Wer darf was sehen? Das Berechtigungs-Konzept einfach erklärt
Kurzfassung
Prilog entscheidet bei jedem Zugriff neu und nach immer derselben Regel, ob jemand etwas sehen oder tun darf. Das Grundprinzip: Was nicht ausdrücklich erlaubt ist, ist verboten. Darüber liegen feine Schutzstufen, eng begrenzte Ausnahmen und ein lückenloses Protokoll. Niemand bekommt „nebenbei" mehr Rechte — auch Administratoren nicht.
Dieser Eintrag erklärt das Konzept ohne Technik-Vorwissen — mit einem Bild, das jede:r kennt: ein Gebäude mit Räumen, Schlüsseln, einem Türsteher und einem Logbuch.
Das Bild: ein Gebäude mit einem Türsteher
Stellen Sie sich Prilog wie ein Gebäude mit vielen Räumen vor. Jeder Raum ist ein Bereich mit Daten — ein Klassen-Space, ein Dokument, ein Beschwerdefall, Ihr eigenes Fach.
┌─────────────────────────────────────┐
Sie ───────► │ TÜRSTEHER (entscheidet bei jedem │ ──► Raum (Daten)
│ Schritt nach fester Reihenfolge) │
└─────────────────────────────────────┘
│ │ │
hat Schlüssel? Hausverbot? Logbuch-Eintrag
(Basis-Recht) (DENY) (Audit)- Der Türsteher ist die zentrale Prüfung (
can()). Er lässt niemanden „weil schon immer so" durch, sondern fragt jedes Mal dieselben Dinge in derselben Reihenfolge. - Das Logbuch am Eingang hält fest, wer wann an welche sensible Tür wollte — egal ob erfolgreich oder abgewiesen.
Die fünf Bausteine — jeweils mit einem Bild
| Baustein | Bild | Bedeutung |
|---|---|---|
| Basis-Recht | Ihr Hausschlüssel | Gehören Sie regulär dazu? (Mitglied im Space, Eigentümer des Fachs, zuständige Fallrolle …) |
| Schutzstufe | Ein Aufkleber an der Tür | Wie geheim ist der Raum? normal · intern · vertraulich · streng |
| Ausnahme ALLOW | Ein Tagesausweis | Eine einzelne, befristete, begründete Erlaubnis für genau eine Tür |
| Ausnahme DENY | Ein Hausverbot | Eine ausdrückliche Sperre — sticht alles andere |
| Protokoll | Das Logbuch | Jeder sensible Zugriff wird mitgeschrieben (nur wer/wann/was — keine Inhalte) |
Wichtig: Die Schutzstufe kann nur zusperren, nie aufsperren
Ein „vertraulich"-Aufkleber macht eine Tür enger (weniger Leute dürfen rein). Er öffnet niemals eine Tür, die ohne ihn zu wäre. Eine höhere Stufe = mehr Schutz, nie mehr Zugriff.
So entscheidet der Türsteher — immer in dieser Reihenfolge
Der Türsteher arbeitet eine feste Liste ab. Die erste klare Antwort gewinnt — danach hört er auf zu fragen:
- Gibt es ein Hausverbot (DENY)? → Dann ist Schluss. Sofort abgewiesen.
- Ist die Tür besonders geschützt und Sie gehören nicht zur befugten Gruppe? → Nur mit gültigem Tagesausweis (ALLOW) rein, sonst abgewiesen.
- Haben Sie einen Tagesausweis (ALLOW)? → rein.
- Sind Sie Administrator — und erlaubt diese Tür das ausdrücklich? → rein. (Bei sensiblen Türen ist das bewusst ausgeschaltet, siehe unten.)
- Ist es Ihr eigener Spind (Sie sind Eigentümer)? → rein.
- Haben Sie den normalen Hausschlüssel (Basis-Recht)? → rein.
- Sonst: Tür bleibt zu.
Die drei goldenen Regeln
1. Im Zweifel: zu
Findet der Türsteher keinen ausdrücklichen Grund, der für Sie spricht, bleibt die Tür geschlossen. Sicherheit ist die Voreinstellung, nicht die Ausnahme.
2. Hausverbot gewinnt immer
Ein DENY schlägt alles — auch einen Tagesausweis, auch den Eigentümer, auch den Administrator. So lassen sich z. B. Beschuldigte aus einem Fall heraushalten oder Akten unter „Aktensperre" legen.
3. Ihr eigenes Fach gehört Ihnen — fremde Räume nicht
Als Eigentümer kommen Sie immer an Ihr eigenes persönliches Fach, selbst wenn es als „vertraulich" markiert ist (es sind ja Ihre Daten). Das gilt nur für echte persönliche Fächer und nie für fremde Räume.
