Menu

Rechte & Rollen im CRM-System einrichten

Wer darf Kundendaten erstellen? Und wer darf Daten löschen? Welche Abteilung braucht Zugriff auf Angebote und Rechnungen? Und welche Benutzer sollten lieber die Finger davon lassen? Erfahren Sie in dieser Anleitung, wie Sie am besten vorgehen, um Benutzern genau den Zugriff zu geben, den sie brauchen.

Voraussetzungen

Zielgruppen: Admin
Hilfestellung beim Berechtigungskonzept

Wie Sie ein Berechtigungskonzept erstellen und worauf Sie achten müssen, erfahren Sie in unserem Beitrag Berechtigungskonzept: Datenschutz kann so einfach sein. Übrigens: Standardmäßig ist bei 1CRM die Rolle Datenschutz-Manager bereits angelegt.

Administration > Benutzer: Rollen-Verwaltung

Video-Tutorial

In diesem Video erfahren Sie, wie Sie Rechte und Rollen festlegen, um Benutzern genau den Zugriff zu geben, den sie brauchen.

Best Practices bei Rollen und Rechten im CRM

Wir empfehlen die Nutzung von additiven Rechten, die standardmäßig aktiviert sind.


Welche Rechte für einen Benutzer gelten, sind in den sogenannten Berechtigungsmatrizen für jedes Modul ersichtlich. Die Berechtigungsmatrizen finden Sie bei jedem Benutzer in der Registerkarte Benutzerrechte:

Zugangsbeschränkungen des einzelnen Benutzers im CRM überprüfen

Wenn Sie Berechtigungen ändern, sollten Sie für jeden Benutzer in dieser Matrix kontrollieren, ob die richtigen Rechte eingestellt sind.


Wenn Sie die Benutzerrechte einer Rolle begrenzen wollen, reicht es in der Regel aus, den Zugriff auf ein Modul auf Aus oder Eingeschränkt zu stellen. Beide Einstellungen wirken sich auf die Benutzerrechte wie Anzeigen, Bearbeiten und Löschen eines Datensatzes aus, da die Option Admin automatisch gewählt wird:

1CRM: Zugriff einschränken wirkt sich auf die Benutzerrechte aus

Rollenverwaltung im CRM-System

In 1CRM vergeben wir Benutzerrechte über Rollen, z.B. eine Praktikanten-Rolle, Marketing-Rolle oder ähnliches. Bei einem frisch aufgesetzten 1CRM-System existiert erst einmal nur die Standard-Rolle. Erstellen Sie einen neuen Benutzer, dann erhält dieser automatisch alle Rechte dieser Rolle.

Sie können in 1CRM beliebig viele Rollen anlegen. Wenn Sie einem Benutzer eine Rolle zuweisen möchten, dann machen Sie das im Datensatz der Rolle. Sie weisen der Rolle den gewünschten Benutzer zu. Erst dann greifen die in der Rolle definierten Rechte in Kombination mit der Standard-Rolle.

Rollen mit und ohne additive Rechte

1CRM verwendet in der Basiseinstellung additive Rechte: das höchste gewährte Recht gilt. Das bedeutet, dass zum Beispiel in der Standard-Rolle der Zugriff auf Angebote erlaubt ist, aber in der anderen Rolle verboten. Dann entscheidet 1CRM positiv für den Benutzer – er darf also auf Angebote zugreifen.

Additive Rechte: Standard-Rolle: Angebote erlaubt + Neue Rolle: Angebote verboten => Angebote erlaubt

Ohne additive Rechte: Standard-Rolle: Angebote erlaubt + Neue Rolle: Angebote verboten => Angebote verboten

1CRM: Berechtigungskonzept mit oder ohne additive Rechte

Richten Sie die Standard-Rolle möglichst restriktiv ein. Erlauben Sie dann Zugriffe für Ihre Benutzer, indem Sie neue Rollen anlegen und die Benutzer den neuen Rollen zuweisen.

Additive Rechte deaktivieren

Administration > Benutzer: Rechtevererbung einstellen

Möchten Sie einzelne Module, z.B. Veranstaltungen komplett für alle Benutzer deaktivieren, ist der Weg über die Standard-Rolle sehr sinnvoll. Nicht verwendete Module lassen sich so sehr einfach ausblenden.

Wenn Sie möchten, dass 1CRM bei sich widersprechenden Rechten negativ für den Benutzer entscheidet, also den Zugriff verwehrt, dann können Sie die additiven Rechte deaktivieren. Es gelten dann subtraktive Rechte, d. h. das das niedrigste gewährte Recht zählt.

