Meta for Business: Berechtigungen, Rollen und sicherer Zugriff

27.02.2026

Co-founder & CTO

Expert in Software automation and client onboarding

Meta for Business: Berechtigungen, Rollen und sicherer Zugriff

Wenn du Kunden auf Meta verwaltst, ist der schnellste Weg zu einem schnellen Erfolg, die richtigen Personen beim ersten Mal mit dem richtigen Zugriff auszustatten. Zu viele Berechtigungen erhöhen das Risiko. Zu wenige blockieren Starts, Tracking und Abrechnung. Diese Anleitung erklärt, wie Meta for Business-Berechtigungen tatsächlich funktionieren, welche Rollen du für typische Agenturaufgaben zuweisen solltest, und wie du Zugriff sicher hältst, ohne das Onboarding zu verlangsamen.

Ein übersichtliches, vereinfachtes Diagramm, das das Meta Business-Zugriffsmodell zeigt: eine Business-Entität in der Mitte mit Pfeilen zu Personen, Partnern und System-Benutzern. Vermögenswerte rund um den Rand umfassen Ad Accounts, Seiten, Instagram-Konten, Pixel, Kataloge und Domains. Beschriftungen zeigen Business-Rollen auf Business-Ebene und granulare Rollen auf Asset-Ebene an.

Meta's Zugriffsmodell in einfachen Worten

Meta Business-Zugriff hat drei Ebenen, die zusammenarbeiten:

Business-Rollen, die auf Business-Ebene festgelegt werden. Admin-, Employee- und Finance-Rollen, die kontrollieren, wer Einstellungen, Personen und Zahlungen verwalten kann.
Asset-Berechtigungen, die auf spezifische Assets festgelegt werden. Zum Beispiel Ad Account Admin, Advertiser oder Analyst. Seiten und Kataloge haben ihre eigenen Rollensätze.
Wie du Personen, Partner und System-Benutzer verbindest. Personen sind menschliche Benutzer, Partner sind Unternehmen, denen du Asset-Zugriff gewährst, und System-Benutzer sind Service-Konten, die von Apps oder Servern verwendet werden.

Zwei Grundprinzipien prägen sichere Setups:

Verwende Partner-Zugriff für Agenturen, nicht Business Admin im Kundenbetrieb. Der Kunde behält das Eigentum, und die Agentur erhält begrenzte Berechtigungen.
Folge dem Prinzip der minimalen Berechtigung. Gewähre nur das, was die Rolle benötigt, dann erhöhe vorübergehend, wenn die Arbeit es erfordert.

Für Rollendefinitionen und offizielle Scopes siehe das Meta Business Help Center. Ein guter Ausgangspunkt ist der Abschnitt "Rollen und Berechtigungen" im Help Hub unter Meta Business Help Center.

Rollen-Rezepte nach Jobfunktion

Verwende diese grundlegenden Vorlagen und erhöhe nur wenn nötig.

Funktion	Business-Rolle	Ad Account	Seite	Instagram	Pixel	Katalog	Commerce oder Abrechnung
Media Buyer	Keine im Client Business, verwende Partner-Zugriff	Advertiser standardmäßig, Admin nur während Migrationen	Advertiser oder aufgabenbasierter Ads-Zugriff	Zuordnung zum Ad Account für die Verwendung in Anzeigen	View oder Edit, wenn sie Events verwalten	Advertiser zur Verwendung in Kampagnen	Kein Zugriff
Creative oder Social	Keine im Client Business, verwende Partner-Zugriff	Keine, wenn nicht Boosting via Ads Manager	Editor oder aufgabenbasiertes Publishing und Moderation	Content und Messaging-Zugriff	View	View	Kein Zugriff
Analyst	Keine im Client Business, verwende Partner-Zugriff	Analyst	Nur Insights	Nur Insights	View	View	Kein Zugriff
Developer oder Tracking	Keine im Client Business, verwende Partner-Zugriff	Keine, wenn nicht QA-Reporting erforderlich	Keine	Keine	Admin oder Editor je nach Anforderungen für Conversions API	Keine	Kein Zugriff
Finance	Finance Analyst oder Editor, nicht Business Admin	Admin, wenn sie Zahlungsmethoden verwalten	Keine	Keine	Keine	Keine	Finance Analyst zum Anzeigen von Rechnungen oder Finance Editor zum Verwalten von Zahlungen

