Das Rechtesystem im USP

Informationen für Service Partner

Mit einer Anbindung Ihres Services an Mein USP stellen Sie sicher, dass nur berechtigte und legitimierte Benutzerkonten eines Unternehmens Zugriff erhalten.

Auf dieser Seite erhalten Sie detaillierte Informationen, wie das Rechtesystem im USP funktioniert, damit Sie sich ein Bild über Ihre (potenzielle) Verfahrensanbindung machen können.

Allgemeines

Mein USP verwaltet ausschließlich Berechtigungen im Zusammenhang mit Unternehmen, Vereinen, Körperschaften und ähnlichen Organisationen. Vollmachten zwischen natürlichen Personen erfolgen über das Vollmachtensystem der ID Austria.

Gesetzliche Vertretungsbefugnisse und Berechtigungen

Im USP werden immer explizite Berechtigungen für ein bestimmtes Service konfiguriert. Diese explizite Berechtigung kann zwar von einer gesetzlichen Vertretungsbefugnis abgeleitet sein, steht aber für sich. Gesetzliche Vertretungsbefugnisse sind in diesem Kontext im Unternehmensregister (etwa über das Firmenbuch) eingetragene Personenfunktionen wie Prokura, Geschäftsführung oder Obmann/Obfrau.

Beispiel

Sie benötigen für Ihre Applikation zwei Berechtigungsstufen: "Verantwortlich" und "Mitwirkend". Grundsätzlich sind in der Geschäftslogik Ihrer Applikation alle Prokuristen und Geschäftsführer "verantwortlich", aber sie können dies auch an Mitarbeiter delegieren. In Mein USP wird eine Berechtigung "Verantwortlich für Service X" konfiguriert. Diese Berechtigung wird auch technisch an die Applikation übergeben. In Mein USP kann optional eingestellt werden, dass nur Geschäftsführer und Prokuristen dieses Recht erhalten dürfen oder dass diese das Recht automatisch erhalten. Die Personenfunktion selbst (z.B. Prokura) wird NICHT an die Applikation übermittelt.

ID Austria oder Mein USP

Damit die Verwaltung von Vollmachten zukünftig für Service Provider einfacher wird, gibt es zwischen ID Austria und USP eine gemeinsame Strategie. Sind für Ihren Anwendungsfall ausschließlich natürliche Personen relevant, ist dies über das Vollmachtensystem der ID Austria abzubilden (OVS). Sind auch Organisationen involviert, findet die Konfiguration im USP statt. Als Service Provider können Sie anschließend wählen, ob Ihr Service lediglich einen ID Austria Login benötigt oder zusätzlich auch über Mein USP per Single Sign-On aufrufbar sein soll.

Grundsätzlich kann eine Einzelvertretungsbefugnis auch direkt über die ID Austria bezogen werden, diese ist aber nur praxistauglich, wenn Ihr Anwendungsfall ausschließlich Einpersonen-Unternehmen betrifft.

Hinweis

Bei Einpersonen-Unternehmen (EPUs) ist eine eigene Berechtigungssteuerung oft nicht erforderlich, weil die natürliche Personen das Unternehmen vollumfänglich alleine in allen Belangen vertreten darf. In diesen Fällen kann mit der Einzelvertretungsbefugnis aus dem Unternehmensregister die Rechtesteuerung ersetzt werden und eine ID Austria Anbindung ist ausreichend.

Bitte beachten Sie aber, dass dies nur sinnvoll ist, wenn Ihre Applikation ausschließlich für genau diese Zielgruppe relevant ist. Sobald eine Aufgabe in der Applikation an Mitarbeiter delegiert werden kann, muss eine explizite Vollmacht definiert werden und die Einzelvertretungsbefugnis greift zu kurz. Gleiches gilt, wenn im Unternehmen zusätzlich zur Einzelvertretung auch eine Gemeinschaftsvertretung möglich ist.

Berechtigungsebenen

Bei allen Berechtigungen geht es immer darum, dass eine natürliche Person im Namen der Organisation in Ihre Applikation einsteigen darf und dort ein definiertes Set oder alle Funktionen nutzen kann.

Natürliche Person vertritt Organisation ("Mitarbeiter/in")

Bei diesem typischen Vertretungsfall wird eine Berechtigung direkt an eine natürliche Person delegiert. Die natürliche Person steigt mit ihrem Benutzerkonto in Mein USP ein, sieht in der Liste der Services Ihre Applikation und kann diese mit dem delegierten Recht aufrufen. Direkte Berechtigungen werden in der USP Administration vom USP Administrator verwaltet.

