Hallo Herr Müller,

in unserer Informationsdatenbank steht Ihnen ein Leitfaden für das Einrichten anwendungsspezifischer Freigaben in der Nutzungskontrolle/Rechteverwaltung zur Verfügung.

Dieses Dokument bietet einen Überblick der Freigabe-Möglichkeiten in den verschiedenen DATEV-Programmen.

Leitfaden Nutzungskontrolle/Rechteverwaltung: Einrichten anwendungsspezifischer Freigaben

Viele Grüße aus Nürnberg

Jasmin Pfeifer

Service Betriebswirtschaftliche Basis

DATEVeG

Hallo Fr. Pfeifer,

zunächst Danke für den Hinweis auf das InfoDB-Dokument.  Ich werde mich in einer - nicht vorhandenen - ruhigen Minute mal mit dem InfoDB-Dokument im Detail beschäftigen. Nach dem ersten überschlägigen Blick, werde ich wieder beim Trial-and-Error-Verfahren landen.  Allerdings hätte ich mit diesem Dokument den SK 50012735 nicht verhindert.  Dieser und noch ein weiterer, den ich leider auf die Schnelle in der Masse der SK nicht finde, waren Anlass für meine Frage in die Community.

Möglicherweise hängen die Schwierigkeiten auch damit zusammen, dass wir als eine der ersten Kanzleien schon sehr früh umgestellt haben und daher noch "Altlasten" mit uns führen.

Dabei wäre es mein Wunschziel, dass die Benutzer- und Rechteverwaltung eine DSGVO-konforme Einrichtung der Arbeitsplätze/Mitarbeiterberechtigungen ermöglicht, ohne dass ich zuvor drei Präsenzseminare und zwei Onlineseminare und dann noch Dutzende von Handoutseiten gelesen habe.

Schöne Grüße nach Nürnberg

Andreas G. Müller

Hallo Andreas,

Du kannst nach der Umstellung von Nuko auf Rechteverwaltung es einfach mit dem AD koppeln. Habe hier https://www.bios-tec.de/imu00947-umstellung-datev-nutzungskontrolle-nuko-zur-datev-rechteverwaltung/ eine kleine Anleitung zum Umzug gemacht. Ich hoffe es hilft Dir weiter.

Viele Grüße

Thomas

Sehr geehrter Her Herzog,

Die Anleitung war für mich in meiner konkreten Situation wenig hilfreich, da ich bereits - gefühlt vor Ewigkeiten - auf die Benutzer- und Rechteverwaltung umgestellt habe. Allerdings habe ich bisher die "Feinsteuerung" der Rechte unterlassen.  Die Beschäftigung mit der DSVGO hat mich jedoch dazu gebracht, hier tiefer einzusteigen.

Meine Schwierigkeiten liegen weniger in der generellen Umstelleung als vielmehr in den Details; zum Beispiel:  was passiert, wenn ich den Zugriff auf das Aktenkonto sperre. Kann ich dann noch Zahlungsaufträge anlegen (aber eben nicht verbuchen)? Oder:  Bedeutet die Sperrung der Mandantennummer, dass ich dann auch nicht mehr mit den Mandanten arbeiten kann?

Dennoch Danke für den Hinweis.

mfg.

Andreas G. Müller

Hallo Herr Müller,

um sich bei der täglichen Arbeit von der einen oder anderen Tätigkeit nicht selbst auszuschließen, macht es Sinn, dass ein Rechte- und Rollenkonzept zu erstellt wird.

Gliedern Sie dazu die anfallenden Arbeiten in Einzelschritte (hier einzelne Rechte) auf und fassen Sie diese dann in Gruppen (=Rollen) zusammen.

Beispiele:

a) Lohnbuchhaltung = jeder darf Mandanten-Lohn tätigen, aber nur eine Person zusätzlich den internen Lohn

b) FiBu = Aufteilung nach Typ (denkbar) oder VIPs

c) Zahlungen = Grenzen nach Betrag bzw. Workflow ("Bestellung-Sichtung-Zahlung")

Das klingt anfangs umfangreich, ist es meist aber nicht wirklich. Es kommt auch darauf, ob in einem Workflow gearbeitet werden soll (z.B. Vorbereiten - Prüfen - Absenden/Buchen).

