Als E-Mail senden
0904065

1 Über dieses Dokument

Hier wird erläutert, welche Rechte für die DATEV-Programme möglich sind, wie man sie in der Rechteverwaltung vergibt und dass es wichtig ist, ein Berechtigungskonzept einzuführen.

2 Rechteverwaltung

Mit der Rechteverwaltung können Sie in Ihrer Kanzlei bzw. Betrieb differenziert und benutzerspezifisch die Nutzung von Daten (Ordnungsbegriffen) und installierten DATEV-Programmen sowie die Ausführung bestimmter Funktionen regeln (siehe "Erste Schritte Rechteverwaltung", Dok.-Nr. 0904180). Je nach installierter DATEV-Anwendung können sich die in der Rechteverwaltung dargestellten Rechte und deren Strukturen unterscheiden. Im Wesentlichen können Sie:

  • Zugriffe nicht berechtigter Personen auf DATEV-Programme und Daten verhindern

  • eine differenzierte benutzerbezogene Zugriffskontrolle innerhalb von DATEV-Programmen vornehmen

3 Freigabeprinzip

Die Rechteverwaltung arbeitet nach dem Freigabeprinzip. Das bedeutet, dass alle installierten DATEV-Programme und deren Funktionen zunächst nicht frei sind. Der DATEV-Benutzer kann kein Programm aufrufen, bevor der Rechte-Administrator ihm die erforderlichen Rechte gegeben hat.

Wenn der Benutzer nur die Rechte bekommt, die er für seine Aufgaben benötigt, und weil der Administrator explizit Freigaben erteilen muss, garantiert das Freigabeprinzip eine sehr große Sicherheit.

4 Rechtevergabe (Freigabe)

In der Rechteverwaltung werden die Berechtigungseinheiten ("Ressourcen"), die die Anwendungen anbieten, administriert (d.h. freigegeben oder gesperrt).

Die in der Rechteverwaltung administrierten DATEV-Benutzer und DATEV-Gruppen werden in der Benutzerverwaltung angelegt und verwaltet (siehe "Erste Schritte Benutzerverwaltung", Dok.-Nr. 0904179). Dort erhalten die DATEV-Benutzer auch ihre administrativen Rollen. Die Vergabe der Rechte geschieht dann in der Rechteverwaltung.

Die Rechtevergabe muss durch einen "Rechteadministrator" erfolgen. Diese Rolle hat in jedem Fall auch der Hauptadministrator.

Bei der Rechteadministration wirkt die "Vererbung" von Rechten. Das bedeutet: Wird eine übergeordnete Anwendung bzw. Programmgruppe freigegeben, gilt das gleichzeitig für alle untergeordneten Anwendungen. Das schließt jedoch die zusätzliche Administration von Rechten auf unteren Ebenen nicht aus. Die Vererbung der globalen Rechte kann nicht gelöscht, aber mit einer Sperre wieder eingeschränkt werden.

Benutzer, die identische Rechte benötigen (z.B. Sachbearbeiter oder Sekretariat), können zu DATEV-Gruppen zusammengefasst werden. Der Haupt- oder Benutzerkontenadministrator kann beliebig viele DATEV-Gruppen anlegen. Ein DATEV-Benutzer kann beliebig vielen DATEV-Gruppen gleichzeitig zugeordnet sein. Welche Gruppenbildung wann/wo sinnvoll ist, hängt von der Organisationsstruktur der Kanzlei ab.

An DATEV-Benutzer können individuelle Rechte vergeben werden - unabhängig davon, ob sie einer DATEV-Gruppe zugeordnet sind oder nicht. Das individuelle Recht überlagert dabei nicht das durch die Gruppenzugehörigkeit eingesetzte Recht.

Für jeden DATEV-Benutzer wirken additiv alle für seine DATEV-Gruppen bestehenden Rechte und seine individuellen Rechte. Freigaben können sowohl für einzelne DATEV-Benutzer als auch für eine DATEV-Gruppe geändert werden. Bei der Rechteprüfung ist es nicht relevant, ob der einzelne DATEV-Benutzer das Recht direkt oder durch Zuordnung zu einer DATEV-Gruppe erhalten hat.