Beispiel

Herr Ottakringer ist Mitarbeiter der K&S KG. Im Rahmen der Registrierung zu Mein USP haben die beiden Geschäftsführer Frau K. und Herr S. bestimmt, dass Frau K. USP Administratorin sein soll. Sie darf somit Mitarbeitern Berechtigungen zuordnen, die für an das USP angebundene Services definiert sind. Sie weist Herrn Ottakringer das Verfahrensrecht "Verantwortlich Service X" zu, der daraufhin Service X in der Rolle "Verantwortlich" in Mein USP per Single Sign-On aufrufen kann. 

Natürliche Person vertritt einen Kunden der Organisation ("Steuerberater/in")

Das USP unterstützt auch die Abwicklung komplexerer Vertretungsfälle mit Intermediär. In solchen Fällen muss zusätzlich zur eigentlich Berechtigung für das Service auch eine Vollmacht zwischen den beiden Organisationen bestehen. Diese indirekten Vertretungen werden über das USP Vertretungsmanagement vom USP Vertretungsmanagementadministrator verwaltet.

Hier muss zunächst eine Vollmacht zwischen Organisation und Kunden im Vertretungsmanagment erfasst werden. Anschließend kann der USP Administrator der Organisation auf Basis dieser Vollmacht eine oder mehrere Berechtigungen an ein Benutzerkonto delegieren.

Beispiel

Frau Habsburg arbeitet in der Steuerberatung Tanzer GmbH und ist dort für den Kunden K&S KG zuständig. Frau Habsburg ist USP Vertretungsmanagementadministratorin und beantragt bei der K&S die Vollmacht "JustizOnline Akteneinsicht", welche von der Vertretungsmanagmentadministratorin der K&S KG auch genehmigt wird. Es besteht nun eine Vollmacht zwischen der Tanzer GmbH und der K&S KG. Frau Habsburger ordnet sich nun auf Basis dieser Vollmacht die Berechtigung "Akteneinsicht" zu. Wenn sich Frau Habsburg ab sofort im USP anmeldet, erhält sie nach der Auswahl der Tanzer GmbH zusätzlich die Möglickeit ihren Kunden K&S KG auszuwählen. Sie kann nun JustizOnline indirekt als K&S KG mit der Rolle "Akteneinsicht" per Single Sign-On über Mein USP aufrufen.

Vergabe von Rechten

Direkte Berechtigungen ("Mitarbeiter/in")

Grundsätzlich werden alle Berechtigungen zwischen natürlichen Personen (Benutzerkonten) und der Organisation durch den USP Administrator der Organisation vergeben. Dieser wird im Rahmen der Registrierung zu Mein USP bestimmt und von den gesetzlichen Vertretern der Organisation bestätigt. Dieses Vorgehen ist über das USP-Gesetz gedeckt und gilt für alle an das USP angebundene Verfahren.

Die Vergabe von Berechtigungen kann nach Ihren Bedürfnissen als Service Provider eingeschränkt oder automatisiert werden:

Whitelisting

Sie können bestimmen, dass nur bestimmte Organisationen Berechtigungen in der USP Administration sehen und somit zuordnen können. Dabei können Sie die Organisationen direkt bestimmen mittels eindeutiger Stammzahl bzw. Kennziffer des Unternehmensregisters (KUR) oder sie werden automatisch gefiltert über Schlüssel des Unternehmensregisters.

Die Whitelists können über die vom USP zur Verfügung gestellte Anwendung "Rollenwartung & Whitelisting" direkt von Ihnen verwaltet werden. Dort können Sie Whitelists für Ihre Applikation bearbeiten, aber auch ein XML-basierter Upload für Massenaktionen steht zur Verfügung. Die Anwendung "Rollenwartung & Whitelisting" ist PVP-fähig und kann daher auch in Ihr Mitarbeiterportal eingebunden werden.

Beispiel

Ihre Applikation ist eine Fachanwendung für Rechtsanwälte und ausgewählte öffentliche Körperschaften. Das USP Betriebsteam legt daher für Sie zwei Whitelists an, die den Zugriff auf die Applikation steuern. Die erste Whitelist ist dynamisch und hat konfiguriert, dass alle Unternehmen mit "KRA"-Schlüssel (Kammer der Rechtsanwälte) in die Whitelist kommen. Die zweite Liste wird von Ihnen direkt über die "Rollenwartung & Whitelisting" Anwendung in Ihrem Mitarbeiterportal gepflegt, wo Sie die KURs der öffentlichen Körperschaften ein- und austragen.