Es lässt sich so zum Beispiel eine Rolle "Azubi", "Praktikant oder "Prüfer" erstellen und bei Bedarf zuweisen.

Damit hängt ein Recht nicht mehr an einer Person, sondern an einer Rolle, die dann von einer Personen eingenommen wird.

Mit freundlichem Gruß

Michael Schreiner

Sehr geehrter Herr Schreiner,

Die Idee ist natürlich gut, aber es hapert an den zur Verfügung gestellten Werkzeugen mit ihren nicht konfigurierten Grundeinstellungen.

Welche Grundeinstellungen bräuchten wir (kumulativ zuordenbar)

Positionen der Kanzlei:

- Administrator

- Geschäftsleitung

- Sekretariat

- StB (Rewe, Lohn, Steuern, BiBer, Wirtschaftsprogramme usw.)
- Lohn / FiBu (wobei hier nicht getrennt wird)
   - es muß einfach alles funktionieren, was die Mitarbeiter benötigen,
     incl. schreibgeschützter Blick in diverse Programme.

   - Administrative Dinge müssen aber gesperrt bleiben.

- Sozialversicherungsprüfer

- Betriebsprüfer

- online aufgeschaltete Mandanten (und da muß die Zugangskontrolle echt funktionieren...)
  ohne daß man über Hintertürchen "Bestandsdienste, Adressaten, usw." irgend etwas einsehen oder gar exportieren könnte.

Dann gäbe es noch "Mandantengruppen"

- Eigenmandat

- Privatmandate (nur für einzelne Mitarbeiter sichtbar)

- aktive Mandanten

- inaktive Mandanten

- Auswahl für BP

zuletzt Filter:

- alle Jahre

- max 10 Jahre (Gerade bei Personalarchiven)

- max 3 Jahre (z.B. FiBu & Lohn)

- "Prüfungszeitraum" MMJJ - MMJJ

Wenn es hier sinnvolle Vorbelegungen gäbe, die sich bei jedem DATEV- Update aktualisieren würden, ließe sich alles binnen 1/2 Stunde unfallfrei konfigurieren und man könnte sicher sein, daß alles OK ist. So bleibt aber "Jugend forscht" und man findet immer wieder Tricks, wie man auf Daten kommt, die eigentlich gesperrt sein sollten.

Hi,

wir haben zwar erst letztes Jahr auf die BRV umgestellt, aber seit es die Nuko-Freigabeprinzip gibt, diese installiert und uns damit "angefreundet".

Leider gibt es bei dem Freigaben (auch unter der BRV) nicht alle Rechte. In der Konsequenz sind dann u.U. Funktionen gesperrt, die nicht gesperrt sein sollten...

Beispiel: In der Fibu/OPOS-Schnittstelle EO comfort nach Rechnungswesen gibt es die Funktion "Buchungssatz ändern". Für die Funktion gibt es kein Sperr-/Freigaberecht. Im Sperrprinz konnte ein Mitarbeiter einen BS ändern. Im FP hiingegen gibt es das Recht nicht zur Freigabe und somit ist die Funktion für den MA nicht mehr erreichbar...

Hier sind m.E. die einzelnen Anwendungsentwicklungen (Rewe/Lohn/etc.) bei DATEV gefordert der neuen BRV und dem Freigabeprinzip (FP) mehr Rechnung zu tragen. Aus Admin-Sicht kann es nur mit dem FP eine wirkungsvolle BRV geben. Dann müssen aber auch ordentliche Dokumentationen in die Info-DB, welche Rechte wo zu administrieren sind.

Für Admins wäre es z.B. mega, wenn mit einem "Maus-over" in einer Anwendung auch das passende Recht in einem Tooltip angezeigt würde...

Was den logischen Aufbau bei uns angeht, so haben wir das Recht an einem Mandanten (Nummer) und die Programmfunktionen in getrennten Gruppen definiert. D.h. über Gruppen bekommt ein MA Rechte z.B. den Arbeitsplatz zu öffnen und über weitere Mandantengruppen dann auch das Recht Mandanten zu sehen. Das führt allerdings auch mittlerweile zu ca. 240 Gruppen, da für einzelne Mandate eigene Gruppen eingerichtet werden müssen...

