Hi, wie schonmal in einem anderen Threed dargelegt, haben wir für ca. 250-Mitarbeiter eine recht anspruchsvolle und umfangreiche Struktur.

Den Kern dieser Struktur haben wir aber auch schon kleineren Kanzleien zum Einsatz gebracht, da es aus unserer Sicht die angenehmste Variante darstellt.

1. strikte Anwendung des Freigabeprinzips

2. strikte Freigabe von Rechten nur durch Gruppen, keine individuelle Rechte auf einzelnen Benutzern

3. Trennung von Funktion und Mandanten

D.h. es gibt Gruppen zu DATEV-Anwendungen, aber ohne Mandantenbezug. Damit könnte zwar der DATEV-Arbeitsplatz geöffnet werden, aber es sind keine Mandanten zu sehen.

In anderen Gruppen werden einzelne Mandanten oder Mandantengruppen/-bereiche freigegeben.

Damit lassen sich dann Gruppenbezeichnungen wählen, aus der die enthaltenen Rechte schon zu entnehmen sind. So lassen sich bei neuen Benutzern schnell Rechtesets vergeben.

Beispiele:   

FP_DATEV_Allgemein --> DATEV-Arbeitsplatz, notwendige leistungserstellende Anwendungen (Rewe, Lohn, Steuern, etc).

FP_<zentrale_Mandantennummer> --> Freigabe für einzelne Mandanten

FP_Mandanten_allgemein --> all die Mandanten, welche für alle Mitarbeiter freigegeben sind (Bsp: 10000 bis 30000 / Kanzleifibu auf 1000 und somit nicht sichtbar).

Im Best Case haben normale Mitarbeiter somit mind. 2 Gruppen um die "normalen" Mandanten zu bearbeiten. Wenn nun Mandate einen Sonderstatus bekommen, Bsp. Mandant 15500, wird die allgemeine Gruppe entsprechend angepasst:

Freigabe 10000 bis 15499 und 15501 bis 30000.

Für die 15500 gibt es dann eine Einzelgruppe, die dann nur den entsprechenden Mitarbeitern zugewiesen wird.

Grüße

Chr.Ockenfels

die Frage ist ja auch welche Prinzip möchte ich verfolgen.
Bei Herrn Ockenfels z.B. gilt bestimmt das Prinzip, dass nur das "Team" die Freigaben erhält für ihre Bereiche, die es auch nur benötigt. Zum einen minimiert man hierdurch Fehlerquellen und schafft Sicherheit. Das kann durchaus seine Vorteile haben und Frage.

Man kann auch den Mitarbeitern fast alle Freiheiten geben. (ohne Admin, und private Buchführung). Somit kann jeder Mitarbeiter zur Not überall aushelfen. Dies ist aber wie gesagt in jeder Kanzlei und immer vom eigenen Prinzip abhängig. Mir wäre die oben genannte Struktur zu eng. Das anfertigen der Richtlininen ist nicht das schlimme, sondern eher dass ich bestimmte MA aus Bereichen entferne.

Seitens DATEV gab es doch mal die Ankündigung, bestimmte "Schablonen/Vorlagen" auszuliefern. Das wurde dann m.E. auch immer wieder verschoben. Oder gab es da mittlerweile schon mal etwas?

Habe das irgendwie nicht mehr so auf der Agenda....

Das soll wohl über Rollen realisiert werden. Zumindest wurde es so angekündigt...

Wie dann die Umsetzung genau aussieht, werden wir sehen...

Chr.Ockenfels

@christian ockenfels

Danke für die ausführliche Darstellung Ihrer BRV-Struktur.

Für unser kleines Steuerbüro (derzeit 23 Mitarbeiter) erscheint mir eine solche Struktur als zu aufwändig in der Erstellung, Pflege und Überwachung.

Für xx Benutzer braucht man nicht xx Gruppen.

