Strategie

Wer darf was im CMS?
Rollen, Rechte und das Vier-Augen-Prinzip

Sobald mehr als eine Person die Website pflegt, entscheidet eine meist unsichtbare Struktur darüber, wie sicher ein Betrieb seinen eigenen Auftritt im Griff behält: die Verteilung von Rollen und Rechten im Content-Management-System.

12 Min. Lesezeit25. Juni 2026

Solange nur eine Person die Website betreut, stellt sich die Frage nach Rechten nicht. Anmelden, Text ändern, veröffentlichen – fertig. Sobald aber eine zweite, dritte oder fünfte Person Inhalte bearbeitet, wird aus dieser Selbstverständlichkeit ein Organisationsthema: Wer darf nur entwerfen, wer freigeben, wer Seiten anlegen, wer an den technischen Einstellungen arbeiten?

Diese Struktur wird selten bewusst gestaltet. Häufig erhält jeder Beteiligte denselben Vollzugriff, schlicht weil das beim Aufsetzen am schnellsten von der Hand ging. Was als pragmatische Abkürzung beginnt, wird mit der Zeit zum Risiko: ein versehentlich gelöschtes Impressum, eine halbfertig veröffentlichte Seite, ein überschriebener Text. Nichts davon geschieht aus böser Absicht – es geschieht, weil niemand definiert hat, wer was darf. Im Folgenden ordnen wir, wie ein tragfähiges Rechtekonzept aufgebaut ist und in welcher Reihenfolge es entsteht.

Vom Zugang zur freigegebenen Veröffentlichung

Vier Stationen eines kontrollierten Redaktionsablaufs

1. Rolle
Person zuordnenRechte gebündeltNur das Nötige
Zugang
2. Entwurf
Inhalt erstellenBearbeitenEinreichen
Redaktion
3. Freigabe
PrüfenKorrigierenBestätigen
Vier-Augen
4. Live
VeröffentlichenVersioniertNachvollziehbar
Öffentlich

Jede Station ist an eine Rolle gebunden – niemand durchläuft alle vier allein

Warum Rechte zum Thema werden, sobald ein Team pflegt

Ein Content-Management-System trennt Inhalt von Technik: Redakteure pflegen Texte und Bilder, ohne in den Code einzugreifen. Genau diese Zugänglichkeit ist die Stärke des Systems – und zugleich der Grund, warum die Rechtefrage entsteht. Wenn das Bearbeiten leicht ist, ist auch das versehentliche Verändern leicht.

In einem Betrieb mit einer einzigen pflegenden Person fällt das nicht auf. Sie kennt die Seite, weiß, was wo steht, und trägt die Verantwortung allein. Kommen weitere Personen hinzu – die Assistenz pflegt Termine, das Marketing aktualisiert Texte, eine Aushilfe lädt Bilder hoch –, verteilt sich diese Verantwortung, ohne dass sie jemand bewusst zugeschnitten hätte. Jeder kann alles, also kann jeder auch alles falsch machen.

Ein durchdachtes Rechtekonzept kehrt das um: Jeder bekommt zugeschnitten die Befugnisse, die seine Tätigkeit tatsächlich braucht, und nichts darüber. Das hat nichts mit Misstrauen zu tun, es ist schlicht saubere Arbeitsteilung. Jemand, der ausschließlich Texte pflegt, muss nicht an die Systemkonfiguration heran; wer bloß Termine einpflegt, braucht keine Löschrechte für ganze Seiten. Diese Beschränkung schützt am Ende die Mitarbeitenden selbst – wo kein Zugriff besteht, kann auch nichts kaputtgehen.

Grundregel der Rechtevergabe

Räumen Sie jeder Person stets nur so viele Rechte ein, wie ihre Aufgabe wirklich verlangt. Nachträglich aufstocken lässt sich problemlos, sobald ein echter Bedarf auftaucht. Der Weg zurück dagegen – einmal Gewährtes wieder wegnehmen – trifft fast immer auf Widerstand und unterbleibt darum meist.

Die typischen Redaktionsrollen und was sie dürfen

Statt jeder Person einzeln Erlaubnisse zuzuweisen, arbeiten Content-Management-Systeme mit Rollen: benannten Profilen, die ein passendes Bündel an Rechten zusammenfassen. Die konkrete Bezeichnung unterscheidet sich je nach System, die Logik dahinter ist jedoch weitgehend einheitlich. Vier Rollen decken die meisten Betriebe ab.