Grüße

Chr.Ockenfels

Hallo Herr Ockenfels,

Danke für Ihren interessanten Hinweis. Zu folgendem Punkt:

...

Was den logischen Aufbau bei uns angeht, so haben wir das Recht an einem Mandanten (Nummer) und die Programmfunktionen in getrennten Gruppen definiert. D.h. über Gruppen bekommt ein MA Rechte z.B. den Arbeitsplatz zu öffnen und über weitere Mandantengruppen dann auch das Recht Mandanten zu sehen. Das führt allerdings auch mittlerweile zu ca. 240 Gruppen, da für einzelne Mandate eigene Gruppen eingerichtet werden müssen...

Ich gehe davon aus, dass sich diese Rechte ("Mandantengruppen" - wahrscheinlich individuell ausgestaltet) je auf ein neu anzulegendes Mandat (evtl. gleicher Typ, quasi als Vorlagen-Profil) übertragen/kopieren ließen(?). Das wäre dann eine Lösung mit der man unter diesen Umständen/Möglichkeiten leben könnte.

Gruß

Michael Schreiner

Hallo Herr Schreiner,

...

Was den logischen Aufbau bei uns angeht, so haben wir das Recht an einem Mandanten (Nummer) und die Programmfunktionen in getrennten Gruppen definiert. D.h. über Gruppen bekommt ein MA Rechte z.B. den Arbeitsplatz zu öffnen und über weitere Mandantengruppen dann auch das Recht Mandanten zu sehen. Das führt allerdings auch mittlerweile zu ca. 240 Gruppen, da für einzelne Mandate eigene Gruppen eingerichtet werden müssen...

Ich gehe davon aus, dass sich diese Rechte ("Mandantengruppen" - wahrscheinlich individuell ausgestaltet) je auf ein neu anzulegendes Mandat (evtl. gleicher Typ, quasi als Vorlagen-Profil) übertragen/kopieren ließen(?). Das wäre dann eine Lösung mit der man unter diesen Umständen/Möglichkeiten leben könnte.

Leider nein... Aber das Kopieren wäre eine nette Programmerweiterung....

Wir haben als erstes in in einer Mandantengruppe die allgemeinen Mandate definiiert (Beispiel: 10.000 bis 10499 | 10501 bis 69999). Jedes Mandat (10500), welches dort nicht enthalten ist oder im späteren Verlauf "entfernt" wird, bekommt eine eigene Gruppe. D.h. neue Mandate innerhalb des "erlaubten" allgemeinen Bereichs sind allen Gruppenmitgliedern direkt zugäniglich. Wenn das bei einem neuen Mandat verhindert werden soll, muß der Freigabebereich entsprechend angepasst und eine neue Mandantengruppe hinzugefügt werden. Ist für Admins schon Aufwand, lässt sich aber nicht wirklich verhindern.

Wenn die Nuko eine Funktion "Gruppen in Gruppen" hätte, wäre das deutlich einfacher...

Da wäre dann der Wunsch, dass für jedes neue Mandat direkt eine eigene Gruppe angelegt wird, diese wird dann in die allgemeine Mandatsgruppe Mitglied oder bestimmte Mitarbeiter würden entsprechend berechtigt. (Ein Traum...).

Was uns hier auch noch fehlt, sind Komentarfelder, die auch lang genug sind. Rechtezeitfenster (wenn nur in einem bestimmten Zeitraum an diesem Mandat gearbeitet werden darf). u.s.w.

Grüße

Chr.Ockenfels

Hallo Herr Herzog,

wir müssen auch von der Nuko auf die Rechteverwaltung umstellen, allerdings ist unser Server in keiner Domäne, sondern in einer Arbeitsgruppe. Wir haben mittlerweile eine AD. Kann ich den Server ohne Weiteres in die Domäne packen, oder muss ich bei DATEV noch etwas einstellen/beachten? Vielen Dank und mfg Michael Jacobs