In diesem Fall sollten Sie in der Standard-Rolle möglichst viel erlauben und nur in den eigenen Rollen die Benutzerrechte einschränken.

Wechseln Sie über Administration > Benutzer  in  Rechtevererbung einstellen und deaktivieren Sie den Schalter bei Additive Rechte.

Additive Rechte im CRM deaktivieren

Teams im CRM-System

Zweck von Teams

Ein weiteres Element der Berechtigungen sind Teams. Diese verwenden wir, um Benutzer und Daten von anderen Benutzern und deren Daten abzugrenzen.

Ein klassisches Beispiel sind hier Vertriebs-Teams, wie z.B. Team Nord und Team Süd. Mitarbeiter eines Teams haben Zugriff auf das gesamte System, dürfen aber nur dem Team zugehörige Datensätze sehen und bearbeiten.

Benutzer können beliebig vielen Teams zugeordnet sein. Innerhalb der Listenansichten im System wird die Möglichkeit geboten, nach Teamdatensätzen zu filtern.

Vererbung der Berechtigungen

Benutzer, die Teams zugeordnet sind, erben die Berechtigungen der Teams und müssen nicht noch einmal im Einzelnen zu einer Rolle zugewiesen werden.

Wenn alle Benutzer in dem Team die gleichen Berechtigungen benötigen, können Sie dem Team eine Rolle zuordnen. Durch diese Zuordnung erhalten alle Benutzer in dem Team automatisch die Rechte aus der Rolle. In der Zugriffskonfiguration werden Rollen aus dem Team bei den einzelnen Benutzern nicht als gesonderte Rolle aufgeführt. Die Rolle wird aber in der Berechtigungsmatrix berücksichtigt.

Best Practice: In den meisten Fällen braucht ein Team keine gesonderte Rolle. Die Zugriffsrechte auf Datensätze werden dann durch die Rollen, die den Benutzern zugeordnet sind, bestimmt.

Hinweis:

Der Besitzer eines Datensatzes sieht immer alle Datensätze, denen der Benutzer zugewiesen ist. Unabhängig davon, ob die Datensätze über eine Rolle nur für ein Team freigegen sind. Datensätze, die nur von bestimmten Teams bearbeitet werden können, aber beim Speichern aus Versehen keinem Team zugeordnet wurden, lassen sich von dem Besitzer bearbeiten.  

Automatische Verknüpfung von Datensätzen mit Teams

Administration > Benutzer > Rechtevererbung einstellen: Team Vererbungsregeln

Es ist möglich, dass Datensätze automatisch mit Teams verknüpft werden. Die dafür notwendigen Einstellungen finden Sie in Administration > Rechtevererbung einstellen > Team Vererbungsregeln:

Additive Rechte im CRM deaktivieren

Standardmäßig ist die Option Vom erstellenden Benutzer erben aktiviert. Wenn der Benutzer somit einen Datensatz erstellt, wird der Datensatz mit allen Teams verknüpft, zu denen der Benutzer gehört.

Bei der Option Vom zugeordneten Benutzer erben wird der Datensatz den Teams zugeordnet, zu denen der zugeordnete Benutzer gehört. Das bedeutet: Ein Benutzer erstellt einen neuen Datensatz (der noch nicht gespeichert ist). Der Datensatz ist zu diesem Zeitpunkt dem Team des erstellenden Benutzers zugeordnet. Der erstellende Benutzer ordnet den Datensatz einem anderen Benutzer zu und speichert. Der Datensatz ist mit den Teams des erstellenden und zugeordneten Benutzers verknüpft. Sie müssen somit ggf. das Team des erstellendes Benutzers entfernen.

Bei der Option Vom in Bezug stehender Firma erben wird der Datensatz den Teams zugeordnet, die der Firma zugeordnet sind. Das bedeutet: Wenn ein Datensatz wie eine Rechnung einer Firma zugeordnet ist und es sind Teams mit der Firma verknüpft, wird die Rechnung mit diesen Teams ebenfalls verknüpft.

Best Practice: Die Option Vom erstellenden Benutzer erben wird in den meisten Fällen empfohlen.

Automatische Verknüpfung von E-Mails mit Teams

Administration > Gruppenpostfächer: Subpanel: Automatisch Teams zuweisen

Bei E-Mails lässt sich eine automatische Zuordnung zu Teams in den Gruppenpostfächern einstellen:

Hinweis:

Das Subpanel ist erst nach dem Speichern eines neues Gruppenpostfachs sichtbar. 

