Dann denke ich wäre Punkt 1. (wie oben beschrieben) das richtige für das WaWi. Denn bei Punkt 2 bräuchten diese auch ein Benutzer.
Denke dass das WaWi dann mit der API die auch das Backend (Administrationpanel) benutzt umgeht. Dieses bräuchte dann bestimmt lesen & schreiben Rechte (sind Checkboxen) und dazu den API Schlüssel sowie den Secret Token. (Beim speichern der Integration kannst du den Secret Token dir nie wieder anzeigen lassen, also irgendwo sicher speichern)