Dynamische Rollen für Einzelvertretungsbefugte

Einzelvertretungsbefugten Personen können Berechtigungen automatisch zugewiesen oder entfernt werden. Somit ist keine explizite Vergabe durch den USP Administrator erforderlich und Benutzer sehen Ihr Services sofort nach der Anmeldung in Mein USP. Verliert die Person die Vertretungsbefugnis, werden auch damit verknüpfte Rechte entzogen. Für Personen ohne Einzelvertretungsbefugnis kann das Recht trotzdem, falls gewünscht, über den USP Administrator vergeben werden.

 

Indirekte Berechtigungen ("Steuerberater/in")

Indirekte Berechtigungen werden vom USP Vertretungsmanamagentadministrator der Organisation verwaltet. Die Rolle des Vertretungsmanagementadministrators kann vom USP Administrator der Organisation einem Benutzerkonto zugeordnet werden. Der Vertretungsmanagementadministrator verwaltet über das USP Vertretungsmanagement alle Vollmachten, die an andere Unternehmen ausgestellt wurden ("vertreten lassen") und all jene, die von anderen Unternehmen gewährt wurden ("andere vertreten").

Zunächst muss zwischen Vertreterorganisation (z.B. der Steuerberatung) und Klientenorganisation (z.B. Kundschaft der Steuerberatung) eine Vollmacht erstellt werden. Dies kann direkt vom Vertretungsmanagementadministrator der Klientenorganisation im USP Vertretungsmanagement eingerichtet werden. Alternativ kann der Vertretungsmanagementadministrator der Vertreterorganisation einen Antrag auf eine Vollmacht stellen. In diesem Fall muss jener der Klientenorganisation nur noch im Vertretungsmanagement genehmigen.

Sie können als Service Provider auch festlegen, dass Vollmachten unmittelbar durch die Vertreterorganisation für sich selbst ausgestellt werden dürfen. Dies ist hilfreich, wenn eine Berufsgruppenverordnung einen entsprechenden Passus beinhaltet.

Sobald die Vertreterorganisation eine gültige Vollmacht besitzt, kann der Vertretungsmanagementadministrator im Vertretungsmanagement auf deren Basis Berechtigungen an Benutzerkonten vergeben. Sie können dabei wählen, ob es eine oder mehrere Berechtigungen geben soll zur jeweiligen Vollmacht.

Beispiel

Ihre Applikation hat zwei Berechtigungsstufen, "Verantwortlich" und "Mitwirkend". Sie möchten, dass Steuerberatungskanzleien für Ihre Klienten die Applikation mit diesen Rechten nutzen können. Damit das Verhältnis zwischen Steuerberatung und Kunden abgebildet wird, gibt es eine "Vollmacht zur Nutzung von Applikation Y", die die Steuerberatung (als Organisation) erhalten muss. Diese Vollmacht beinhaltet beide Berechtigungsstufen. Der Vertretungsmanagementadministrator der Steuerberatung kann nun festlegen, welcher Mitarbeiter der Kanzlei konkret für diesen Kunden mit welcher Berechtigungsstufe tätig werden darf.

Definition und Konfiguration von Rechten

Die Anforderungsdefinition wird über eine Excel-Vorlage gemeinsam mit Ihrem USP Ansprechpartner erhoben. Anschließend wird diese geprüft und vom Betriebsteam umgesetzt.

Folgende Fragen und Überlegungen sind dafür relevant:

  • Welche expliziten Verfahrensrechte werden für die Applikation benötigt?
  • Gelten diese Berechtigungen nur für Mitarbeiter des Unternehmens oder gibt es auch Anwendungsfälle für Parteienvertreter? Wenn ja, haben diese die gleichen Rechte?
  • Gibt es Voraussetzungen, um Ihre Applikation zu verwenden (z.B. bestimmte ÖNACE-Codes oder Schlüssel im URV)?
  • Ist es sinnvoll, Berechtigungen automatisch für einzelvertretungsbefugte Personen zu vergeben?
  • Wenn Parteienvertreter die Anwendung nutzen, welche Vollmacht(en) soll es zwischen Vertreter und Kunden geben?