mitglieder pflegenVV*
Fahrtenbuch (eigene Fahrten)VSSSSSSSS
Fahrtenbuch Leitung (alle Fahrten)VV*VV
Fahrzeug-ReservierungVSSSSSSSS
Weiterbildungen (eigene Anmeldung/Feedback)VSSSSSSSSL
Weiterbildungen verwalten (Typen, Pflichten)VV*
Dokumente (eigene Verteilungen ansehen)VSSSSSSSS
Dokumente verwalten / verteilenVV*VV
Chat (1:1 und Gruppen)VSSSSSSSS
In-App-Postfach (eigene Nachrichten)VLLLLLLLLL
Bike-to-Work / TippspielVSSSSSSSS
KVP / Verbesserungs-Vorschläge einreichenVSSSSSSSS
KVP / Beschwerde — VerwaltungVV*
Beauftragte — öffentliche Sicht / NachrichtVSSSSSSSS
Beauftragte — Stellen anlegen/verwaltenVV*
Beauftragte — eigene Stelle pflegenVV*
Mitarbeiter-Verwaltung (Einladen, Rollen)VV*
Mandanten-Identität / Branding / Welcome-MailV
Service-Toggles / Modul-SchalterV
Datenschutz-Lebenszyklus / Mandanten-KündigungV
Stripe-Abrechnung / Tarif-WechselV
Profil (eigene Daten, Push-Settings)VVVVVVVVVV
Audit-Logs / Sicherheits-Logs einsehenV

*) Verwaltung (delegiert): die jeweilige Vollzugriffs-Markierung (V*) gilt nur, wenn der betroffene Nutzer die entsprechende Verwaltungs-Kompetenz besitzt (z. B. „beschwerde" für KVP/Beschwerde-Verwaltung, „weiterbildung" für Weiterbildungs-Pflege, „beauftragte" für Beauftragten-Pflege etc.). Ohne passende Kompetenz verhält sich der Nutzer in dem Modul wie ein normaler Employee.

Verwaltungs-Kompetenzen im Detail

Die Rolle „Verwaltung (delegiert)" ist nicht binär: ein Mitarbeiter erhält pro Bereich eine eigene Kompetenz- Markierung. Aktuell sind folgende Bereiche kombinierbar:

Die Liste ist als Snapshot Stand 2026-06-08 zu verstehen; die produktive Quelle der Wahrheit ist die Konstante VERWALTUNGS_KOMPETENZEN in app/competences.py.

Funktionstrennung (Separation of Duties)

Bei Modulen mit Hinweisgeber-Charakter (KVP, Beschwerde, Beauftragten-Nachrichten) gilt zusätzlich zu den oben dokumentierten Berechtigungen folgende organisatorische Vorgabe, die vom Auftraggeber sicherzustellen ist:

Sonderfälle

Technische Verankerung

Pflege dieses Dokuments

Die Matrix ist Anlage zum AVV und wird bei jeder Änderung am Berechtigungskonzept aktualisiert. Insbesondere:

Drift wird automatisch durch die obigen Tests gemeldet — ein PR, der Permission-Code ändert, ohne diese Matrix anzufassen, fällt im CI auf.


© 2026 KiNi Solutions · Inhaber Stefan Eschbach · Lehmattweg 3, 79664 Wehr · info@kini.solutions
Anlage zum AVV · Querverweise: TOM, Modul-Matrix, VVT.