Jeder TPSR Mitarbeiter¹⁾ kann eine oder mehrere Einrichtungsrollen erhalten. Hierbei handelt es sich um administrative Rollen, die den Zugang zu diversen Bereichen in der TPSR Anwendung regeln. Jede Rolle hat neben dem Namen einen Rang. Der Rang regelt den Zugriff auf die Mitarbeiterdaten untereinander. So kann ein Mitarbeiter mit einem höheren Rang als ein anderer Mitarbeiter auf dessen Daten lesend, bzw. schreibend zugreifen, aber nicht anders herum.

Leserechte werden immer für alle Mitarbeiterdaten vergeben. Hier wird nicht über den Rang eingeschränkt. Der Grund ist der, dass es Regeln für Mitarbeiterdaten gibt, so muss z.B. der Name und das Login²⁾ eindeutig sein. Wenn ein Mitarbeiter Schreibrechte auf andere Mitarbeiterdaten erhält, auch wenn diese auf Mitarbeiter mit niedrigeren Rängen eingeschränkt sind, so muss der Mitarbeiter doch alle anderen Namen und Logins sehen dürfen, damit er z.B. einen Mitarbeiter nicht doppelt anlegt, und auch nachvollziehen kann, wo ein Name bereits doppelt vergeben wurde.

Die Schreibrechte beinhalten einen Rang. Ein Einrichtungsleiter mit Rang 10 kann z.B. das Recht erhalten, die Daten aller Mitarbeiter mit Rang < dem eigenen Rang zu bearbeiten. Das heißt auch, dass er einem Mitarbeiter keine Rolle mit einem Rang ≥ 10 zuordnen kann, das kann dann z.B. nur der Administrator mit Rang 20.

Wenn ein Mitarbeiter neu angelegt wird hat er noch keine Rechte Rolle, und hat somit einen Rang von 0³⁾. Es gilt immer der höchste Rang aller vergebenen Rollen. Ein Mitarbeiter mit den Rollen Berater mit Rang 5, und Einrichtungsleiter mit Rang 10, hat somit den Rang 10.

Es kann auch sein, dass ein Mitarbeiter die Rolle Stellvertreter mit Rang 9 ohne Schreibrechte auf Mitarbeiterdaten hat, aber auch Betreuer mit Rang 5 ist, und über diese Rolle Schreibrechte auf Mitarbeiterdaten erhält. Da er diese Schreibrechte über die Rolle mit Rang 5 erhält, und nicht über die Rolle mit Rang 9, hat er auch nur Schreibrechte auf entsprechende Mitarbeiter mit einem Rang < 5, bzw. mit einem Rang ≤ 5.

Wenn ein Mitarbeiter Einrichtungsleiter ist, und keine Schreibrechte auf die eigenen Daten hat, und auch Teamleiter mit Schreibrechten auf die eigenen Daten, dann wäre der Einrichtungsleiter höherrangig als der Teamleiter, und der Mitarbeiter sollte keine Schreibrechte auf die eigenen Daten haben. Hier gilt aber nicht das Recht des höchsten Rangs. Für das Schreibrecht auf die eigenen Daten gilt, dass der Mitarbeiter dieses Recht über irgend eine beliebige Rolle erhält, unabhängig davon, welche Rechte er über höherrangige Rollen noch erhält.

Das Recht auf Team Zuordnungen ist kein Recht auf die Mitarbeiter Daten eines anderen Mitarbeiters, sondern ein Recht auf die Daten eines Teams⁴⁾, und wird im folgenden Abschnitt besprochen.

Man kann auf Einrichtungsebene Team Rechte vergeben. Hierüber erhält der Mitarbeiter Rechte auf alle Teams der Einrichtung. Man kann Team Rechte auch gezielt über Team Rollen vergeben, indem ein Mitarbeiter z.B. in einem oder mehreren Teams zum Betreuer oder Teamleiter gemacht wird. Ein Einrichtungsleiter wird i.d.R. aber Rechte für alle Teams erhalten, und anstatt dem Mitarbeiter dieses Recht in jedem Team zu vergeben, kann man es einmal auf Einrichtungsebene machen.

Eine Mitarbeiter Zuordnung in einem Team beinhaltet die Vergabe einer Team Rolle an den Mitarbeiter in dem Team. Ein Mitarbeiter kann in einem Team z.B. Teamleiter werden oder ein Betreuer, oder auch beides.

Einen Teamrolle hat wie die Einrichtungsrolle einen Rang. Es ist aktuell definiert, dass der Mitarbeiter nur Teamrollen eines niedrigeren Rangs vergeben darf, als der Rang der Rolle, über die dieses Recht vergeben ist⁵⁾. Es wird also z.B. davon ausgegangen, dass ein Teamleiter Betreuer anlegen darf, aber keine weiteren Teamleiter. Das macht der Einrichtungsleiter. Es handelt sich hier also strikt um eine Top-Down Rechtevergabe⁶⁾.

Muss ein Mitarbeiter, der das Recht hat, Mitarbeiter einem Team zuzuordnen, explizit noch ein Leserecht auf die Mitarbeiterdaten erhalten? Die Antwort⁷⁾ lautet nein. Über das Recht, Mitarbeiter einem Team zuordnen zu können, erhält der Mitarbeiter implizit ein Leserecht auf die Auswahlliste aller Mitarbeiter der Einrichtung. Nicht aber ein Leserecht auf die Details der Mitarbeiter.

Lese- und Schreibrechte auf Klientendaten können über eine Einrichtungsrolle vergeben werden, über eine Teamrolle⁸⁾, und über eine direkte Zuordnung als Betreuer⁹⁾. Man kann diese Rechte somit entsprechend entweder für alle Klienten der Einrichtung vergeben, für alle Klienten eines oder mehrerer Teams, oder ganz spezifisch für einen Klienten. Ein direkt zugeordneter Betreuer erhält dabei automatisch alle Lese- und Schreibrechte für den Klienten.

Damit eine Rolle, die z.B. lediglich Klienten anlegen soll, nicht aber die Fragebögen einsehen darf, wird getrennt zwischen dem Recht auf

• Details eines Klienten (Name, Status)
• Betreuer des Klienten (wer Schreibrechte auf die Betreuer hat, kann sich zum Betreuer machen und hätte somit auch implizit Schreibrechte auf die Bewertungen),
• Fragebögen des Klienten

Das sollte relativ selbsterklärend sein.