Einstellungsmöglichkeiten in den Benutzerrechten

Administration > Benutzer > Rollen-Verwaltung: Standard-Rolle

In der ersten Spalte definieren Sie den generellen Zugriff auf ein Modul (z.B. Veranstaltungen oder Angebote).

Zugriff Rechte Beispiel
Aus Der Benutzer kann das Modul weder sehen noch auf Datensätze zugreifen. Bei Veranstaltungen haben wir auf "Aus" gesetzt. Das bedeutet, der Benutzer hat in der CRM-Navigation keinen Punkt "Veranstaltungen".
Eingeschränkt Der Benutzer kann sowohl das Modul als auch die entsprechenden Datensätze einsehen (Lesezugriff). Bei Veranstaltungen haben wir auf "Eingeschränkt" gesetzt. Der Benutzer sieht den Punkt "Veranstaltungen" in der Navigation. Wenn er drauf klickt, sieht er alle vorhandenen Veranstaltungen, kann jedoch nicht bearbeiten oder löschen.
An Der Benutzer hat kompletten Zugriff auf das Modul. Es lassen sich einzelne nicht gewünschte Aktionen, wie z.B. Export oder Import, einschränken.

Einstellungsmöglichkeiten innerhalb eines Moduls

Administration > Benutzer > Rollen-Verwaltung: Standard-Rolle

In den weiteren Spalten (Anzeigen, Listen, Bearbeiten, etc.) können Sie detaillierte Benutzerrechte vergeben.

Hinweise:

Das Zusammenführen von Dubletten ist nur möglich, wenn das Löschen des Datensatzes erlaubt ist. 

Aktueller Bug (Version 8.7.4 und kleiner)

Unter bestimmten Bedingungen kann die Verwendung von Nichts genau das Gegenteil bewirken. Daher sollte Sie aktuell anstatt Nichts immer die Option Admin verwenden. Dieser Bug ist bekannt und wird in einer zukünftigen Version gefixt werden.

Zugriff Rechte
Alles Der Benutzer kann die Aktion auf alle Datensätze in diesem Modul ausführen.
Team Nur wenn der Benutzer dem Team angehört, das dem Datensatz zugeordnet ist, kann der Benutzer die Aktion ausführen.
Rolle Nur wenn der Benutzer die gleiche Rolle hat wie der Benutzer, der dem Datensatz zugeordnet ist, kann der Benutzer die Aktion ausführen.
Besitzer Nur wenn der Benutzer der Besitzer des Datensatzes ist, kann der Benutzer die Aktion ausführen.
Admin Nur wenn der Benutzer der Administrator ist, kann der Benutzer die Aktion ausführen.
Nichts Kein Benutzer kann die Aktion ausführen.

Rechte für einzelnen Benutzer überprüfen

Administration > Benutzer > Benutzerverwaltung > Benutzer auswählen: Benutzerrechte

Wechseln Sie in die Benutzerrechte des einzelnen Benutzers über Administration > Benutzer > Benutzerverwaltung > Benutzer auswählen. Überprüfen Sie hier, welche Rechte sich für den Benutzer aus der Kombination von allen zu ihm zugewiesenen Rollen letztendlich ergeben.

1CRM: Benutzerrechte als Tabelle (Berechtigungsmatrix)

Use Case: Wie lege ich den Zugriff auf Module fest?

Administration > Benutzer > Rollen-Verwaltung: [Rolle wählen]

Ziel:

Benutzer sollen nur für sie relevante Informationen im CRM sehen. Sie möchten gezielt steuern, welche Benutzer auf Module wie Firmen und Kontakte zugreifen können. Nur wenn die Rechte den Zugriff ermöglichen, werden die Module in der Navigation angezeigt. Auf den Dashboards werden nur Module und Diagramme ausgegeben, auf die der Benutzer Zugriff hat. Nach Bedarf vergeben Sie Zugriff auf weitere Module.

Lösung:

  1. Sie legen den Zugriff auf Module für die Standard-Rolle fest
    1. Entscheidung: additive Rechte: Ja (Standard) oder Nein
  2. Für den Zugriff auf weitere Module legen Sie weitere Rollen an (z. B. Vertrieb, Marketing, Buchhaltung)
    1. Additive Rechte Ja: Sie erweitern den Zugriff auf Module in den weiteren Rollen.
    2. Additive Rechte Nein: Sie begrenzen den Zugriff auf Module in den weiteren Rollen.

Use Case: Wie arbeite ich mit Teams und Rollen?

Ziel:

Sie möchten Anrufe, Aufgaben und Meetings allen Benutzern bereitstellen. Es muss jedoch möglich sein, den Zugriff auf beispielsweise einzelne Anrufe nur einem bestimmten Team, beziehungsweise einer Abteilung, zu ermöglichen.

