Team-Berechtigungen
Hallo, ich bin Sophie! 👋 Mit dem Berechtigungssystem von BuchhaltGenie können Sie genau steuern, wer was in Ihrem Unternehmen sehen und bearbeiten darf. Das ist nicht nur praktisch, sondern auch DSGVO-konform! In diesem Leitfaden zeige ich Ihnen, wie Sie Rollen zuweisen, Freigabe-Workflows einrichten und Ihr Team sicher verwalten.
DSGVO-konform: Das Berechtigungssystem setzt das Prinzip der Datenminimierung (Art. 5 DSGVO) um - jeder Benutzer sieht nur die Daten, die er für seine Aufgaben benötigt. Alle Zugriffe werden gemäß Art. 32 DSGVO protokolliert.
Was Sie hier lernen
- Welche 6 Rollen es gibt und wofür sie gedacht sind
- Wie Sie Berechtigungen für einzelne Funktionen vergeben
- Wie Freigabe-Workflows für Rechnungen und Zahlungen funktionieren
- Warum das System DSGVO-konform ist (Art. 5 + Art. 32)
- Wie Sie Rollen zuweisen und anpassen
Auf einen Blick
| Aspekt | Details |
|---|---|
| Vordefinierte Rollen | 6 (Owner, Administrator, Buchhalter, Mitarbeiter, Nur Lesen, Steuerberater) |
| Benutzerdefinierte Rollen | Ab Enterprise-Tarif |
| Freigabe-Workflows | Ab Business-Tarif |
| DSGVO-Konformität | Art. 5 (Minimierung), Art. 32 (Sicherheit) |
| Audit-Protokoll | Alle Zugriffe für 7 Jahre (BAO §132) |
| Zwei-Faktor-Authentifizierung | Optional für alle Rollen, empfohlen für Owner/Admin |
Rollen-Hierarchie
BuchhaltGenie bietet 6 vordefinierte Rollen, die unterschiedliche Zugriffsebenen abdecken. Jede Rolle ist für einen bestimmten Anwendungsfall konzipiert.
Übersicht aller Rollen
| Rolle | Zugriffslevel | Typische Verwendung | Besonderheiten |
|---|---|---|---|
| Owner | Vollzugriff + Abrechnung | Geschäftsführer, Einzelunternehmer | Kann nicht gelöscht werden, Zugriff auf Zahlungsinformationen |
| Administrator | Vollzugriff ohne Abrechnung | IT-Leitung, Prokurist | Kann andere Benutzer verwalten, kein Zugriff auf Kreditkarte/Abo |
| Buchhalter | Buchhaltung + Berichte | Buchhaltungsabteilung, Finanzbuchhaltung | Voller Zugriff auf alle Buchhaltungsfunktionen |
| Mitarbeiter | Belege + eigene Ausgaben | Vertrieb, Außendienst, Projektleiter | Kann nur eigene Belege und Ausgaben verwalten |
| Nur Lesen | Einsicht ohne Änderung | Wirtschaftsprüfer, Controller | Kann alle Daten einsehen, aber nichts ändern |
| Steuerberater | Spezial-Dashboard | Externe Steuerberater, Kanzlei | Eigenes Dashboard mit Export-Funktionen |
Sophie’s Tipp: Vergeben Sie Berechtigungen nach dem Prinzip der minimalen Rechte (Least Privilege). Jeder Benutzer sollte nur die Rechte haben, die er für seine tägliche Arbeit benötigt. Das ist nicht nur sicherer, sondern auch DSGVO-konform!
Rollenbeschreibungen im Detail
Owner
Owner (Geschäftsführer)
Der Owner ist der Hauptbenutzer des Kontos mit uneingeschränktem Zugriff auf alle Funktionen.
Berechtigungen:
- Vollständiger Zugriff auf alle Buchhaltungsfunktionen
- Verwaltung aller Benutzer und Rollen
- Zugriff auf Abrechnungs- und Zahlungsinformationen
- Änderung des Tarifs und der Zahlungsmethode
- Kündigung des Kontos
- Einsicht in alle Audit-Logs
Einschränkungen:
- Die Owner-Rolle kann nicht gelöscht werden
- Es kann nur einen Owner pro Unternehmen geben
- Der Owner kann sich selbst nicht herabstufen
Wichtig: Der Owner sollte immer eine natürliche Person sein (z.B. der Geschäftsführer), nicht eine generische E-Mail-Adresse. Bei Inhaberwechsel muss die Owner-Rolle aktiv übertragen werden.
