Schreibrechte sind im Grunde einfach zu klären. Ein Benutzer braucht explizite Schreibrechte auf ein Business Objekt, um es ändern zu können.

Leserechte sind komplizierter, weil ein Business Objekt von anderen Business Objekten referenziert, bzw. verwendet werden kann. Ein volles Leserecht auf ein Business Objekt mit allen Details hat nur jemand, der ein explizites Leserecht auf das Business Objekt hat, genau wie bei den Schreibrechten. Was von dem Business Objekt darf aber jemand sehen, der es sich aus dem Kontext eines anderen Business Objektes anguckt?

Angenommen es gibt Mitarbeiter mit allen möglichen Detaildaten, wie z.B. dem Namen, der Personalnummer, der Gehaltsstufe, einer Organisationsrolle, usw. In der Projektverwaltung kann ein Mitarbeiter einem Projekt als Projektmitarbeiter zugeordnet werden. Es stellen sich nun zwei Fragen:

1. Welche Daten der zugeordneten Mitarbeiter darf jemand mit Leserechten im Projekt sehen?
2. Welche Mitarbeiter darf jemand mit Schreibrechten im Projekt auswählen, und was darf er zum Zwecke der Auswahl sehen?

Es stellt sich zudem die Frage, wer das bestimmt? Bestimmen das die Rechte aus dem Mitarbeiter Kontext, oder die aus dem Projekt Kontext? Um das zu klären, nehmen wir einfach mal an, dass der Mitarbeiter Kontext von dem Projekt Kontext nichts weiß, der Projekt Kontext aber vom Mitarbeiter Kontext abhängig ist, eben weil man Mitarbeiter einem Projekt zuordnen kann. Nun sollte es klar sein, dass die Rechte im Projekt Kontext bestimmen, was die Antworten auf die Fragen 1. und 2. sind. Der Projektkontext hat dabei die Möglichkeit, eigene Rechte zu definieren, oder aber die Rechte im Mitarbeiter Kontext zu verwenden, da dieser Kontext ja voraus gesetzt wird!