Die aufwändigste Lösung ist ein Berechtigungskonzept.

Die Daten-Lib's werden für *PUBLIC *EXCLUDE gesperrt.
Es muss ein sog. Application-User erstellt werden (ohne Anmeldung), der die ausschließlichen Rechte erhält.

Alle Programme, die auf die Daten zugreifen müssen als Eigner den Application-User bekommen und zur Laufzeit diesen Eigner erben (CHGPGM).

Für explizite ODBC-Zugriffe können dann Lib's mit entsprechenden Views (nicht LF's!) eingerichtet werden.
Diese Views können dann die Daten z.B. auch vorselektieren.

Probleme wird es sicherlich geben, wenn User mit WRKQRY o.ä. umgehen.

Die etwas teurere Lösung ist tatsächlich der Einsatz einer Sicherheitssoftware wie z.B. PCSACC/400_BUSCH&PARTNER, SOFTWARE.

Hier kannst du auf vielen Ebenen die Kontrolle durchführen.

Schließlich sollen ja die 5250-Anwendungen weiterlaufen und hierzu benötigt jeder User nun mal die Datenrechte.