Anmerkungen:

Seiten haben sowohl klassische Rollen als auch aufgabenbasierter Zugriff in der neuen Seiten-Experience. Gewähre nur die erforderlichen Aufgaben, wie Anzeigen erstellen oder Insights anzeigen.
Instagram-Konten sind normalerweise mit Ad Accounts für Ad-Nutzung verlinkt. Gewähre keinen breiten Verwaltungszugriff, wenn die Person nicht mit Content oder Nachrichten umgehen.
Pixel und andere Datenquellen haben View- oder Verwaltungsrechte. Halte Verwaltungsrechte eng, da dies das Konfigurieren von Events und das Freigeben von Daten umfasst.

Partner-Zugriff vs. People-Zugriff

Verwende Partner-Zugriff, wenn du als externe Agentur arbeitest. Dies hält den Kunden in der Kontrolle und lässt dich Assets präzise scoped.

Partner-Zugriff ist normalerweise sicherer und schneller, weil:

Der Kunde mehrere Assets an einem Ort zuweisen kann.
Du vermeidest, dutzende externe E-Mails als People im Client Business hinzufügen zu müssen.
Offboarding ist eine einzige Aktion: Entferne den Partner, und die Agentur verliert sofort alle Asset-Zugriffe.

Wann du stattdessen People hinzufügen solltest:

Interne Mitarbeiter des Kunden oder Auftragnehmer, die effektiv als interner Stab funktionieren.
Kurzfristige Fehlerbehebung, wenn Partner-Routing blockiert ist. Entferne den Zugriff sofort danach.

Siehe das Meta Business Help Center für die neuesten Schritte, um einen Partner hinzuzufügen und Assets zuzuweisen.

Sichere Zugriffs-Checkliste vor dem Start

Bestätige, dass die Business-Verifizierung und der Primary Admin des Kunden eingerichtet sind.
Aktiviere Two-Factor Enforcement für das Business. Erfordere 2FA für alle mit Zugriff.
Verbiete gemeinsame Logins. Jeder Benutzer muss ein benanntes Konto haben, das an eine Geschäfts-E-Mail gebunden ist.
Erfasse Asset-IDs im Voraus. Business ID, Ad Account ID, Seiten-URL oder ID, Pixel ID, Katalog ID, Domain-Status.
Definiere Standard-Berechtigungsrezepte pro Rolle. Improvisiere nicht während des Kickoff.
Trenne Abrechnungsautorität von Kampagnenverwaltung. Finance handhabt Zahlungsmethoden, nicht Media Buyer.
Plane Offboarding vor dem Onboarding. Dokumentiere, wer Zugriff entfernt und wo du die Änderung protokollierst.

Für How-to-Schritte zur sicheren Einrichtung siehe unseren Begleitleitfaden: Meta Business Setup: Sichere Zugriffs-Schritte für Agenturen.

Asset für Asset: Die richtige Berechtigung zum Anfordern

Ad Accounts

Admin, vollständige Kontrolle über Kampagnen, Personen und Abrechnung. Verwende nur wenn nötig, zum Beispiel während Umstrukturierungen oder Abrechnungsänderungen.
Advertiser, kann Kampagnen und Assets erstellen und verwalten, kann Abrechnung nicht ändern oder Benutzer hinzufügen.
Analyst, nur Ansicht für Reporting, Audits und QA.

