Berechtigungskonzept im Vertragsmanagement: Wer darf was?

Was ist ein Berechtigungskonzept im Vertragsmanagement?

Ein Berechtigungskonzept im Vertragsmanagement definiert, wer welche Verträge sehen, bearbeiten, freigeben und unterzeichnen darf. Es basiert auf dem Need-to-know-Prinzip und weist Zugriffsrechte Rollen statt einzelnen Personen zu.

Der Unterschied zwischen einem Unternehmen mit und ohne Konzept ist weniger eine Frage der Technik als der Struktur. Ohne Konzept wird Zugriff ad hoc vergeben: jemand fragt an, jemand schickt die Datei, und niemand weiß drei Monate später noch, wer eigentlich Zugriff hat. Mit einem Konzept sind Rollen definiert, Personen werden diesen Rollen zugewiesen, und eine Änderung ist transparent und nachvollziehbar.

Warum das rechtlich relevant ist: Die DSGVO verpflichtet Unternehmen in Art. 5 zur Datensparsamkeit. Zugriff auf personenbezogene Daten darf nur so weit vergeben werden, wie es für die jeweilige Aufgabe notwendig ist. Verträge enthalten fast immer solche Daten, sei es durch Vor- und Nachnamen von Ansprechpartnern, Gehaltsinformationen in Arbeitsverträgen oder Kontodaten in Zahlungsvereinbarungen. Wer keine dokumentierten Zugriffsrechte vorweisen kann, hat ein Compliance-Problem.

Die vier typischen Rollen im Vertragsmanagement

Im Vertragsmanagement braucht es mindestens vier Rollen: Ersteller für den Entwurf, Prüfer für das Review, Freigebender für die Genehmigung und Unterzeichner für die Signatur. Dazu kommen Lesezugriffe für angrenzende Abteilungen und externe Parteien.

‍

‍

Diese Rollen sind ein Ausgangspunkt, kein starres Schema. Wer in einem Unternehmen Verträge freigibt, hängt stark von Größe, Struktur und Vertragstyp ab. Ein NDA läuft anders als ein Enterprise-Kaufvertrag. Ein Lieferantenrahmenvertrag mit Preisvereinbarungen hat andere Schutzstufen als ein standardisierter Dienstleistungsvertrag. Das Konzept muss diese Unterschiede abbilden.

‍

Wichtig ist außerdem: Externe Parteien wie Kunden oder Lieferanten bekommen Lesezugriff ausschließlich auf ihren eigenen Vertrag. Nie auf andere Dokumente im System, nie auf interne Kommentare oder den Verhandlungsverlauf.

‍

Schritt für Schritt: Berechtigungskonzept aufsetzen

Ein Berechtigungskonzept für Vertragsmanagement entsteht in vier Schritten: Vertragstypen und Datensensitivität klassifizieren, Rollen definieren, Berechtigungen je Rolle festlegen und einen Prozess für Änderungen und Reviews dokumentieren.

‍

Schritt 1: Vertragstypen klassifizieren. Nicht alle Verträge brauchen das gleiche Schutzniveau. Ein NDA ist hoch vertraulich, ein Standardliefervertrag ist intern, ein Rahmenvertrag mit Preiskonditionen sehr hoch. Diese Klassifizierung bestimmt, welche Rollen überhaupt Zugriff auf den jeweiligen Vertragstyp bekommen. Wer sie nicht vornimmt, behandelt M&A-Unterlagen und allgemeine AGBs gleich, was beides falsch ist.

‍

Schritt 2: Rollen definieren, nicht Personen. Das ist der wichtigste konzeptionelle Schritt. Statt "Max Müller darf diesen Vertrag sehen" lautet die Regel: "Legal Reviewer darf alle Verträge im Review-Status sehen." Wenn Max das Unternehmen verlässt und Maria seinen Platz übernimmt, ändert sich nur die Rollenzuweisung. Das Konzept selbst bleibt stabil. Wer Zugriffsrechte an Personen statt Rollen knüpft, baut ein System, das bei jedem Personalwechsel manuell angepasst werden muss.