Lösung:

In vielen Fällen reicht es aus, nur die Standard-Rolle anzupassen, ihre gewünschten Teams anzulegen und ohne weitere Rollen zu arbeiten. Die folgenden Schritte beziehen sich auf einen manuellen Lösungsweg, wenn Sie keine automatische Zuordnung zu Teams eingerichtet haben.

  1. Sie legen ein Team an, dem Sie alle Benutzer zuordnen (z. B. „Team Alle“).
  2. Sie passen die Standard-Rolle an und wählen bei Anzeigen und Listen die Option Team.
    Nach dem Speichern wird diese Einstellung für die Benutzerrechte Bearbeiten, Löschen, Export und Berichte übernommen:
    1CRM: Berechtigungen auf "Teams" stellen
  3. Sie legen weitere Teams an wie „Team A“ und „Team B“ und ordnen den Teams die gewünschten Benutzer zu.
  4. Sie ordnen alle Anrufe dem Team „Team Alle“ zu (z. B. über Massenaktualisierung).
  5. Sie entfernen „Team Alle“ vom gewünschten Anruf, der nur selektiv gesehen und bearbeitet werden soll, und ordnen das gewünschte Team zu, z. B. „Team A“.
    Nun sehen nur noch Benutzer von „Team A“ diesen Anruf.

Use Case: Was muss ich beachten, damit Benutzer Duplikate zusammenführen können?

Wann sieht ein Benutzer die Funktion Duplikate zusammenführen?

Beim Benutzerrecht Bearbeiten muss eine der folgenden Optionen eingestellt sein:

  • Alles
  • Team
  • Rolle
  • Besitzer

Wenn dagegen Admin oder Nichts eingestellt ist, wird die Funktion Duplikate zusammenführen ausgeblendet bzw. nur der Admin kann die Funktion sehen.

Wann kann ein Benutzer Duplikate zusammenführen?

Der Benutzer muss die Berechtigung zum Löschen eines Datensatzes besitzen.

Wenn der Benutzer dieses Recht nicht hat, passiert bei der Option Duplikate zusammenführen nichts.

Das bedeutet: Auch wenn der Benutzer die Datensätze bearbeiten darf, kann der Benutzer nur Dubletten zusammenführen, wenn der Benutzer mindestens einen der zusammenzuführenden Datensätze löschen darf.

Wenn der Benutzer keine Duplikate zusammenführen kann, prüfen Sie beim Benutzer, welche Berechtigung bei Löschen für den jeweiligen Datensatz eingestellt ist:

Kann der Benutzer Dubletten nur zusammenführen, wenn der Benutzer beide Datensätze bearbeiten darf?

Nein: Wenn der Benutzer mind. 1 der Datensätze löschen darf und nur für 1 Datensatz das Recht zum Bearbeiten hat, kann der Benutzer Dubletten zusammenführen.

Der Datensatz, den der Benutzer nicht bearbeiten darf, ist immer der zweite Datensatz in der Maske und lässt sich nicht als primärer Datensatz setzen (Schaltfläche Als primären setzen ist ausgegraut).

Im Folgenden Screenshot ist Max Mustermann (Datensatz 1) der Datensatz, den der Benutzer bearbeiten darf:

1CRM: Duplikate zusammenführen, nur ein Datensatz lässt sich bearbeiten

Wenn der Benutzer nur den eigenen Datensatz löschen und beide Datensätze bearbeiten darf, ist 1 und 2 umgedreht:

1CRM: Duplikate zusammenführen, nur ein Datensatz lässt sich löschen

Wie kann ich verhindern, dass Duplikate ins CRM gelangen?

Bevor ein neuer Datensatz wie z. B. ein Kontakt neu angelegt wird, sollten alle Benutzer immer prüfen, ob der neue Kontakt bereits existiert. Für die Prüfung können die Benutzer die Suche oder die Filterfunktion in der Kontaktansicht nutzen.

Wenn ein Benutzer das Recht zum Import von Datensätzen besitzt, lässt sich zudem eine Prüfung auf Dubletten beim Import durchführen.

Das bedeutet: Die Datensätze in der Import-Datei werden mit den Datensätzen im CRM abgeglichen.

Der Benutzer entscheidet, nach welchen Kriterien die Dubletten-Prüfung durchgeführt wird. Beispielsweise sind Datensätze dann Dubletten, wenn die Datensätze denselben Namen ODER dieselbe E-Mail-Adresse besitzen:

1CRM System hat 4,76 von 5 Sternen 30 Bewertungen auf ProvenExpert.com