Aber es wird sowieso sehr viele unterschiedliche Konzepte und Lösungen geben. Vermutlich ist die BRV das 'Kreativzentrum' der Datev-Welt

Mich würde interessieren, ob die diversen unterschiedlichen BRV-Strukturen mit den 'Bordmitteln' der Datev auch überwachbar sind.

Ich verliere sowohl beim Ausdruck der 'effektiven Rechte' als auch beim CSV-Export völlig den Überblick.

Wie gesagt, wir haben pro Benutzer eine Excel-Tabelle (csv) mit jeweils 2835 Zeilen.

andreashofmeister​

die von Ihnen erwähnten "Schablonen/Vorlagen" oder eine Art 'Datev-Benutzer-Profile' wären auch aus meiner Sicht erforderlich und hilfreich.

VG

Michael Vogtsburger

Mich würde interessieren, ob die diversen unterschiedlichen BRV-Strukturen mit den 'Bordmitteln' der Datev auch überwachbar sind.

Was verstehen Sie unter "Bordmittel"?

Anscheinend (ich entnehmen das mal der bisherigen Resonanz hier) gab und gibt es noch keine der angekündigten "Schablonen/Vorlagen" (wie eben angekündigt) durch DATEV.

Vielleicht gibt es ja mal einen "Stand der Dinge" aus dem Hause DATEV dazu?

Ist ja mittlerweile auch über ein Jahr her.

Ansonsten führt diese Anforderungsdiskussion hier m.E. zunächst ins Leere. Da nichts von DATEV diesbezüglich passiert....

Ihrer Vorstellung, Herr Vogtsburger, das ganze als Export per CSV zu erzeugen und diesen dann nach Modifikation wieder einzulesen, möchte ich mal als ganze nette Idee einordnen. Mehr aber auch nicht....

Immerhin erhält diese Idee das Hofmeister-Prädikat "nett".

... besser als nichts ...

Wie soll das verstanden werden?

Mir sind die Kommentare von Datev- und von Netzwerk-Routiniers eben wichtig.

Und wenn Sie als Datev- und IT-Spezialist einen Vorschlag, eine Frage oder eine Idee nicht gleich 'verdammen', ist mein Beitrag immerhin diskussionswürdig.

Angenehmer als eine CSV-Export-(Import-)Schnittstelle wäre mir natürlich eine direktere Bearbeitungsmöglichkeit der BRV-Datenbank.

VG

Michael Vogtsburger

Nachtrag:

Die interaktive Bearbeitung eines weitverzweigten 'Rechte-Baums' mit vielen, vielen Verästelungen ist mir einfach zu unübersichtlich

Angenehmer als eine CSV-Export-(Import-)Schnittstelle wäre mir natürlich eine direktere Bearbeitungsmöglichkeit der BRV-Datenbank.

Dafür gibt es doch die Möglichkeit mittels graphischer Oberfläche namens "Rechteverwaltung". Das die aufgrund der Komplexität der Anforderungen vieler Benutzeranforderungen (die es ja schon aus der NuKo-Zeit gab) recht unübersichtlich ist, nun ja. Aber eine direkte Bearbeitung mittels SQL-Statements? Nein danke!

Vielleicht richten Sie Ihren Wunsch mal an die entsprechende Fachabteilung? Die Antwort darauf dürfte hier viele interessieren.

Wie gesagt, es wäre sicherlich vielen geholfen, wenn DATEV endlich mal "Mustervorlagen" auf den Markt bringt, so wie das bei Einführung der Schulungen zur BRV auch kundgetan wurde. Vielleicht äußert sich dazu ja mal ein DATEV-Fachmann? Das wäre ja schon mal ein Gewinn an Informationen!

Und, nicht aus den Augen verlieren: wann erfolgt eigentlich der endgültige (Zwangs)Umstieg von der Sperr- in die Freigabelogik (oder war es umgekehrt....)?

In meinem Hinterkopf steht noch, dass bei der Umstellung von der NUKO auf die BRV auch vom Sperrprinzip auf das Freigabeprinzip umgestellt wird .

Die Frage ist nur: Kann ich meinem Gedächtnis trauen ??