‍

Schritt 3: Rechte je Rolle und Vertragstyp festlegen. Für jeden Vertragstyp wird dokumentiert: Wer liest, wer bearbeitet, wer gibt frei, wer unterschreibt. Dabei ist der Status des Vertrags ein eigener Parameter. Ein Vertrag im Entwurfsstatus darf vom Ersteller bearbeitet werden. Derselbe Vertrag im Status "unterschrieben" sollte für niemanden mehr bearbeitbar sein, nur noch lesbar. Ein gutes System bildet das automatisch ab.

‍

Schritt 4: Review-Zyklus einplanen. Berechtigungen veralten schneller als man denkt. Mitarbeiter wechseln Rollen, treten aus, neue Teams und Standorte entstehen. Mindestens einmal pro Quartal lohnt es sich zu prüfen: Stimmen die Zuweisungen noch? Wer hat noch Zugriff, der ihn nicht mehr braucht? Dieser Review ist nicht nur Good Practice, er ist Teil der Rechenschaftspflicht nach DSGVO Art. 5.

‍

Die häufigsten Fehler beim Berechtigungskonzept

Die häufigsten Fehler: zu viele Personen mit Admin-Rechten, Zugänge nach Austritt nicht deaktiviert, Berechtigungen an Personen statt Rollen gebunden und kein dokumentierter Review-Prozess.

Drei konkrete Muster, die sich in der Praxis immer wieder zeigen.

Das erste ist das Sammelpostfach "vertraege@firma.de". Alle lesen mit, niemand ist verantwortlich, und es gibt keinen Audit Trail. Wenn es zum Streitfall kommt, ist nicht mehr nachvollziehbar, wer wann welche Version des Vertrags gesehen hat.

Das zweite ist der externe Berater mit dauerhaftem Vollzugriff. Er wurde für ein Projekt eingebunden, hat entsprechende Zugriffsrechte bekommen, und nach Projektende ist niemand auf die Idee gekommen, sie zu entziehen. Ein klassisches DSGVO-Risiko, das in Audits regelmäßig auffällt.

Das dritte ist die Geschäftsführung, die alles selbst unterschreibt. Bei zehn Verträgen im Jahr kein Problem. Bei zweihundert ist es der häufigste Grund dafür, dass der Vertragszyklus unnötig lang wird. Die Lösung ist nicht, der Geschäftsführung die Aufgabe zu nehmen, sondern Unterschriftsberechtigungen so zu verteilen, dass Standardverträge ohne GF-Involvement abgeschlossen werden können. Wie das digital geregelt wird, beschreibt der Artikel zur digitalen Unterschriftsberechtigung.

Was braucht ein System dafür technisch?

Technisch braucht ein Berechtigungskonzept im Vertragsmanagement rollenbasierte Zugriffskontrolle (RBAC), getrennte Berechtigungen je Vertragstyp und Vertragsstatus, ein Audit Log aller Zugriffe und eine einfache Verwaltung bei Rollenwechseln.

Hier ist der Unterschied zwischen verschiedenen Werkzeugen entscheidend.

Ein Shared Drive wie Google Drive oder SharePoint deckt Basiszugriff ab: Ordner können für bestimmte Personen freigegeben oder gesperrt werden. Was fehlt, ist statusabhängiger Zugriff (ein Vertrag im Entwurf verhält sich anders als ein unterschriebener), ein vollständiger Audit Trail für Vertragsaktionen und die Möglichkeit, externe Parteien strukturiert einzubinden, ohne ihnen mehr Einblick zu geben als nötig. Für Unternehmen mit wenigen, einfachen Verträgen kann das ausreichen. Wer aber dokumentieren muss, wer wann welche Version gesehen oder geändert hat, kommt damit an Grenzen, die ein Vertragsarchiv von einem echten System of Record unterscheiden.