Empfohlen: Media Buyer sind standardmäßig Advertiser. Analysten sind Analyst. Finance erhält Admin, wenn sie Zahlungsmethoden hinzufügen oder verwalten.

Facebook Seiten

Seiten unterstützen klassische Rollen und aufgabenbasierten Zugriff. Für Agenturen ist aufgabenbasierter Zugriff klarer.

Vollständige Kontrolle, ähnlich wie klassischer Admin, reserviert für Client-Besitzer.
Teilkontrolle, wähle Aufgaben wie Content erstellen, Nachrichten moderieren, Anzeigen erstellen, Insights anzeigen.

Empfohlen: Gewähre Creative oder Social die Aufgaben, die sie brauchen, und gewähre Media Buyer die Create ads-Aufgabe, wenn erforderlich.

Instagram-Konten

Oft als Identität für Anzeigen verwendet. Weise das Instagram-Konto dem Ad Account zu und gewähre Content- oder Messaging-Zugriff nur, wenn die Person Community Management handhabt.

Pixel und Events Manager

Verwalte oder Edit-Zugriff lässt Benutzer Events ändern, Conversions API-Quellen konfigurieren und Daten mit Ad Accounts teilen.
View lässt Benutzer Signale sehen und Probleme diagnostizieren, ohne Event-Konfiguration zu ändern.

Empfohlen: Developer erhalten Verwaltungs- oder Edit-Zugriff je nach Bedarf. Media Buyer benötigen normalerweise nur View.

Kataloge

Admin verwaltet Items, Feeds und verbundene Assets.
Advertiser verwendet den Katalog in Kampagnen.

Empfohlen: Weise Advertiser für die Nutzung dynamischer Anzeigen zu. Reserviere Admin für das Merchandising- oder Dev-Team.

Domains

Stelle sicher, dass Domains verifiziert und dem korrekten Business zugeordnet sind. Beschränke, wer Event-Priorität oder Verifizierungseinstellungen ändern kann.

Apps und Developer-Zugriff

App-Rollen befinden sich auf Meta for Developers, nicht nur in Business Settings.

App-Rollen umfassen Administrator, Developer und Tester. Weise diese nur benannten Benutzern zu.
Verwende System User für Server und CAPI, nie einen persönlichen Token.

Siehe die Conversions API-Dokumentation auf der Meta Developer-Website für aktuelle Implementierungsvorgaben.

Developer und Conversions API, der sichere Pfad

Follge diesem Muster für dauerhaftes, prüfbares serverseitiges Tracking:

Erstelle oder verwende eine Business-eigene App. Vermeide persönliche Apps für Produktionsdaten.
Füge einen System User in Business Settings hinzu, dann weise Pixel und relevante Assets zu.
Erzeuge einen Token für den System User mit nur den Scopes, die deine Integration braucht.
Speichere den Token in einem Secret Manager, rotiere nach einem definierten Plan, und kopiere niemals Tokens in Chat oder E-Mail.
Bevorzuge Gateway- oder verwaltete Integrationen, die Token-Verbreitung reduzieren und Logging zentralisieren.
Protokolliere jede Konfigurationsänderung. Wer Tokens erstellt, wer Events ändert, wann und warum.

Für mehr Details beginne mit der Meta Developers Conversions API-Übersicht.

Governance, die skaliert, ohne Teams zu verlangsamen

Quartalsweise Zugriffsprüfungen: Exportiere eine Liste von Benutzern, Partnern und Asset-Rollen. Entferne alles, das nicht durch einen aktiven Scope of Work gerechtfertigt ist.
Minimale Berechtigung standardmäßig, dann vorübergehende Erhöhung für Migrationen oder Audits. Downgrade, wenn die Aufgabe abgeschlossen ist.
Aufgabenteilung: Abrechnung und Zahlungen sind getrennt von Kampagnenerstellung. Pixel-Administration ist getrennt von Media Buying.
Änderungsprotokollierung: Erfasse, wer neuen Zugriff angefordert, genehmigt und gewährt hat.
Offboarding: Entferne Partner-Zugriff, entferne Personen und deaktiviere System-User-Tokens. Dokumentiere jeden Schritt.