5 Rechtestruktur

5.1 Administrierbare Ressourcen

In der Rechteverwaltung werden folgende Berechtigungseinheiten ("Ressourcen") verwendet:

  • Ordnungsbegriffe (Daten)

    Ein Ordnungsbegriff bezeichnet in diesem Zusammenhang Daten, die von DATEV-Programmen verwendet werden (z.B. Beraternummer/Mandantennummer).

  • Programme/Funktionen

    Danach richtet sich, in welchen Programmen bzw. in welchen Programmteilen der Benutzer mit welchen Funktionen arbeiten darf.

Alle Berechtigungseinheiten werden in der Rechteverwaltung in einer Baumstruktur dargestellt, wobei jeweils ein Knoten eine Berechtigungseinheit darstellt. Im Ordner Globalrechte werden Ordnungsbegriffe oder Funktionen programmübergreifend freigegeben. Die Freigabe im Kontext des Programms (programmspezifisch) erfolgt im Ordner Programmrechte:

5.2 Globalrechte

Durch Globalrechte werden Freigaben definiert, die programmübergreifend wirken sollen.

Mit Ordnungsbegriffen werden Daten in DATEV-Programmen strukturiert, indem sie für bestimmte Arbeitsbereiche festgelegt werden. So können vertrauliche Daten (z.B. Kanzlei-Mandate) geschützt werden.

Wenn Freigaben von Ordnungsbegriffen (Daten) nicht global, sondern nur für einzelne DATEV-Programme oder Funktionen gelten sollen, müssen die Ordnungsbegriffe unter den entsprechenden Programmen administriert werden.

5.2.1 Globale Ordnungsbegriffe

  • Berater/Mandant

Die Freigaben des Ordnungsbegriffs Beraternummer/Mandantennummer gelten nur für leistungserstellende Anwendungen.

Dieser Ordnungsbegriff wird nicht von allen DATEV-Programmen unterstützt (siehe "Globale Ordnungsbegriffssperren und –freigaben in der Rechteverwaltung", Dok.-Nr. 1010473).

Die Freigabe von Beraternummer/Mandantennummer gilt auch für davon abgeleitete Ordnungsbegriffe, die im programmspezifischen Kontext liegen. Zum Beispiel gilt die global Freigabe Beraternummer/Mandantennummer auch für Beraternummer/Mandantennummer/Personalnummer in der Personalwirtschaft.

  • Zentrale Stammdaten

Die Freigaben des Ordnungsbegriffs Zentrale Stammdaten wirken sich nur im Bereich Kanzleiorganisation (Programme der Eigenorganisation) aus.

5.2.2 Globale Programme

Die globale Freigabe von Programmen dient dazu, diese und ihre evtl. vorhandenen untergeordneten Funktionen anwendungsübergreifend freizugeben. Zum Beispiel kann das Programm Zurückschreiben in die Stammdaten für alle Anwendungen freigegeben werden.

5.2.3 Wirkungsweise der Rechte "Berater/Mandant" und "Zentrale Stammdaten"

Die Ordnungsbegriffe Beraternummer/Mandantennummer und Zentrale Stammdaten müssen zusammen freigegeben werden. Diese Freigaben bewirken den Zugriff auf alle Datenbestände der Mandanten. Sowohl im DATEV Arbeitsplatz als auch in den Programmen werden nur die freigegebenen Ordnungsbegriffe angezeigt.

Die globalen Freigaben unter Berater/Mandant haben folgende Auswirkungen:

  • Wenn ein Ordnungsbegriff global bzw. in einer leistungserstellenden Anwendung nicht freigegeben wird, werden auch die entsprechenden Leistungen nicht angezeigt.

  • Wenn eine Leistung im DATEV Arbeitsplatz programmspezifisch ist, d.h. ohne Zuordnung zu Zentrale Stammdaten, kann die Leistung nur durch eine globale Ordnungsbegriffsfreigabe oder durch eine Freigabe Beraternummer/Mandantennummer beim entsprechenden Programm eingeblendet werden. Solche programmspezifischen Datenbestände erscheinen dann nur in den Geschäftsfeldübersichten.