Hi,

DATEV hat bei der Nuko-Freigabeprinzip (Version 4.x) schon erkannt, dass ein assistentgestützter Umstieg von Sperrprinzip auf das Freigabeprinzip nicht funktioniert.

Insofern wird DATEV m.E. weiterhin den Hybridansatz weiterverfolgen. Primär Freigabeprinzip incl. möglicher "Gegensperren". Somit konnten auch die Netze umgestellt werden, die sich mit der Thematik gar nicht auseinandergesetzt haben (oder wollen). Dort wird es m.E. zu Problemen kommen, wenn neue Benutzer angelegt werden (fehlende Zuweisung der Gruppe "alle Rechte").

Das dürfte aber auch wieder durch "menschliches" Versagen kompensiert werden... Die einzelnen Rechner/Benutzer werden einfach PC01, PC02, etc. benannt oder wurden so benannt. Somit keine Personalisierung der Rechte notwendig, da aus der Vergangenheit übernommen...

Fakt ist: Rechtedefinierung und das dazugehörige Konzept ist nicht einfach.

Ob hier ein Export nach Excel, etc hilfreich ist, muss der Einzelne für sich entscheiden, ich würde es nicht machen. Die neue Rechteverwaltung zeigt pro Benutzer/Gruppe die gesetzten Rechte an. Und wenn strikt Freigabe genutzt wird, ist die Symbolik in der Rechteverwaltung vollkommen ausreichend. Dazu kommen noch die Abfragemöglichkeiten.

Die Kernfrage ist doch: Was will ich gegenüber Mitarbeitern schützen? Mandantendaten oder Programmfunktionen. Mehr gibt es doch eigentlich nicht. Insofern verweise ich nochmal auf unser Konzept. Im BestCase hat ein normaler Mitarbeiter zwei Gruppen und ist glücklich. Bei allen anderen kann ich allein an den Gruppenbezeichnungen ablesen, was er darüberhinaus darf.

Grüße

Chr.Ockenfels

Danke Herr Ockenfels,

Ihre BRV-Struktur wirkt sehr gut durchdacht. Sie haben wahrscheinlich schon VOR dem 'Umzug' von der NUKO in die BRV viel Arbeit und Zeit in die Planung der neuen BRV- Rechtestruktur gesteckt.

Bei uns war es eher eine 'Zwangsumsiedlung' von der 'kuscheligen' NUKO in die neue Welt der BRV, mit den entsprechenden Start- und 'Sprachschwierigkeiten'.

Mich hatte in einem anderen Thread sehr irritiert, dass der Administrator einer großen Kanzlei nach den Aktualisierungen Ende Dezember (DVD 12.1, per DFÜ-Download) umfangreiche Rechteänderungen festgestellt hat.

Ich werde auch bei uns die Änderungsprotokolle in der BRV unter die Lupe nehmen.

Vielleicht ist es ja so, dass bei der Installation neuer Programmversionen erst sämtliche Rechte auf die alten Programme und deren Programmfunktionen entfernt und nach Installation auf die neuen Programme und Programmfunktionen eingetragen werden. Hier könnten evtl. Fehler passieren.

Momentan erscheint es mir am sinnvollsten, vorwiegend mit Globalrechten zu arbeiten.

VG

Michael Vogtsburger

Hi,

korrekt, wir haben bereits 2-3 Jahre vor der BRV das Nuko-Freigabeprinzip bestellt und installiert. Nach Installation haben wir die bestehenden Sperrrechte bei allen Mitarbeitern stehen lassen. Beide Welten haben sich schon damals nebeneinander vertragen,

Dann sind wir hergegangen und haben die Struktur Freigabe aufgebaut. Leidtragend waren dann Azubis bzw. dann auch neue Mitarbeiter, die in das Freigabeprinzip überführt wurden. Nach ca. 2 Jahren haben wir die bestehenden Mitarbeiter nach und nach ebenfalls umgestellt.