Typische Anwender:
- Einzelunternehmer (EPU)
- Geschäftsführer einer GmbH
- Inhaber eines Gewerbebetriebs
Berechtigungsmatrix
Die folgende Matrix zeigt im Detail, welche Rolle auf welche Funktionen zugreifen kann.
Buchhaltungsfunktionen
| Funktion | Owner | Admin | Buchhalter | Mitarbeiter | Nur Lesen | Steuerberater |
|---|---|---|---|---|---|---|
| Rechnungen erstellen | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ |
| Rechnungen bearbeiten | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ |
| Rechnungen einsehen | ✅ | ✅ | ✅ | Eigene | ✅ | ✅ |
| Rechnungen versenden | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ |
| Belege hochladen | ✅ | ✅ | ✅ | ✅ | ❌ | ❌ |
| Belege bearbeiten | ✅ | ✅ | ✅ | Eigene | ❌ | ❌ |
| Ausgaben erfassen | ✅ | ✅ | ✅ | Eigene | ❌ | ❌ |
| Bankabstimmung | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ |
| Buchungen erstellen | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ |
Berichte und Auswertungen
| Funktion | Owner | Admin | Buchhalter | Mitarbeiter | Nur Lesen | Steuerberater |
|---|---|---|---|---|---|---|
| Gewinn- und Verlustrechnung | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ |
| Bilanz | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ |
| UVA generieren | ✅ | ✅ | ✅ | ❌ | ❌ | ✅ |
| Saldenlisten | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ |
| Offene Posten | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ |
| Steuerberater-Export | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ |
| Jahresabschluss-Vorbereitung | ✅ | ✅ | ✅ | ❌ | ❌ | ✅ |
Verwaltung und Einstellungen
| Funktion | Owner | Admin | Buchhalter | Mitarbeiter | Nur Lesen | Steuerberater |
|---|---|---|---|---|---|---|
| Benutzer verwalten | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ |
| Rollen zuweisen | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ |
| Unternehmensdaten ändern | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ |
| Tarif ändern | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ |
| Zahlungsmethode ändern | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ |
| API-Zugang verwalten | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ |
| Freigabe-Workflows konfigurieren | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ |
| Audit-Log einsehen | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ |
Sophie AI und Support
| Funktion | Owner | Admin | Buchhalter | Mitarbeiter | Nur Lesen | Steuerberater |
|---|---|---|---|---|---|---|
| Sophie AI nutzen | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Support kontaktieren | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Dokumentation einsehen | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
Freigabe-Workflows
Freigabe-Workflows ermöglichen es, Rechnungen und Zahlungen ab bestimmten Beträgen zur Genehmigung vorzulegen. So behalten Sie die Kontrolle über Ausgaben und erfüllen interne Compliance-Anforderungen.
Ab Business-Tarif: Freigabe-Workflows sind ab dem Business-Tarif verfügbar. Im Enterprise-Tarif können Sie zusätzlich mehrstufige Freigaben und benutzerdefinierte Workflows einrichten.
Wie funktionieren Freigabe-Workflows?
Workflow einrichten
Navigiere zu Einstellungen → Workflows → Freigabe-Workflow hinzufügen.
Lege fest:
- Auslöser: Ab welchem Betrag eine Freigabe erforderlich ist (z.B. EUR 1.000)
- Dokumenttyp: Rechnungen, Ausgaben oder beides
- Freigabeberechtigte: Welche Rollen oder Benutzer freigeben dürfen
Dokument wird erstellt
Ein Mitarbeiter oder Buchhalter erstellt eine Rechnung oder erfasst eine Ausgabe, die den Schwellenwert überschreitet.
Automatische Benachrichtigung
Die freigabeberechtigten Personen erhalten eine E-Mail-Benachrichtigung und sehen die ausstehende Freigabe im Dashboard.
Prüfung und Entscheidung
Der Freigabeberechtigte kann:
- Genehmigen: Das Dokument wird freigegeben und kann versendet/gebucht werden
- Ablehnen: Das Dokument geht mit einem Kommentar zurück an den Ersteller
- Nachfragen: Eine Rückfrage an den Ersteller senden
Protokollierung
Alle Freigabeentscheidungen werden im Audit-Log dokumentiert - wer hat wann was genehmigt oder abgelehnt.