Die globalen Freigaben unter Zentrale Stammdaten haben folgende Auswirkungen:

  • Wenn Zentrale Stammdaten eines Mandanten nicht freigegeben ist, wird dieser Mandant im DATEV Arbeitsplatz in der Mandantenübersicht nicht angezeigt.

  • Wenn Zentrale Stammdaten eines Mandanten nicht freigegeben ist, werden im DATEV Arbeitsplatz dessen Stammdaten und Leistungen dieses Mandanten nicht angezeigt.

  • Wenn Zentrale Stammdaten freigegeben und Berater/Mandant nicht freigegeben ist, werden die zugehörigen Zentralen Stammdaten angezeigt, aber die entsprechenden Leistungen nicht.

5.3 Programm- und Funktionsrechte

Um mit einem DATEV-Programm arbeiten zu können, ist auch die Freigabe des DATEV Arbeitsplatz' (inkl. Zentrale Stammdaten) und des jeweiligen Programms erforderlich. Außerdem müssen die Ordnungsbegriffe (z.B. Beraternummer/Mandantennummer), mit denen gearbeitet werden soll, freigegeben sein.

Im DATEV Arbeitsplatz integrierte DATEV-Programme sind im Ordner Unterprogramme zusammengefasst.

Eine Aufstellung der DATEV-Programme und deren Rechtestrukturen finden Sie im "Leitfaden Rechteverwaltung: Einrichten anwendungsspezifischer Freigaben" (Dok.-Nr. 0904066).

5.3.1 Wirkungsweise der Rechte für DATEV-Programme

Komplette Programmfreigaben

DATEV-Programme können komplett freigegeben werden. Alle untergeordneten Ordnungsbegriffe, Programme und Funktionen werden damit gleichzeitig freigegeben. Die Freigaben werden vererbt.

Differenzierte Programmfreigaben

DATEV-Programme können differenziert freigegeben werden (Menüpunkte, Funktionen, Anzeige einzelner Felder; Art und Umfang sind abhängig vom jeweiligen DATEV-Programm).

Darstellung nicht freigegebener Programme

Nicht freigegebene Programme und Funktionen werden im DATEV Arbeitsplatz nicht angezeigt.

Darstellung nicht freigegebener Programmteile in den Programmen

Nicht freigegebene Funktionen werden in der Regel inaktiv dargestellt und können nicht genutzt werden.

5.3.2 Symbole für Rechte

Nach der Neuanlage eines DATEV-Benutzers oder einer DATEV-Gruppe ist zunächst alles nicht frei (- wird ohne Symbol dargestellt).

  • Eine explizite Freigabe wird durch einen grün ausgefüllten Haken , eine vererbte Freigabe durch einen grün umrandeten Haken gekennzeichnet.

  • Eine differenzierte Freigabe wird mit einer blaue Raute markiert.

  • Eine explizite Sperre wird mit einem rot ausgefüllten Kreuz markiert, eine vererbte Sperre mit einem rot umrandeten Kreuz .

  • Ein explizit gesperrter Ordnungsbegriff hat ein rotes Daten-Symbol , ein Ordnungsbegriff, der sowohl Freigaben als auch Sperren enthält, ein blaues Daten-Symbol und ein explizit freigegebener Ordnungsbegriff ein grünes Daten-Symbol .

Eine Freigabe kann für einzelne DATEV-Benutzer oder für eine DATEV-Gruppe durch Sperren eingeschränkt werden. Dabei überwiegt stets die Sperre die Freigabe.

6 Dokumentation und Nachvollziehbarkeit der Rechte

Die ordnungsgemäße Verwaltung (Einrichtung, Erweiterung, Veränderung und Löschung) von Rechten in der Kanzlei/im Betrieb muss im Nachhinein nachvollziehbar sein. Deshalb werden sowohl Rechteänderungen als auch Veränderungen von Gruppenordnungen in einem Protokoll aufgezeichnet.