Ein dediziertes CLM-System bildet Berechtigungen rollenbasiert und statusabhängig ab, loggt alle Aktionen automatisch und erlaubt es, externe Parteien gezielt einzuladen, ohne interne Strukturen offenzulegen. Das ist kein Luxus, sondern die Voraussetzung dafür, dass ein Berechtigungskonzept auch in der Praxis funktioniert und nicht zum Papiertiger wird.

DSGVO-Anforderungen kurz erklärt

Drei Punkte, die direkt auf Vertragsmanagement zutreffen und keine aufwendige Rechtsberatung brauchen, um verstanden zu werden.

Art. 5 DSGVO verpflichtet zur Datensparsamkeit: Zugriff auf personenbezogene Daten nur so weit wie nötig. Das ist der direkte gesetzliche Unterbau für das Need-to-know-Prinzip, auf dem jedes Berechtigungskonzept basieren sollte.

Art. 25 DSGVO fordert Privacy by Design: Das Zugriffskonzept muss von Anfang an mitgedacht werden, nicht als nachträgliche Korrektur. Wer ein CLM-System einführt und Berechtigungen erst nach dem Go-live konfiguriert, macht es rückwärts.

Die Rechenschaftspflicht schließlich verlangt, dass Unternehmen nachweisen können, wer wann Zugriff auf personenbezogene Daten hatte. Ohne Audit Log ist das nicht möglich. Das ist auch der Grund, warum Microsoft Copilot kein Berechtigungskonzept ersetzen kann: Er hat kein Gedächtnis zwischen Sessions, keinen Audit Trail und keine Rollenhierarchie.

FAQ

Ist ein Berechtigungskonzept für Vertragsmanagement gesetzlich vorgeschrieben? Nicht als eigenständiges Dokument, aber die DSGVO verlangt Datensparsamkeit und Rechenschaftsfähigkeit. Beides ist ohne ein dokumentiertes Zugriffskonzept kaum umsetzbar. Wer Verträge mit personenbezogenen Daten verwaltet — und das tut nahezu jedes Unternehmen — braucht ein klares Konzept, wer auf was zugreifen darf.

Was ist der Unterschied zwischen Berechtigungskonzept und Freigabe-Workflow? Das Berechtigungskonzept regelt, wer grundsätzlich auf welche Verträge zugreifen darf. Der Freigabe-Workflow regelt, in welcher Reihenfolge und unter welchen Bedingungen ein Vertrag genehmigt wird. Beides ist eng verzahnt: Wer im Workflow eine Freigabe erteilen darf, muss im Berechtigungskonzept die entsprechende Rolle haben. Eine strukturierte Anleitung dazu bietet der Artikel zum Freigabe-Workflow im Vertragsmanagement.

Wie granular sollte ein Berechtigungskonzept sein? So granular wie nötig, so einfach wie möglich. Fünf gut definierte Rollen sind besser als zwanzig überlappende. Wer zu granular wird, erzeugt Verwaltungsaufwand ohne echten Sicherheitsgewinn. Die Faustregel: Wenn für einen neuen Mitarbeiter unklar ist, welche Rolle er bekommt, ist das Konzept zu komplex.

Was passiert wenn ein Mitarbeiter das Unternehmen verlässt? Der Zugang muss sofort deaktiviert werden, nicht "wenn jemand Zeit hat". Das sollte Teil des Offboarding-Prozesses sein und idealerweise technisch abgebildet: Wenn eine Personenrolle auf "inaktiv" gesetzt wird, werden alle Zugriffsrechte automatisch entzogen. Manuell ist das fehleranfällig.

Brauche ich dafür ein spezielles Tool oder reicht ein Shared Drive? Für wenige Verträge ohne Compliance-Anforderungen kann ein Shared Drive reichen. Sobald mehrere Genehmiger involviert sind, externe Parteien eingebunden werden oder ein Audit Trail notwendig ist, sind Shared Drives strukturell überfordert.