Beispiel: Rechnungsfreigabe ab EUR 5.000
Ein typischer Workflow für ein mittelständisches Unternehmen:
| Betrag | Freigabe durch | Beispiel |
|---|---|---|
| Bis EUR 1.000 | Keine Freigabe nötig | Büromaterial, kleine Lieferungen |
| EUR 1.001 - EUR 5.000 | Buchhalter oder Administrator | Monatliche Dienstleistungen |
| EUR 5.001 - EUR 20.000 | Administrator | Größere Anschaffungen |
| Über EUR 20.000 | Owner (Geschäftsführer) | Investitionen, Jahresverträge |
Sophie’s Tipp: Beginnen Sie mit einem einfachen zweistufigen Workflow und verfeinern Sie ihn basierend auf Ihren Erfahrungen. Zu komplexe Workflows führen zu Verzögerungen und Frustration im Team.
Mehrstufige Freigaben (Enterprise)
Im Enterprise-Tarif können Sie mehrstufige Freigaben einrichten:
Ausgabe > EUR 10.000:
1. Stufe: Abteilungsleiter (max. 2 Tage)
2. Stufe: Prokurist (max. 1 Tag)
3. Stufe: Geschäftsführer (bei Bedarf)Features im Enterprise-Tarif:
- Automatische Eskalation bei Zeitüberschreitung
- Vertretungsregeln bei Abwesenheit
- Bedingte Freigaben (z.B. nur für bestimmte Kostenstellen)
- Parallele Freigaben (mehrere Personen gleichzeitig)
DSGVO-Aspekte
Das Berechtigungssystem ist so konzipiert, dass es die Anforderungen der DSGVO erfüllt. Zwei Artikel sind dabei besonders relevant.
DSGVO Art. 5: Datenminimierung
“Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.”
Umsetzung in BuchhaltGenie:
| Prinzip | Umsetzung |
|---|---|
| Need-to-know | Benutzer sehen nur Daten, die sie für ihre Aufgaben benötigen |
| Rollenbasiert | Automatische Einschränkung durch Rollenzuweisung |
| Granular | Feingranulare Berechtigungen bis auf Funktionsebene |
| Dokumentiert | Berechtigungen sind jederzeit nachvollziehbar |
Beispiel: Ein Mitarbeiter im Vertrieb sieht nur seine eigenen Ausgaben und Belege. Er hat keinen Zugriff auf Gehaltsdaten anderer Mitarbeiter oder auf die vollständige Buchhaltung - auch wenn diese technisch im System gespeichert sind.
DSGVO-Nachweis: Sie können jederzeit einen Bericht über die Berechtigungen aller Benutzer exportieren. Dieser Bericht zeigt, wer auf welche Daten zugreifen kann - wichtig für DSGVO-Audits und Behördenanfragen.
DSGVO Art. 32: Sicherheit der Verarbeitung
“Der Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung des Stands der Technik… geeignete technische und organisatorische Maßnahmen…”
Technische Maßnahmen:
| Maßnahme | Details |
|---|---|
| Authentifizierung | Starke Passwörter, optionale 2FA |
| Autorisierung | Rollenbasierte Zugriffskontrolle (RBAC) |
| Verschlüsselung | TLS 1.3 in Transit, AES-256 at Rest |
| Audit-Logging | Alle Zugriffe werden protokolliert |
| Session-Management | Automatischer Logout nach Inaktivität |
| IP-Beschränkung | Optional im Enterprise-Tarif |
Organisatorische Maßnahmen:
| Maßnahme | Details |
|---|---|
| Least Privilege | Minimale Berechtigungen als Standard |
| Regelmäßige Überprüfung | Quartalsweise Review empfohlen |
| Schulung | Dokumentation und Onboarding |
| Protokollierung | Wer hat wann welche Rolle erhalten |
Zugriffsprotokoll
Alle Zugriffe auf sensible Daten werden protokolliert:
| Protokolliertes Ereignis | Aufbewahrung |
|---|---|
| Login/Logout | 1 Jahr |
| Passwortänderung | 1 Jahr |
| Rollenänderung | 7 Jahre (BAO §132) |
| Datenzugriff (Buchhaltung) | 7 Jahre (BAO §132) |
| Export von Daten | 1 Jahr |
| Fehlgeschlagene Logins | 90 Tage |
Empfehlung: Aktiviere die Zwei-Faktor-Authentifizierung für alle Benutzer mit Owner- oder Administrator-Rolle. Dies ist eine der wichtigsten Schutzmaßnahmen gegen unbefugten Zugriff.
Rollen zuweisen
So weisen Sie einem Benutzer eine Rolle zu oder ändern bestehende Berechtigungen.
Team-Verwaltung öffnen
Navigiere zu Einstellungen → Team → Mitglieder.