Für ein schrittweises Operational Playbook siehe Facebook Business Manager Access: Client Onboarding Checklist.

Branchennote: Regulierte Kunden

Einige Branchen haben erhöhtes Compliance-Risiko, zum Beispiel Gesundheitswesen, Finanzen oder Transport. Wenn du für Flotten oder Logistik wirbst, halte Compliance-Anbieter getrennt von Ad-Zugriff und verwende autorisierte Anbieter für Filings. Für Highway Use Tax würde ein Beispiel die Verwendung eines IRS-autorisierten Form 2290 e-filing Anbieters für Schedule 1 sein, während du minimale Berechtigung bei Meta Assets bewahrst. Unterschiedliche Systeme, unterschiedliche Berechtigungen, klare Audit Trails.

Häufige Zugriffs-Blocker beheben

Du kannst nicht zu einem Ad Account hinzugefügt werden: Prüfe, ob das Ad Account von einem anderen Business als erwartet besessen wird oder ob es seine Benutzergrenze erreicht hat. Der Kunde muss Assets möglicherweise zuerst beanspruchen oder konsolidieren.
Seiten-Aufgaben sind ausgeblendet: Bestätige, dass die Seite die neue Seiten-Experience verwendet und dass der zuweisende Benutzer vollständige Kontrolle über die Seite hat.
Pixel nicht sichtbar in Events Manager: Bestätige, dass das Pixel vom Client Business besessen wird, teile es dann mit dem Ad Account und zugewiesenen Personen oder Partner.
Abrechnungsbearbeitung verweigert: Stelle sicher, dass der Benutzer entweder Ad Account Admin oder die Business Finance Editor-Rolle hat, je nachdem, was geändert wird.
Conversions API-Fehler über Berechtigungs-Scopes: Regeneriere den System-User-Token mit den erforderlichen Scopes und bestätige, dass der System-User dem Pixel und Ad Account zugewiesen ist.

Wenn das Problem wie ein Plattform-Bug aussieht, bereite Asset IDs, Screenshots und Timestamps vor, dann kontaktiere Meta-Support über das In-Product Help Center. Unser Navigating Facebook Ad Support Playbook deckt Eskalationsschritte und Case-Verwaltung ab.

Ein Agentur-Onboarding-Call in einer modernen Büroumgebung: zwei Teammitglieder überprüfen eine Live-Checkliste auf einem Laptop, die Business ID, Ad Account ID, Seiten-Zugriff, Pixel-Zugriff und 2FA-Status auflistet. Ein Client-Stakeholder nimmt auf einem zweiten Bildschirm per Videocall teil.

Ein zweiwöchiger Rollout-Plan, der Geschwindigkeit und Sicherheit behält

Woche 1: Fundamente

Definiere deine Berechtigungsrezepte pro Rolle für Meta-Assets und speichere sie in deinem SOP.
Aktiviere 2FA Enforcement in jedem Client Business und bestätige Business-Verifizierung.
Inventarisiere Assets und IDs. Beanspruche oder verifiziere Domains und Pixel nach Bedarf.

Woche 2: Ausführung

Fordere Partner-Zugriff vom Kunden an und füge deine ID und die Liste der Assets und zuzuweisenden Rollen bei.
Implementiere Conversions API mit einem System User und dokumentiere Token-Handhabung.
Führe eine Zugriffstrockenübung durch. Validiere, dass jede Rolle ihre Aufgabe end-to-end abschließen kann.
Plane einen 15-minütigen Verifizierungsanruf vor dem Start. Behebe Lücken live.