Durch den Umstieg auf die BRV wurde dann auch das aktive Freigabeprinzip übernommen.

Das sich Rechte durch Updates komplett verschieben, konnten wir noch nicht beobachten. Fakt ist aber, dass durch die Entwicklung durchaus neue Freigabemöglichkeiten hinzugefügt werden. Diese müssen nachgepflegt werden und werden ggf. nicht automatisch freigeben.

Grüße

Chr.Ockenfels

Hallo Herr Vogelsberger,

ich zähle auch zu denjenigen, die die BRV administrieren und sich eine bessere Visualisierung der Rechtevergabe nach erfolgter Administrierung wünschen, da man mit dem Thema zu selten beschäftigt ist..

Obwohl ich als Vertreterrat auch an Anschüssen und Work Shop´s zur Beratung der Datev teilnehme bzw. teilgenommen habe, erkenne ich immer wieder Defizite, die es abzustellen gilt.

Aus der Diskussion ergibt sich, dass sicherlich ein Übergang vom Sperr- auf das Freigabeprinzip sinnvoll gewesen wäre. Ich befürchte, dass dies in vielen Fällen nicht passiert ist, weil viele Kanzleien Angst vor dem Eingriff in laufende Systeme haben könnten. Insbesondere ist dies unerfreulich, wenn Sie gruppenbezogen mit Globalsperren in "Leistungsprodukten" gearbeitet haben und in den "EO-Pordukten" wie bspw. FuB mit Ordnungsbegriffssperren arbeiten mussten ( Dok.Nr. 1003158).

Haben Sie die Ordnungsbegriffe dann auf allen Ebenen gesperrt, damit die gruppenbezogenen globalgesperrten Mandantendaten im Bereich des Bescheidabgleichs, der elektronischen Rückübertragung der Bescheiddaten geschützt sind?

Wie lösen Sie das Problem in der elektronischen Kommunikation bei Herabsetzungsanträgen und Einsprüchen?

Sicherlich ist dies im Freigabe-Prinzip leichter zu administrieren, aber auch hier müssen die aus Sicht der Globalsperren geschützten Mandantendaten in der Freigabe-Logik der Ordnungsbegriffe nachjustiert werden. Der Ordnungsbegriffs muss eigentlich für öffentlich zugängliche Daten für ALLE sichtbar bleiben, während die darunterliegenden Daten gruppenbezogen freigegeben werden müssen oder aber umgekehrt bei verharren im Sperrprinzip auf den darunterliegenden Ebenen gesperrt werden müssten.

Wenn man dann noch alte DMS-Kanzleien aus einer ACL Logik kommend und evtl. über ein Single-Sign-On in Kombination mit dem Windows-User nachdenkt, halte ich eine lösungsorientierte Diskussion für absolut dringend.

Ich werde für unsere Kanzlei zuerst die DMS Strukturen reorganisieren/ modernisieren / verschlanken. (problematisch wird hier vorausschauendes Wissen zum Datev DMS zu implementieren)  Anschließend werde ich die BRV neu aufbauen und dem o.g. Rollenmodell folgen, indem die erste "Rolle" alle MA und die geringsten Rechte enthält. Die oberste "Rolle" die geringste Anzahl von MA aber die größte Anzahl von Rechten beinhaltet. Ich hoffe auf eine in diese Richtung denkende Visualisierung der Rechte durch Datev. Bis dahin kann ich dann zumindest für jeden MA Gruppenzugehörigkeiten und die daraus summierten Freigaben erkennen.

mit kollegialem Gruß

Axel Schmitt

wir machen alles mit Gruppen (ausser absoluten Sonderwünschen wie: "Frau Maier soll die ESt von Frau Müller nicht sehen können weil die ihre Vermieterin ist"...).

Jeder Sperrsachverhalt (ZMSD-Nummer, OB, Funktion) bekommt eine Gruppe zugewiesen (1001OB123456/80000 oder 1002SteuernBeraterstammdatenÄndern) und jeder neue Benutzer wird erst mal in ALLE Sperrgruppen aufgenommen. Wenn später festgestellt wird dass der einen bestimmten VIP Mandanten oder bestimmte Programmfunktion DOCH braucht nimmt man ihn aus der Gruppe raus.

