## Warum das zählt

Modulzugriff ist alles oder nichts: Wer Zugriff auf Security erhält, sieht jede Meldung; wer Outreach erhält, sieht jede Kampagne. Manchmal ist das zu weit gefasst. Eine sensible Meldung oder eine kritische Kampagne sollte nur für die wenigen Personen sichtbar sein, die daran arbeiten — und manche davon sollen sie *steuern* können, während andere nur *mitlesen*.

**Zugriff auf Elementebene** gibt Ihnen beide Stellschrauben an einem einzelnen Element:

- **Einschränken**: Nur handverlesene Teammitglieder (und Modul-Admins) sehen es.
- **Gewähren**: Jedes dieser Teammitglieder erhält eine Rolle — **Mitglied** zum Ansehen, **Lead** zum Steuern.

Das ist die feinste Zugriffsebene; sie setzt auf den beiden gröberen auf.

## Wie sich das in Rollen und Module einfügt

| Ebene | Geltungsbereich | Wo Sie sie festlegen |
|-------|-----------------|----------------------|
| [Team-Rolle](/docs/team-roles) | Das gesamte Konto | **Einstellungen → Team**, beim Mitglied |
| [Modulstufe](/docs/team-access-control) | Ein ganzes Produkt (Recruiting, Security, Outreach, Schulungen) | Die Modulmatrix |
| Zugriff auf Elementebene | Eine bestimmte Meldung oder Kampagne | Direkt am Element oder auf der Zugriffsseite des Mitglieds |

Diese Ebene besteht aus zwei unabhängigen Stellschrauben:

- **Die Einschränkung** bestimmt, *wer das Element sehen kann*. Ein offenes Element (der Standard) ist für alle mit Modulzugriff sichtbar; ein eingeschränktes Element sehen nur die berechtigten Personen und die Modul-Admins.
- **Die gewährte Rolle** bestimmt, *was eine berechtigte Person tun kann*, sobald sie das Element sieht.

> [!NOTE]
> Zugriff auf Elementebene erweitert die Möglichkeiten **innerhalb** eines Moduls — er ersetzt nie den Modulzugriff. Eine berechtigte Person braucht weiterhin mindestens die Stufe **Mitglied** für das Modul des Elements (Security für Meldungen, Outreach für Kampagnen), damit die Berechtigung wirkt. Ohne diese Stufe ruht die Berechtigung wirkungslos in der Zugriffsübersicht — bis Sie die Modulstufe anheben.

## Offen oder eingeschränkt

Jede Meldung und jede Kampagne startet **offen**: Alle mit Modulzugriff sehen sie, genau wie bisher. Die Einschränkung aktivieren Sie bewusst, Element für Element — an Ihren bestehenden Elementen ändert sich nichts, bis Sie sich entscheiden, eines davon abzuschirmen.

Öffnen Sie das Element und suchen Sie seinen Abschnitt **Zugriff**. Er zeigt, ob das Element offen oder eingeschränkt ist, samt einer Schaltfläche zum Umschalten:

- **Zugriff einschränken** — verbirgt das Element vor allen außer den berechtigten Personen und den Modul-Admins. Gewähren Sie den richtigen Personen zuerst (oder direkt danach) den Zugriff, damit niemand das Element aus den Augen verliert, der es braucht.
- **Einschränkung aufheben** — öffnet das Element wieder für alle mit Modulzugriff.

Nur **Modul-Admins** können ein Element einschränken oder wieder öffnen.

## Eine Rolle gewähren

Klicken Sie im selben Abschnitt **Zugriff** auf **Zugriff gewähren**, wählen Sie das **Teammitglied**, wählen Sie eine **Rolle** und bestätigen Sie mit **Gewähren**. Die neue Zeile erscheint sofort.

Was die jeweilige Rolle kann, hängt vom Element ab:

| | Berechtigung **Mitglied** | Berechtigung **Lead** |
|---|---|---|
| **Sicherheitsmeldung** | Sehen und mitarbeiten — bewerten, Nachrichten schreiben, teilen, Referenzen verknüpfen | Alles, was ein Mitglied kann, **plus** sichten, zuweisen und verwalten, wer sonst noch Zugriff hat |
| **Outreach-Kampagne** | Sehen (nur lesend) | Sehen, **plus** bearbeiten, aktualisieren und verwalten, wer sonst noch Zugriff hat |

Modul-Admins können immer gewähren. Auf einer Sicherheitsmeldung kann auch ein **Lead** gewähren — so holt sich ein Lead genau die Unterstützung dazu, die er braucht, ohne auf einen Admin zu warten.

## Von der Seite des Mitglieds aus gewähren

Wenn Sie ohnehin gerade eine Person vor sich haben — etwa weil Sie jemanden für ein bestimmtes Element aufstellen —, gewähren Sie den Zugriff stattdessen von dieser Seite aus. Gehen Sie zu **Einstellungen → Team → Teammitglieder**, öffnen Sie das Mitglied und klicken Sie über der Zugriffsübersicht auf **Zugriff gewähren…**. Wählen Sie die Meldung oder Kampagne, wählen Sie die Rolle und bestätigen Sie. Die Berechtigung landet sofort in der Übersicht; die Modulstufen der Person bleiben exakt, wie sie waren.

## Berechtigungen lesen und entziehen

Die [Zugriffsübersicht](/docs/team-access-control) auf der Seite eines Mitglieds listet alles, worauf die Person zugreifen kann. Jede Zeile auf Elementebene zeigt:

- **Gewährt von** — wer die Berechtigung angelegt hat; ein Audit bekommt so einen Namen, nicht nur ein Datum
- **Gewährt** — wann das passiert ist
- **via Modul-Admin** — eine Zeile mit diesem Hinweis ist keine individuelle Berechtigung: Die Person erreicht das Element, weil ihre Modulstufe Admin ist. Diese Zeilen haben keine Entziehen-Schaltfläche — um den Zugriff zu entfernen, senken Sie stattdessen die [Modulstufe](/docs/team-access-control).

Jede echte Berechtigung hat ihre eigene **Entziehen**-Schaltfläche — sowohl im Abschnitt **Zugriff** des Elements als auch in der Übersicht des Mitglieds. Das Entziehen entfernt nur dieses eine Element; Modulstufen und alle anderen Berechtigungen bleiben unberührt. Beim Offboarding entfernt **Zugriff entziehen** auf der Seite des Mitglieds jede Modulstufe *und* jede Berechtigung in einem Schritt, wie in [Zugriffssteuerung im Team](/docs/team-access-control) beschrieben.

## Kurz-Check

- [ ] Schränken Sie nur die Elemente ein, die wirklich einen kleineren Kreis brauchen — lassen Sie den Rest offen
- [ ] Gewähren Sie den richtigen Personen den Zugriff, **bevor** Sie einschränken, damit niemand mitten in der Arbeit den Zugriff verliert
- [ ] Verwenden Sie **Mitglied** für Personen, die nur mitlesen, und **Lead** für Personen, die das Element steuern
- [ ] Prüfen Sie, dass eine berechtigte Person mindestens die Stufe **Mitglied** für das Modul des Elements hat — sonst ruht die Berechtigung wirkungslos
- [ ] Lesen Sie beim Audit die Spalte **Gewährt von** — jede Berechtigung hat einen Verantwortlichen
- [ ] Suchen Sie bei „via Modul-Admin“-Zeilen nicht nach einer Entziehen-Schaltfläche — passen Sie stattdessen die Modulstufe an
- [ ] Denken Sie beim Offboarding daran: **Zugriff entziehen** entfernt alle Berechtigungen auf einmal