Benutzer auswählen
Klicken Sie auf den Benutzer, dessen Rolle Sie ändern möchten, oder auf Mitglied hinzufügen für einen neuen Benutzer.
Rolle zuweisen
Wähle die gewünschte Rolle aus dem Dropdown-Menü:
- Owner (nur übertragbar, nicht neu zuweisbar)
- Administrator
- Buchhalter
- Mitarbeiter
- Nur Lesen
- Steuerberater
Zusätzliche Einstellungen (optional)
Je nach Rolle können Sie weitere Einstellungen vornehmen:
- Zwei-Faktor-Authentifizierung erzwingen
- IP-Beschränkung aktivieren (Enterprise)
- Zeitliche Befristung setzen (z.B. für Praktikanten)
Änderung speichern
Klicken Sie auf Speichern. Der Benutzer wird per E-Mail über die Änderung informiert.
Audit-Log: Alle Rollenänderungen werden im Audit-Log dokumentiert - wer hat wann wem welche Rolle zugewiesen. Dies ist wichtig für DSGVO-Nachweise und interne Compliance.
Verfügbarkeit nach Tarif
| Feature | Free | Starter | Pro | Business | Enterprise |
|---|---|---|---|---|---|
| Max. Benutzer | 1 | 2 | 5 | 7 | 10+ |
| Vordefinierte Rollen | ✅ | ✅ | ✅ | ✅ | ✅ |
| Benutzerdefinierte Rollen | ❌ | ❌ | ❌ | ❌ | ✅ |
| Freigabe-Workflows | ❌ | ❌ | ❌ | ✅ | ✅ |
| Mehrstufige Freigaben | ❌ | ❌ | ❌ | ❌ | ✅ |
| IP-Beschränkung | ❌ | ❌ | ❌ | ❌ | ✅ |
| API-Zugang | ❌ | ❌ | ❌ | ✅ | ✅ |
| Audit-Log Export | ❌ | ❌ | ✅ | ✅ | ✅ |
Häufige Fragen
Kann ich die Owner-Rolle übertragen?
Ja, die Owner-Rolle kann übertragen werden, aber nur durch den aktuellen Owner. Gehe zu Einstellungen → Team → Owner übertragen. Der neue Owner muss die Übertragung bestätigen. Aus Sicherheitsgründen werden beide Parteien per E-Mail benachrichtigt.
Was passiert, wenn ein Administrator das Unternehmen verlässt?
Sie haben zwei Optionen:
- Deaktivieren: Der Benutzer kann sich nicht mehr einloggen, aber seine Aktionen bleiben im Audit-Log nachvollziehbar.
- Löschen: Der Benutzer wird entfernt, seine Aktionen bleiben anonymisiert im Audit-Log.
Wichtig: Entferne ehemalige Mitarbeiter zeitnah aus dem System. Ein aktiver Account eines Ex-Mitarbeiters ist ein Sicherheitsrisiko.
Kann ein Benutzer mehrere Rollen haben?
Nein, jeder Benutzer hat genau eine Rolle. Wenn Sie komplexere Berechtigungen benötigen, nutzen Sie den Enterprise-Tarif mit benutzerdefinierten Rollen.
Wie oft sollte ich die Berechtigungen überprüfen?
Wir empfehlen eine quartalsweise Überprüfung aller Berechtigungen:
- Sind alle aktiven Benutzer noch im Unternehmen?
- Haben alle Benutzer die richtige Rolle?
- Gibt es inaktive Accounts, die deaktiviert werden sollten?
Kann ich Berechtigungen zeitlich befristen?
Ja, im Business- und Enterprise-Tarif können Sie eine zeitliche Befristung setzen. Nach Ablauf wird der Benutzer automatisch deaktiviert. Ideal für:
- Praktikanten und Werkstudenten
- Externe Berater mit befristetem Projekt
- Urlaubsvertretungen
Weiterführende Themen
Mitarbeiter anlegen und verwalten
Mitarbeiter verwaltenSpezieller Zugang für Ihren Steuerberater
Steuerberater-DashboardVollständige DSGVO-Dokumentation
DSGVO DatenschutzAudit-Trail und 7-Jahres-Frist
BAO §132 AufbewahrungRechtlicher Hinweis: Diese Dokumentation dient der allgemeinen Information und ersetzt keine Rechts- oder Datenschutzberatung. Die DSGVO-Konformität Ihrer spezifischen Datenverarbeitung sollte mit Ihrem Datenschutzbeauftragten oder einem Rechtsanwalt geprüft werden. Stand: Jänner 2026.
Zurück zur Übersicht: Enterprise-Funktionen