So ist sichergestellt dass alle neuen User mit minimalen Rechten anfangen und dass man einfach die Frage "wer kann Mdt XY sehen" (nämlich alle die NICHT in der entsprechenden Gruppe sind) beantworten.

Freigabeprinzip machen wir nur bei Prüfer, Praktikant usw.

Viele Grüße, Ulrich Wurst

Hallo Herr Wurst,

Ihre Rechtestruktur wirkt sehr 'schlank', übersichtlich und transparent.

Gefällt mir !  Passt auch auf unsere Verhältnisse.

Bei uns gibt es auch einige Querverbindungen zwischen Mandanten und Mitarbeitern, die man berücksichtigen muss, z.B. verwandtschaftliche Beziehungen.

Manchen Mandanten ist es auch wichtig, exklusiv von einzelnen Mitarbeitern betreut zu werden. Einige VIP-Mandanten würden am liebsten sogar völlig unsichtbar sein.

@Axel Schmitt

Danke für das Feedback.

Das "Rollenmodell" klingt interessant und 'gut skalierbar', wäre bei uns aber wahrscheinlich überdimensioniert.

(übrigens, über eine Namensänderung habe ich noch nicht nachgedacht)

Viele Grüße

Michael Vogtsburger

Hallo Herr Wurst,

ich denke, dass die größte Zahl der Anwender die o.g. Anforderungen (nur Gruppen, keine Einzelrechte usw einhalten wird) Insofern gehe ich bei meinen Schilderungen immer von einer Gruppenstruktur aus.

Meine Frage:

administrieren sie die OB Sperren, bei neu hinzu tretenden Funktionalitäten einzeln neu?Bsp: Adressdatendaten des Mdt sollen sichtbar sein, Sperre bei Leistungsprodukten wie ESt, USt usw. Wie lösen sie das Problem, dass nicht berechtigte MA die, für den Bescheidabgleich abgegebenen, Daten aus EST in FuB sehen können. wie lösen Se das Problem, dass bei elektronischem Einspruch oder Herabsetzungsantrag nicht berechtigte MA dies nicht sehen?

Haben sie dazu eine Empfehlung gefunden, wie man den OB auf Ebene der Schnittstelle EST zu FuB oder aber für elektronischen Einspruch und Herabsetzungsantrag administrieren sollte?

Das wäre die Frage im Sperrprinzip.

Wenn ich es richtig verstehe,  müssten im Freigabeprinzip die hinzukommende neue Funktionalitäten freigegeben werden, was  zumindest eine Datenschutzverletzung verhindern/minimieren würde. Nach meiner Kenntnis ist es aber auch hier so, dass die Freigabe auf Ebene der Leistungsprodukte (EST USt usw) nicht auf die Schnittstelle der EO-Produkte (FuB ) durchwirkt und dann dort ebenfalls über den OB freigegeben werden muss. Haben Sie hierfür eine Empfehlung, die möglichst schlank ist?

@Michael Vogelsberger

Das summierende Rollensystem kann zu Beginn auch auf eine geringe Anzahl von Rollen begrenzt werden. Betitelt man diese Rollen "sprechend" kann man bei jedem MA die Summe der Rollen/Gruppen erkennen. Für mich ein Vorteil. Benötigt man weitere Rechte erstellt man eine neue Rolle und ordnet sie dem/den MA zu. Geht schlank und schnell.

Viele Grüße

Schmitt

Hallo Herr Wurst,

ich denke, dass die größte Zahl der Anwender die o.g. Anforderungen (nur Gruppen, keine Einzelrechte usw einhalten wird) Insofern gehe ich bei meinen Schilderungen immer von einer Gruppenstruktur aus.

