Все можно разрулить через Spring Security. Через Method Security Expressions. В базе у каждой записи должен быть owner_id — внешний ключ на владельца. Код из приведенного вами примера выглядел бы как то так:
@PreAuthorize("#group.owner == authentication.name")
public void updateGroup(GroupEntity group) {
//
}