Beispiele aus dem Schulalltag
| Situation | Was passiert | Warum |
|---|---|---|
| Lehrkraft öffnet ein Dokument ihres Klassen-Space | darf | Hausschlüssel: Mitglied des Space (Basis-Recht) |
| Elternteil will ein als vertraulich markiertes Personaldokument öffnen | abgewiesen | Schutzstufe sperrt; Eltern gehören nicht zur befugten Gruppe |
| Schülerin öffnet ihr eigenes Postfach-Dokument | darf | Eigener Spind (Eigentümer) — auch bei „vertraulich" |
| Vertretungslehrkraft soll für einen Tag in eine fremde Akte schauen | darf, befristet | Tagesausweis (ALLOW) mit Ablaufdatum, begründet, protokolliert |
| Beschuldigte:r in einem Beschwerdefall versucht, den eigenen Fall zu öffnen | abgewiesen | Hausverbot (DENY) sticht jede andere Rolle |
| Administrator ohne fachliche Rolle will einen Hinweisgeber-Fall lesen | abgewiesen | Bei sensiblen Fällen ist der Admin-Generalschlüssel ausgeschaltet |
„Sieht der Administrator nicht sowieso alles?" — Nein
Das ist der wichtigste Punkt für das Vertrauen aller Beteiligten:
- Bei sensiblen Bereichen (z. B. Beschwerde-, Kinderschutz- oder Hinweisgeberfälle, fremde persönliche Fächer) ist der Generalschlüssel des Administrators bewusst deaktiviert. Ein Admin sieht solche Inhalte nur, wenn er dafür eine echte fachliche Rolle hat — nicht allein, weil er Admin ist.
- Ein Administrator kann organisieren (Module ein-/ausschalten, Konten anlegen), aber er erhält dadurch keinen automatischen Lesezugriff auf vertrauliche Fachdaten.
Ausnahmen sind eng und sichtbar
Es gibt Ausnahmen (Tagesausweis ALLOW, Generalschlüssel für bestimmte Türen). Aber sie sind immer ausdrücklich freigeschaltet, eng begrenzt, begründet und protokolliert — nie ein stiller Standardweg. Was die normale Berechtigung verschließt, kann nur über eine solche sichtbare Einzel-Ausnahme geöffnet werden.
Das Logbuch (Audit-Protokoll)
Jeder Zugriff auf sensible Daten wird im Audit-Protokoll festgehalten — auch abgewiesene Versuche auf besonders geschützte Inhalte.
- Protokolliert werden nur Metadaten: wer, wann, welche Aktion, welches Objekt, welche Schutzstufe, erlaubt oder abgewiesen. Keine Inhalte (keine Dokumenttexte, keine Nachrichten).
- Selbst wenn das Schreiben des Protokolls einmal ausfällt, wird der Zugriff nie blockiert — aber das System schlägt im Hintergrund Alarm, damit eine Lücke in der Nachweiskette nicht unbemerkt bleibt.
So finden Sie das Audit-Protokoll
Nur für Administrator:innen
Das Audit-Protokoll ist Administrator:innen vorbehalten. Normale Nutzer:innen sehen den Punkt nicht.
- Oben rechts auf Ihr Profil/Zahnrad klicken und Einstellungen öffnen.
- Im Bereich Workspace den Punkt Audit-Protokoll wählen.
- Sie sehen eine Tabelle aller protokollierten Zugriffe — der neueste oben.
Was Sie dort tun können:
- Filtern nach: Aktion (z. B. Ansehen, Herunterladen), Benutzer, Objekttyp, Ergebnis (erlaubt / abgewiesen), App und Zeitraum.
- An der Schutzstufe (farbige Markierung) erkennen, wie sensibel das betroffene Objekt war.
- Den gefilterten Auszug als CSV-Datei exportieren — z. B. für eine Auswertung oder zur Vorlage bei Ihrem Datenschutzbeauftragten.
Was Sie sehen — und was nicht
Sie sehen wer, wann, welche Aktion, welches Objekt, welche Schutzstufe, erlaubt oder abgewiesen. Sie sehen keine Inhalte (keine Dokumenttexte, keine Nachrichten) — das Protokoll dokumentiert den Zugriff, nicht den Inhalt.
Häufige Fragen
Bekomme ich durch eine neue Rolle automatisch mehr zu sehen? Nein. Rechte werden ausdrücklich vergeben. Eine Rollenzugehörigkeit allein weitet den Zugriff nicht „nebenbei" aus.
Was ist mit dem Chat? Der Chat hat seine eigene Mitgliedschaftslogik (wer im Raum ist, sieht den Raum). Das Berechtigungs-Konzept hier regelt die Daten und Akten, nicht die Chat-Inhalte.
Warum sehe ich einen Fall in der Liste nicht, von dem ich gehört habe? Sehr wahrscheinlich greift eine Schutzstufe: Der Fall ist einer engeren Gruppe vorbehalten (z. B. nur dem Kinderschutz-Team). Das ist Absicht (Need-to-know).
Für Interessierte
Hinter diesem Konzept steht ein verbindlicher, technischer Sicherheitsvertrag mit festen Invarianten, gegen den jede App nachweisbar (mit automatischen Tests und Live-Abnahmen) geprüft wird. Verwandte Handbuch-Themen: Benutzertypen · Datenschutz & DSGVO · Rollen in Spaces.