Meine Frage:

administrieren sie die OB Sperren, bei neu hinzu tretenden Funktionalitäten einzeln neu?Bsp: Adressdatendaten des Mdt sollen sichtbar sein, Sperre bei Leistungsprodukten wie ESt, USt usw. Wie lösen sie das Problem, dass nicht berechtigte MA die, für den Bescheidabgleich abgegebenen, Daten aus EST in FuB sehen können. wie lösen Se das Problem, dass bei elektronischem Einspruch oder Herabsetzungsantrag nicht berechtigte MA dies nicht sehen?

Haben sie dazu eine Empfehlung gefunden, wie man den OB auf Ebene der Schnittstelle EST zu FuB oder aber für elektronischen Einspruch und Herabsetzungsantrag administrieren sollte?

Das wäre die Frage im Sperrprinzip.

Wenn ich es richtig verstehe,  müssten im Freigabeprinzip die hinzukommende neue Funktionalitäten freigegeben werden, was  zumindest eine Datenschutzverletzung verhindern/minimieren würde. Nach meiner Kenntnis ist es aber auch hier so, dass die Freigabe auf Ebene der Leistungsprodukte (EST USt usw) nicht auf die Schnittstelle der EO-Produkte (FuB ) durchwirkt und dann dort ebenfalls über den OB freigegeben werden muss. Haben Sie hierfür eine Empfehlung, die möglichst schlank ist?

Hallo Herr Schmitt, in der Regel sperren wir keine ZMSD Nummern, nur OB der leistungserstellenden Programme und Dokorg/DMS Daten. im Bereich FuB ist dann eher das Programm selbst gesperrt als einzelne Mandanten über deren ZMSD Nummer.

Sobald ZMSD Sperren gesetzt sind sind die Auswertungen der EO (zumindest unter EO comfort) untragbar langsam so dass wir da möglichst nichts sperren

Viele Grüße, Ulrich Wurst

Hallo Herr Vogtsburger,

die neue BRV beruht AUSSCHLIESSLICH auf dem Freigabeprinzip - ihr Gedächtnis ist also völlig ok.

ABER: um den Umstieg vom bisherigen Sperrprinzip reibungslos hinzubekommen, gibt es eine Gruppe „alle Freigaben“ in der nach dem Umzug alle die bisher nach dem Sperrprinzp angelegten User und deren „Gegensperren“ drin sind. Das ist allerdings nur auf den ersten Blick eine Genaue Abbildung des Sperrprinzips. Neue Programme oder Funktionalitäten, die nach der Umstellung auf BRV hinzukommen sind auch in dieser Gruppe „nicht administriert“ und damit NICHT freigegeben.

Auch wir arbeiten mit Freigabegruppen/rollen - die Funktionsbezogen sind und zueinander addiert werden können.

Basisrechte - braucht jeder

Fiburechte - braucht nur Fibusachberarbeiter

Fibu-Admin - braucht der Abteilungsverantwortliche Fibu

usw.

Aber glauben Sie ja nicht, dass die BRV- Administration jemals „Spaß“ machen wird. Sie ist im konkreten Fall sehr sehr unübersichtlich gelöst und aufgrund der früher EXtrem ausgeuferten Detailrechte mit weit über 7000 Einzelrechten kaum zu überblicken.  Aber das ist nicht nur ein DATEV-Problem „Rechteverwaltung ist immer dann, wenn sie wirklich gelebt wird eine Herausforderung und komplett spassbefreit - immer dann, wenn’s dem Admin überhaupt nicht reinpasst fehlt ein wichtiges Recht!!!

... bin gerade auf ein (mir) neues Info-Dokument (LEXinform/Info-Datenbank online) gestoßen, das die wichtigsten Rechte in der 'Rechteverwaltung Online' m.E. sehr schön und übersichtlich erläutert

... Licht am BRV-Tunnel ...

Bravo, Datev !

Wenn ich jetzt noch ein entsprechendes Info-Dokument für die 'normale' Rechteverwaltung finde, nehme ich den Steuerknüppel wieder in die Hand

Michael Vogtsburger