In der Immobilienverwaltung arbeiten viele Hände an denselben Daten – Sachbearbeitung, Buchhaltung, Controlling, externe Dienstleister. Ein durchdachtes Berechtigungskonzept sorgt dafür, dass jede Rolle genau das sieht und ändert, was sie braucht – nicht mehr und nicht weniger. Dieser Artikel erklärt die Bausteine des RE-FX-Berechtigungskonzepts auf konzeptioneller Ebene.

Die drei Stellschrauben

SAP-Berechtigungen lassen sich für RE-FX auf drei zentrale Stellschrauben herunterbrechen:

Die Aktivität (ACTVT). Sie legt fest, was ein Benutzer mit einem Objekt tun darf – typischerweise Anzeigen, Anlegen, Ändern oder Löschen. So lässt sich sauber trennen zwischen Rollen, die nur lesen, und solchen, die pflegen dürfen.

Die Organisationsebene Buchungskreis. Über den Buchungskreis wird der Zugriff organisatorisch eingegrenzt – etwa wenn eine Verwaltung mehrere Gesellschaften betreut und ein Team nur die Objekte einer bestimmten Gesellschaft bearbeiten soll.

Die Berechtigungsgruppe. Sie ist der Hebel für feingranularen Zugriff: Stammdatenobjekten und Verträgen lässt sich eine Berechtigungsgruppe zuordnen, über die der Zugriff gezielt auf bestimmte Objektbestände beschränkt werden kann. Damit lassen sich beispielsweise sensible oder regionale Bestände von der allgemeinen Sicht abgrenzen.

Berechtigungen entlang der Objekthierarchie

Das Berechtigungskonzept folgt der fachlichen Struktur von RE-FX. Zugriffe lassen sich entlang der Stammdatenhierarchie – Wirtschaftseinheit, Gebäude, Mietobjekt – sowie für den Real estate contract jeweils getrennt nach Objektart und Aktivität steuern. So kann eine Rolle etwa Verträge anzeigen, aber nicht ändern, oder Stammdaten pflegen, ohne buchen zu dürfen.

Der Geschäftspartner als eigener Berechtigungsbereich

Eine Besonderheit ist der Geschäftspartner. Da Mieter, Eigentümer und Dienstleister als Geschäftspartner geführt werden, greift hier zusätzlich das Berechtigungskonzept des SAP-Geschäftspartners – insbesondere über eine eigene Berechtigungsgruppe, die die Sicht auf bestimmte Partner einschränkt. Die fachlichen Grundlagen dazu liefert der Artikel zum SAP Geschäftspartner in RE-FX.

Buchungsrelevante Prozesse absichern

Über die Stammdaten hinaus sind die buchenden Prozesse besonders schützenswert. Wer Sollstellungsläufe ausführen, Nebenkostenabrechnungen durchführen oder Mahnläufe starten darf, sollte bewusst und eng vergeben werden – denn diese Aktionen erzeugen Belege mit unmittelbarer finanzieller Wirkung. Die Trennung von Pflege- und Buchungsberechtigungen ist hier ein wichtiges Prinzip der Funktionstrennung.

Rollen sauber aufbauen

Technisch werden die Berechtigungen über Rollen (PFCG) zusammengestellt und den Benutzern zugewiesen. Bewährt hat sich, Rollen entlang realer Tätigkeitsprofile zu schneiden – etwa „Stammdatenpflege“, „Abrechnung“ oder „Lesezugriff Reporting“ – statt jedem Benutzer Einzelberechtigungen zu geben. Das hält das Konzept übersichtlich, prüfbar und revisionssicher.

Hinweis: Dieser Artikel beschreibt das Berechtigungskonzept auf konzeptioneller Ebene. Die konkrete Ausgestaltung – inklusive der einzusetzenden Berechtigungsobjekte und Feldwerte – hängt von Ihrer Systemkonfiguration und Ihren Compliance-Anforderungen ab.

Fazit

Ein gutes RE-FX-Berechtigungskonzept kombiniert drei Stellschrauben – Aktivität, Buchungskreis und Berechtigungsgruppe – entlang der Objekt- und Vertragsstruktur, ergänzt um den Geschäftspartner-Bereich und eine saubere Trennung der buchenden Prozesse. Wer das früh durchdenkt, vermeidet sowohl überzogene Sperren als auch riskante Vollzugriffe. Wie tragfähig Ihr Konzept heute ist, lässt sich im Gespräch einordnen.

Häufige Fragen

Wie schränke ich den Zugriff auf bestimmte Objekte ein? Über Berechtigungsgruppen, die Stammdatenobjekten und Verträgen zugeordnet werden, sowie über den Buchungskreis als Organisationsebene.

Kann ich Anzeigen und Ändern getrennt berechtigen? Ja. Über die Aktivität (ACTVT) lässt sich pro Objektart unterscheiden, ob ein Benutzer nur anzeigen oder auch anlegen, ändern bzw. löschen darf.

Werden Geschäftspartner separat berechtigt? Ja. Für Geschäftspartner greift zusätzlich das Berechtigungskonzept des SAP-Geschäftspartners, insbesondere über eine eigene Berechtigungsgruppe.