Wo Connexify passt

Connexify verwandelt dieses Playbook in eine wiederholbare, One-Link-Experience, die Clients tatsächlich abschließen.

One-Link Client Onboarding: Sende einen einzigen, gebrandeten Link, der IDs erfasst und den Client zum Gewähren von Partner- oder Asset-Zugriff in Minuten leitet.
Gebrandete Onboarding-Experience: Behalte das Aussehen und Verhalten deiner Agentur.
Unterstützt mehrere Plattformen: Kombiniere Meta mit Google, TikTok, Pinterest und mehr.
Anpassbare Berechtigungen: Richte unseren Flow an deine Rollen-Rezepte und Scopes of Work an.
White-Label-Optionen: Mache Onboarding wie native zu deiner Agentur.
API und Webhook-Integrationen: Pushe Asset-Metadaten und Zugriffsstatus in dein CRM oder PM-Tools.
Benutzerfreundliches Dashboard: Verfolge, wer Zugriff auf was hat, mit Live-Status.
Sichere Datenbehandlung: Keine gemeinsamen Credentials und keine lokalen Installationen.
Keine Installation erforderlich und eine kostenlose 14-Tage-Testversion, damit du die Eignung schnell validieren kannst.

Erforsche, wie Agenturen Setup von Tagen auf Minuten komprimieren, in unserem Leitfaden How Facebook Advertising Agencies Cut Onboarding Time.

Häufig gestellte Fragen

Was ist der Unterschied zwischen Business-Rollen und Asset-Berechtigungen? Business-Rollen regeln, was ein Benutzer auf Unternehmensebene tun kann, zum Beispiel Personen, Einstellungen oder Zahlungen verwalten. Asset-Berechtigungen regeln, was ein Benutzer innerhalb eines spezifischen Assets tun kann, zum Beispiel Kampagnen in einem Ad Account erstellen oder auf einer Seite veröffentlichen.

Wann sollte eine Agentur ein Partner sein statt eine Person? Verwende Partner-Zugriff für fast alle Agenturbeziehungen. Es hält das Eigentum beim Kunden, lässt dich mehrere Assets schnell zuweisen und macht Offboarding zu einer einzigen Aktion. Füge People nur für internes Personal oder enge, kurzfristige Fehlerbehebung hinzu.

Wer braucht Ad Account Admin? Nur Benutzer, die Abrechnung verwalten, Benutzer hinzufügen oder entfernen oder Accounts umstrukturieren. Media Buyer brauchen tagtäglich selten Admin. Advertiser plus ein klarer Elevationsprozess ist sicherer.

Wie halten wir Conversions API-Tokens sicher? Verwende eine Business-eigene App mit einem System User, weise nur erforderliche Assets zu, speichere Tokens in einem Secret Manager und rotiere nach einem Plan. Verwende niemals persönliche Tokens in der Produktion und teile niemals Tokens in Chat oder E-Mail.

Was ist der schnellste Weg, um Zugriff vor dem Start zu validieren? Veranstalte einen kurzen Verifizierungsanruf mit dem Kunden. Teile Bildschirm, bestätige, dass jede Rolle ihre Aufgabe ausführen kann, und behebe Lücken live. Das Connexify-Dashboard hilft dir, fehlende Berechtigungen vor dem Anruf zu sehen.

Wie oft sollten wir Zugriff audieren? Quartalsweise ist eine gute Grundlinie. Audiere schneller nach Teamänderungen, Scope-Änderungen oder Kampagnenpausen.

Schnell starten, sicher bleiben

Gib deinem Team den Zugriff, den sie brauchen, ohne Client-Sicherheit zu gefährden. Connexify macht es einfach: ein gebrandeter Link für deine Clients, anpassbare Berechtigungen für deine Scopes, sofortige Sichtbarkeit für dein Team. Starte eine kostenlose 14-Tage-Testversion oder buche eine Demo, um zu sehen, wie schnell sicherer Zugriff sein kann.