Der Verlauf der Rechteänderungen ist in der Rechteverwaltung einsehbar (Kontextbezogener Link Erweiterte Administration | Rechte-Änderungsprotokoll anzeigen). Gruppenzuordnungen (und -änderungen) werden in der Benutzerverwaltung protokolliert.

7 Rechtevergabe in der Praxis

DATEV-Gruppen erleichtern die Rechtevergabe, wenn mehrere DATEV-Benutzer, die die gleichen Aufgaben und damit die gleiche Rolle haben, die gleichen Rechte haben sollen (z.B. für den Zugriff auf bestimmte Mandanten und Programme).

Statt für jeden betreffenden DATEV-Benutzer die Rechte einzeln zu vergeben, erhält die DATEV-Gruppe das Recht und die DATEV-Benutzer werden der DATEV-Gruppe zugeordnet.

7.1 Programm- und Ordnungsbegriffsgruppen

DATEV empfiehlt, die Freigaben für Ordnungsbegriffe (Daten) und Programme in separaten DATEV-Gruppen zu verwalten. Das vereinfacht die Administration und erleichtert den Überblick.

  • Freigabe von Ordnungsbegriffen (Daten)

    Der Zugriff auf einen Datenbestand kann durch eine eigene DATEV-Gruppe geregelt werden. Durch solche Freigabegruppen definieren Sie, welche Mandanten, Aufträge, Mitarbeiter etc. die DATEV-Benutzer sehen und gegebenenfalls auch bearbeiten dürfen.

  • Freigabe von DATEV-Programmen

    Der Zugriff auf die DATEV-Programme kann dann durch eine weitere DATEV-Gruppe organisiert werden, für die nur Programme und Funktionen freigegeben werden.

7.2 Berechtigungskonzept

Jeder Mitarbeiter muss in den für ihn freigegebenen DATEV-Programmen nur diejenigen Programmfunktionen nutzen können, die fachlich und technisch für die Erledigung seiner individuellen Aufgaben notwendig sind. Die Rechtevergabe muss transparent und strukturiert gestaltet werden, damit die weitere zukünftige Administration (Erweiterungen, Änderungen) effizient erledigt werden kann.

Die Einführung eines Berechtigungskonzepts erfolgt schrittweise:

Berechtigungskonzept einführen
Vorgehen:
1

Liste der Benutzer und ihrer Aufgaben und Rollen erstellen.
Wichtig dabei: Jeder DATEV-Benutzer muss eine eindeutige Identität (DATEV-Benutzer mit RZ-Verknüpfung in der Benutzerverwaltung) haben.
2

Liste aller lokal und im RZ genutzten Programme erstellen.
3

Rechte vergeben.

  • Es ist effizient, die Rechte nicht an einzelne DATEV-Benutzer, sondern an DATEV-Gruppen zu vergeben, denen dann die Benutzer zugeordnet werden.

  • Jeder DATEV-Benutzer erhält nur die Rechte, die er zur Erfüllung seiner täglichen Aufgaben benötigt (“Minimalprinzip“).

  • Rechte in kritischen Bereichen werden Kanzlei-/Betriebsleitung bzw. Administratoren vorbehalten ("Funktionstrennung").

7.3 Beispiele für ein Berechtigungskonzept

Ein Berechtigungskonzept ist vollständig, wenn alle Informationen in der Kanzlei/im Betrieb über Mitarbeiter, ihre Aufgaben und Rollen, sowohl lokal als auch betr. Rechenzentrum, zusammengestellt sind.

Minimalprinzip

Beispiel: Der Sachbearbeiter im Bereich Finanzbuchhaltung erhält nicht das Recht, Installationen durchzuführen.

Kritische Rechte

Beispiel: Sachbearbeitern in einer Kanzlei wird das Löschen von Daten, die Einrichtung und Verwaltung von Rechten, kanzleiweite Einstellungen oder die Buchhaltung der Kanzlei nicht erlaubt.

Funktionstrennung

Beispiel: Die Kanzleileitung darf jede Funktion ausführen.