  • Inhaltspflege (Autor): erstellt und bearbeitet eigene Inhalte, reicht sie zur Freigabe ein – veröffentlicht aber nicht selbst
  • Redaktion (Redakteur): bearbeitet alle Inhalte, gibt frei und veröffentlicht, verantwortet die inhaltliche Qualität der Seite
  • Verwaltung (Administrator): steuert Erweiterungen, Konfiguration und Benutzer – die technisch sensibelste Rolle, daher auf wenige Personen begrenzt
  • Lesezugriff (Betrachter): sieht den internen Stand, etwa zur Abnahme oder Kontrolle, ohne Eingriffsmöglichkeit

Der entscheidende Schnitt verläuft zwischen den ersten drei Rollen. Wer Inhalte pflegt, braucht keinen Zugriff auf Erweiterungen oder Benutzerverwaltung – das ist Sache der Verwaltung. Und wer einen Text schreibt, sollte ihn nicht zwingend selbst live schalten dürfen. Diese Trennung von Erstellen und Veröffentlichen ist der Kern des nächsten Abschnitts. Wie fein sich Rollen zuschneiden lassen, hängt von der technologischen Grundlage ab – ein Aspekt, den wir auf unserer Leistungsseite zur CMS-Entwicklung im Detail behandeln.

Das Vier-Augen-Prinzip: Freigabe statt Direktveröffentlichung

In vielen Abläufen eines Betriebs ist eine zweite Kontrollinstanz üblich – Zahlungen werden freigegeben, Verträge gegengelesen. Beim Veröffentlichen auf der Website fehlt dieser zweite Blick dagegen oft: Wer Zugang besitzt, stellt Inhalte unmittelbar online. Dabei erscheint die Startseite eines Unternehmens binnen Sekunden öffentlich und ist für jeden einsehbar.

Technisch lässt sich das Prinzip sauber abbilden. Die Redaktionsrolle darf Inhalte erstellen und zur Freigabe einreichen, aber nicht selbst live schalten. Eine zweite, dafür berechtigte Person prüft den Entwurf und veröffentlicht ihn. Aus einem unkontrollierten „sofort öffentlich" wird so ein bewusster Übergang – ohne dass jede kleine Änderung zur Verhandlung wird, denn der Freigabeschritt kostet Minuten, kein Tagewerk.

Wann sich der Freigabeschritt lohnt – und wann nicht

Längst nicht jede Anpassung braucht eine Gegenkontrolle. Eine berichtigte Telefonnummer darf sofort online; ein neuer Beitrag, eine überarbeitete Leistungsbeschreibung oder eine Pressemitteilung sind dagegen in guten Händen, wenn ein zweiter Blick daraufschaut. Gut konfigurierte Systeme erlauben diese Staffelung: Manche Inhaltsarten durchlaufen zwingend eine Freigabe, andere gehen ohne sie live. So greift die Kontrolle dort, wo ein Fehler nach außen sichtbar würde, und hält den Alltag schlank, wo kaum Risiko besteht.

Freigabe ist kein Misstrauen, sondern Entlastung

Ein definierter Freigabeschritt nimmt der erstellenden Person Druck: Sie muss nicht allein für jede Veröffentlichung geradestehen. Gleichzeitig entsteht eine nachvollziehbare Spur, wer einen Inhalt verantwortet hat. Beides stärkt die Zusammenarbeit, statt sie zu bremsen.

Was Rechte schützen: vom Impressum bis zur Live-Seite

Ein Rechtekonzept ist kein Selbstzweck. Es sichert konkrete, oft rechtlich relevante Bereiche der Website ab, bei denen ein Fehlgriff mehr kostet als eine kurze Korrektur.

Rechtliche Pflichtseiten

Impressum, Datenschutzerklärung und – wo vorhanden – AGB unterliegen gesetzlichen Anforderungen. Sie gehören zu den Inhalten, die nicht jede Redaktionsrolle bearbeiten können sollte. Ein versehentlich gelöschtes Impressum ist nicht nur ein leeres Feld, sondern ein abmahnfähiger Zustand. Der Schutz besteht aus zwei Schichten: eingeschränkter Bearbeitungszugriff und eine Versionshistorie, die jeden früheren Stand wiederherstellbar macht.

Struktur und Navigation

Das Anlegen, Verschieben und Löschen von Seiten verändert die Architektur der Website und damit auch ihre Auffindbarkeit. Eine gelöschte Seite, auf die intern und von außen verlinkt wird, erzeugt tote Verweise. Solche strukturellen Eingriffe gehören in die Hand der Redaktions- oder Verwaltungsrolle, nicht in jede pflegende Hand.

Technische Konfiguration

Erweiterungen, Designvorlagen und Systemeinstellungen entscheiden über Stabilität und Sicherheit der gesamten Installation. Hier kann ein einzelner falscher Klick die Seite für alle Besucher beeinträchtigen. Dieser Bereich bleibt der Verwaltung vorbehalten – und sollte selbst dort mit Bedacht und einer aktuellen Sicherung im Rücken betreten werden, wie wir im Beitrag zur Datensicherung nach der 3-2-1-Regel ausgeführt haben.

Typische Fehler bei der Rechtevergabe

Bei gewachsenen Installationen wiederholen sich dieselben Muster – unabhängig von Branche und Systemgröße.

1
Pauschaler Vollzugriff für alle

Jeder Account hat Administratorrechte, weil es bei der Einrichtung schneller ging

2
Geteilte Sammel-Logins

Ein gemeinsamer Zugang für mehrere Personen – niemand weiß, wer was geändert hat

3
Zugänge ausgeschiedener Personen bleiben aktiv

Nach dem Austritt nie deaktiviert – ein offenes Sicherheitsrisiko

4
Keine Freigabestufe

Jede Änderung geht sofort live, auch sensible Inhalte ohne Kontrolle

5
Pflichtseiten frei bearbeitbar

Impressum und Datenschutz für jede Rolle änderbar, ohne Schutz vor Löschung

6
Rechte nie überprüft

Einmal vergeben und vergessen – Zuständigkeiten haben sich längst verschoben

Die Punkte 1 bis 3 sind die schwersten – sie betreffen Sicherheit und Nachvollziehbarkeit, nicht nur die Bequemlichkeit im Alltag.

Häufiger Fehler:

Der geteilte Sammel-Login wirkt praktisch, kostet aber jede Nachvollziehbarkeit. Lässt sich eine fehlerhafte Änderung keiner Person zuordnen, ist weder Korrektur noch Klärung möglich. Persönliche Zugänge sind kein bürokratischer Mehraufwand, sondern die Voraussetzung dafür, dass eine Versionshistorie überhaupt aussagekräftig ist.

Wie ein Rechtekonzept entsteht

Ein Rechtekonzept wird nicht in einem Zug verordnet, sondern in einer nachvollziehbaren Reihenfolge entwickelt. Die folgenden Schritte funktionieren sowohl bei einer neuen Installation als auch bei der nachträglichen Ordnung einer gewachsenen Umgebung.

  1. Bestand erfassen: Wer verfügt derzeit über welche Zugänge und Rechte? Bereits diese Momentaufnahme legt überzogene Vollzugriffe offen.
  2. Tätigkeiten klären: Was tut jede Person tatsächlich an der Website – Texte pflegen, Bilder hochladen, Seiten anlegen, Einstellungen ändern?
  3. Rollen ableiten: Die ermittelten Tätigkeiten in einige wenige, klar umrissene Rollen zusammenfassen, anstatt pro Person ein eigenes Einzelprofil zu führen.
  4. Schutzbereiche festlegen: Pflichtseiten, Struktur und Konfiguration bewusst einem kleinen Kreis vorbehalten.
  5. Freigabestufe definieren: Festlegen, welche Inhaltstypen direkt live gehen dürfen und welche eine Freigabe durchlaufen.
  6. Umstellen ohne Betriebsstopp: Zuerst die neuen Rollen anlegen und vergeben – und erst im Anschluss die alten Pauschalrechte kappen, damit niemand unvermittelt blockiert ist.

Wer diese Schritte einmal sauber geht, hat eine Struktur, die auch spätere Personalwechsel übersteht. Sinnvoll ist, das Ergebnis schriftlich festzuhalten – vergleichbar mit den Festlegungen, die ein gutes Website-Briefing vor dem Projektstart trifft. Was ausschließlich im Kopf eines Einzelnen steckt, geht beim nächsten Personalwechsel verloren.

Wenn das Team wächst: Rechte mitwachsen lassen

Ein Rechtekonzept ist kein einmaliges Projekt, sondern eine laufende Aufgabe. Mit jedem neuen Mitarbeiter, jeder neuen Aufgabe und jedem Austritt verschiebt sich, wer welchen Zugang braucht. Bleibt diese Pflege aus, entsteht über die Jahre genau der Zustand, den das Konzept verhindern sollte: ein Geflecht aus Zugängen, das niemand mehr überblickt.

Zwei feste Abläufe halten die Zugänge in Ordnung. Zum Start bekommt jede Person genau die Freigaben, die ihre Rolle verlangt – und eben nicht das Maximum, das das System gerade hergibt. Scheidet jemand aus, wird der Zugang mit dem letzten Arbeitstag geschlossen, nicht erst irgendwann danach. Unterschätzt wird meist gerade das Zweite: Ein liegengebliebener Redaktionszugang mit weitreichenden Rechten steht wie eine offene Tür. Wie ein sauberes Offboarding über alle Systeme hinweg aussieht, behandeln wir im Beitrag Zugangs-Audit beim Mitarbeiter-Austritt.

Ergänzend lohnt ein regelmäßiger Kontrollblick – etwa jährlich: Welche Zugänge bestehen noch zu Recht, und bei wem hat sich die Aufgabe verschoben? Diese kurze Routine verhindert, dass aus einem geordneten Anfang über die Jahre wieder ein unübersichtlicher Stand wird.

Worauf bei der CMS-Wahl zu achten ist

Wie fein sich Rollen und Rechte zuschneiden lassen, hängt unmittelbar vom eingesetzten System ab. Manche Lösungen bieten nur grobe Stufen, andere erlauben eine genaue Steuerung bis auf einzelne Inhaltstypen und Seitenbereiche. Bei der Auswahl oder Weiterentwicklung eines Systems lohnt der Blick auf wenige, aber entscheidende Punkte.

Differenzierte Rollen statt Alles-oder-nichts

Das System trennt Inhaltspflege, Freigabe und Verwaltung sauber voneinander

Freigabe-Workflow vorhanden

Entwürfe lassen sich einreichen und durch eine zweite Person veröffentlichen

Versionierung je Seite

Frühere Stände bleiben erhalten und sind ohne Aufwand wiederherstellbar

Persönliche Zugänge und Protokoll

Jede Änderung ist einer Person zuordenbar, Sammel-Logins sind nicht nötig

Die technische Grundlage entscheidet mit, wie weit diese Steuerung reicht – von der klassischen Installation bis zum Headless CMS, das Inhalt und Ausspielung trennt. Welcher Aufbau zu einem Betrieb passt, ist weniger eine Frage der Größe als der tatsächlichen Pflege-Realität: Wie viele Personen arbeiten daran, wie oft ändern sich Inhalte, wie kritisch ist eine fehlerfreie Veröffentlichung?

Häufig gestellte Fragen

Klare Zuständigkeit ist die Grundlage sicherer Pflege

Ein Rechtekonzept klingt nach Verwaltung, ist aber im Kern eine Frage der Verantwortung: Wer eine Aufgabe an der Website trägt, soll genau die Mittel haben, die er dafür braucht – und ein zweites Augenpaar dort, wo eine Veröffentlichung nach außen wirkt. So bleibt die Pflege schnell, ohne fahrlässig zu werden.

Der Aufwand für diese Ordnung ist überschaubar und einmalig; der Aufwand, ein gelöschtes Impressum, eine verschobene Struktur oder einen offenen Altzugang im Nachhinein zu reparieren, ist es nicht. Wie sich Rollen, Freigaben und Schutzbereiche in einem konkreten System sauber abbilden lassen, behandeln wir auf der Leistungsseite zur CMS-Entwicklung.

ÜBER DIE AUTORIN
Dagmar Seebo, CEO von ProXWorks®Dagmar Seebo

Dagmar Seebo, B.A., ist seit 1999 im E-Commerce tätig. Als CEO von ProXWorks® verbindet sie über 27 Jahre Marketing-Erfahrung mit digitalem Know-how.

Die Inhalte entstehen unter redaktioneller Verantwortung und fachlicher Prüfung unter Einsatz moderner KI-gestützter Systeme.

Antwort in 1 Werktag

Wir prüfen in 1 Werktag, wie die Redaktionsrechte in Ihrem CMS verteilt sind – und wo ein unbeabsichtigter Eingriff Ihre Live-Seite gefährdet.

Rechte-Setup prüfen
ProXWorks® KI-News

KI im Arbeitsalltag – konkret statt abstrakt.

Wöchentlich ein Fachbeitrag, der zeigt, wo Künstliche Intelligenz heute echten Nutzen bringt. Jederzeit abbestellbar.

Zu den KI-News