Schreibrechte sind im Grunde einfach zu klären. Ein Benutzer braucht explizite Schreibrechte auf ein Business Objekt, um es ändern zu können.

Leserechte sind komplizierter, weil ein Business Objekt von anderen Business Objekten referenziert, bzw. verwendet werden kann. Ein volles Leserecht auf ein Business Objekt mit allen Details hat nur jemand, der ein explizites Leserecht auf das Business Objekt hat, genau wie bei den Schreibrechten. Was von dem Business Objekt darf aber jemand sehen, der es sich aus dem Kontext eines anderen Business Objektes anguckt?

Angenommen es gibt Mitarbeiter mit allen möglichen Detaildaten, wie z.B. dem Namen, der Personalnummer, der Gehaltsstufe, einer Organisationsrolle, usw. In der Projektverwaltung kann ein Mitarbeiter einem Projekt als Projektmitarbeiter zugeordnet werden. Es stellen sich nun zwei Fragen:

1. Welche Daten der zugeordneten Mitarbeiter darf jemand mit Leserechten im Projekt sehen?
2. Welche Mitarbeiter darf jemand mit Schreibrechten im Projekt auswählen, und was darf er zum Zwecke der Auswahl sehen?