In dieser Tabelle sind beispielhaft DATEV-Gruppen für typische Aufgaben und Rollen von DATEV-Benutzern zusammengestellt:

7.3.1 DATEV-Gruppen für Programme

DATEV-Gruppen für Programme anlegen
Vorgehen:
1

Eine DATEV-Gruppe Allgemeine Basisrechte anlegen.
2

Für diese DATEV-Gruppe die oben genannten allgemeinen Basisrechte vergeben, die für die vorgesehene Nutzung der DATEV-Anwendungen notwendig sind, und die betreffenden DATEV-Benutzer dieser DATEV-Gruppe zuordnen.

3

Eine DATEV-Gruppe Sachbearbeiter für die Programmfreigabe anlegen.
4

Für diese DATEV-Gruppe die Programme freigeben, die genutzt werden sollen, z.B. Rechnungswesen, Personalwirtschaft, Steuern.
5

Eine DATEV-Gruppe Administration anlegen.
6

Für diese DATEV-Gruppe die administrativen Programme freigeben, z.B. Installationsmanager.
7

Eine DATEV-Gruppe Sekretariat anlegen.
8

Für diese DATEV-Gruppe die vorgesehenen Programme freigeben, z.B. Stammdaten und Vorlagenbearbeitung.

7.3.2 DATEV-Gruppe für Datenfreigabe

DATEV-Gruppe für Datenfreigabe anlegen
Vorgehen:
1

Eine DATEV-Gruppe Mandantendaten für Mitarbeiter anlegen.
2

Für diese DATEV-Gruppe in Globalrechte das freigeben, was die Gruppenmitglieder sehen/bearbeiten dürfen, z.B. Globalrechte | Ordnungsbegriffe | Berater/Mandant oder Globalrechte | Ordnungsbegriffe | Zentrale Stammdaten.

3

Wenn Eigenorganisation genutzt wird: Unternehmen/Niederlassung... usw. freigeben.

7.3.3 Gruppenzuordnung

DATEV-Benutzer zuordnen
Vorgehen:

DATEV-Benutzer den neu angelegten DATEV-Gruppen zuordnen, z.B.

  • Jeder Mitarbeiter der Kanzlei/des Betriebs ist üblicherweise mehreren Datenfreigabe- und einer oder mehreren Programmfreigabegruppen zugeordnet.

  • Jedem DATEV-Benutzer kann eine bestehende Datenfreigabe- und oder Programmfreigabegruppe zugewiesen werden.

  • Mit der Benutzerverwaltung können DATEV-Gruppen nachträglich weitere DATEV-Benutzer zugeordnet werden.

7.3.4 Programm- und Datenfreigabe für "Betriebsprüfer"

Betriebsprüfer erhalten lediglich lesenden Zugriff auf die Daten eines Mandanten im Rechnungswesen.

Rechte für "Betriebsprüfer" vergeben
Vorgehen:
1

Eine DATEV-Gruppe Betriebsprüfer anlegen.
2

Die Rechte und eine Beraternummer/Mandantennummer (die zu überprüfende Mandantennummer) im Programmbereich Rechnungswesensysteme freigeben, z.B.

Ist Daten bearbeiten/ändern in Rechnungswesensysteme nicht freigegeben, kann der Betriebsprüfer in den freigegebenen Programmen keine Daten bearbeiten oder ändern und nur die Auswertungen und einige Stammdaten sehen.

Mehr Informationen dazu finden Sie in "Zugriff auf die Buchführung für den Betriebsprüfer in der Rechteverwaltung einrichten" (Dok.-Nr.: 1002481).

7.3.5 DATEV-Gruppe "Allgemeine Basisrechte"

Eine solche DATEV-Gruppe schafft die Grundlage für die Nutzung der DATEV-Programme durch alle DATEV-Benutzer.

DATEV empfiehlt, dabei folgende DATEV-Programme bzw. Funktionen für alle DATEV-Benutzer (Mitarbeiter) freizugeben:

Service-TAN
Kundensupport
Der Internet Explorer ist veraltet und wird nicht mehr unterstützt!

Für einen uneingeschränkten Funktionsumfang empfiehlt DATEV einen modernen Standard-Browser zu verwenden, wie z.B.: