Blog
saassoftware-vertragdsgvovertragsmanagementcheckliste

SaaS-Verträge prüfen: 15-Punkte-Checkliste für KMU

Marcus SmolarekMarcus Smolarek
2026-02-0915 min Lesezeit

Bevor Sie einen Softwarevertrag unterschreiben: 15 kritische Punkte, die Sie prüfen sollten. Versteckte Kosten, Datenschutz-Anforderungen und praktische Tipps zum Verhandeln.

Das Unterschreiben eines SaaS-Vertrags ist eine der am meisten unterschätzten finanziellen Entscheidungen in KMUs. Sie evaluieren die Funktionen, testen die kostenlose Version, vergleichen vielleicht die Preise mit Konkurrenten—und klicken dann auf "Unterschreiben", ohne die 47 Seiten Nutzungsbedingungen zu lesen. Großer Fehler. Wir haben bereits Unternehmen erlebt, die in Verträgen mit automatischer Verlängerung steckengeblieben sind, Preiserhöhungen von 30% pro Jahr erlebt haben und nicht mehr wechseln konnten, weil ihre Daten im System eingesperrt waren.

Diese Checkliste zeigt Ihnen 15 unverzichtbare Punkte, die Sie vor der Unterschrift überprüfen sollten. Manche Klauseln sind verhandelbar (besonders bei Jahresverträgen), andere sind absolute Warnsignale. Am Ende wissen Sie genau, welche Fragen Sie dem Anbieter stellen sollten und wann Sie besser die Finger davon lassen.

Die 15-Punkte-Checkliste für SaaS-Verträge

1. Datenverarbeitungsvertrag (AVV/DPA) – Unverzichtbar

Wenn Ihre SaaS-Software personenbezogene Daten verarbeitet (sogar nur E-Mail-Adressen von Mitarbeitern oder Kundennamen), verlangt die DSGVO Artikel 28 einen unterzeichneten Datenverarbeitungsvertrag. Das ist nicht optional. Der Anbieter muss einen unterzeichneten AVV vorlegen, bevor Sie seinen Service nutzen. Falls nicht, ist das ein großes Warnsignal.

Achten Sie auf diese 10 Pflichtklauseln im AVV: Gegenstand und Dauer, Art der Verarbeitung, Datenkategorien, Verpflichtungen des Auftragsverarbeiters, Weisungen von Ihnen, Vertraulichkeit, technische und organisatorische Maßnahmen (TOMs), Sub-Processor-Regeln und Prüfrechte.

Kein AVV = mögliche DSGVO-Bußgelder bis zu 10 Millionen Euro oder 2% des globalen Umsatzes. Überspringen Sie das nicht.

Erfahren Sie mehr über die notwendigen Inhalte eines AVV in unserem ausführlichen Leitfaden zu Datenverarbeitungsverträgen und DSGVO-Compliance.

2. Speicherort der Daten

Wo sind Ihre Daten physisch gespeichert? Auf EU-Servern, US-Servern oder anderswo? Das ist wichtig für Compliance und Performance. Daten im EU-Raum genießen stärkeren rechtlichen Schutz unter DSGVO. Daten, die in die USA übertragen werden, benötigen entweder das EU-U.S. Data Privacy Framework Zertifikat oder Standardvertragsklauseln (SCCs).

Fragen Sie den Anbieter: Können Sie den Rechenzentrum-Standort wählen? Werden Daten über mehrere Regionen repliziert? Nutzen sie Sub-Processor, die Daten außerhalb der EU speichern?

3. Datenportabilität und Exportoptionen

Was passiert, wenn Sie gehen möchten? Können Sie alle Ihre Daten in standardisierten Formaten exportieren (CSV, XML, API)? Wie lange dauert der Export? Kostet das extra? Manche Anbieter machen das technisch einfach, aber berechnen eine kleine Vermögen für den Prozess, in der Hoffnung, dass Sie bleiben.

Idealklausel: "Der Nutzer kann jederzeit alle Daten in Standardformaten ohne zusätzliche Kosten innerhalb von 30 Tagen nach Anfrage exportieren."

4. Service Level Agreement (SLA) Verfügbarkeitsgarantien

Der Unterschied zwischen 99,5% und 99,9% Verfügbarkeit ist echtes Geld. Hier ist die Rechnung:

SLA %Ausfallzeit pro MonatAuswirkung auf Ihr Business
99,0%7,2 StundenEin halber Arbeitstag weg
99,5%3,6 StundenImmer noch erheblich
99,9%43 MinutenKaum bemerkbar
99,95%22 MinutenIndustrie-Standard für kritische Tools

Prüfen Sie, ob die SLA 24/7 oder nur während Geschäftszeiten gilt. Eine 99,9%-SLA, die nicht an Wochenenden gilt, ist wertlos, wenn Ihre Buchhaltungssoftware Samstagmorgen ausfällt.

5. Automatische Verlängerung und Kündigungsfrist

Hier entstehen versteckte Abrechnungs-Albträume. Viele SaaS-Verträge verlängern sich automatisch jedes Jahr, es sei denn, Sie senden 30-60 Tage vor Ablauf schriftliche Kündigung. Falls Sie das vergessen (und das werden Sie, weil Sie beschäftigt sind), wird Ihnen automatisch ein weiteres Jahr berechnet.

Was Sie überprüfen sollten: Wie lange ist die Kündigungsfrist? Können Sie per E-Mail kündigen oder muss es beglaubigt sein? Versendet der Anbieter Erinnerungen? Gibt es nach der automatischen Verlängerung eine Rückgabefrist, wenn Sie sofort kündigen?

Pro-Tipp: Legen Sie einen Kalendertermin 90 Tage vor der Verlängerung fest und überprüfen Sie, ob Sie das Tool noch brauchen. Das ist die beste Verteidigung gegen unerwünschte Verlängerungen.

6. Preiserhöhungsklauseln

Anbieter reservieren sich oft das Recht, Ihre Preise jedes Jahr ohne Zustimmung zu erhöhen. Standardformulierungen lauten vielleicht "Preise können um bis zu 5% pro Jahr erhöht werden", aber wir haben Verträge ohne Obergrenze gesehen.

Bessere Klausel: "Die Preise sind für den Vertragszeitraum festgelegt. Preiserhöhungen bei darauffolgenden Verlängerungen übersteigen nicht den europäischen Verbraucherpreisindex plus 2%, und wir benachrichtigen Sie mindestens 60 Tage im Voraus. Sie können ohne Strafe kündigen, wenn Sie der neuen Preisgestaltung nicht zustimmen."

7. Kosten für Benutzer- und Lizenzausweitung

Manche Tools berechnen pro Nutzer, pro Lizenz, pro Transaktion oder eine Kombination. Fragen Sie: Gibt es Mindestlizenzanforderungen? Was passiert, wenn Sie Benutzer temporär reduzieren (um zu sparen)? Können Sie monatlich skalieren oder ist es auf Quartale begrenzt?

Für wachsende Teams sollten Sie Mengenrabatte oder pauschale Preise für eine bestimmte Anzahl von Benutzern aushandeln.

8. Überschreitungsgebühren

Wenn Ihr Plan 1.000 API-Aufrufe pro Monat enthält, aber Sie 1.500 nutzen, was passiert? Werden Sie automatisch pro Überschreitung berechnet? Wie hoch ist die Überschreitungsgebühr? Manche Anbieter haben vernünftige Preise, andere berechnen das 10fache, um Sie zu drängen zu upgraden.

Gute Praxis: Harte Grenzen setzen und vor Überschreitungsgebühren Zustimmung des Anbieters einholen, oder Überschreitungskosten in die jährliche Planung einbeziehen.

9. Haftungsbegrenzung

Falls das System des Anbieters Ihnen Schaden zufügt (Ausfallzeiten, Datenverlust, Sicherheitsverletzung), wie viel können Sie von ihm fordern? Viele SaaS-Verträge begrenzen die Haftung auf "eine Monatsgebühr" oder "den Jahresvertragswert", je nachdem, welcher Wert niedriger ist. Das ist anbieterfreundlich und käufferunfreundlich.

Besser: Haftung für Datenverletzungen oder Sicherheitsfehler sollte unbegrenzt oder auf ein vernünftiges Vielfaches der Jahresgebühren (12-24 Monate) begrenzt sein. Für kritische Business-Tools lohnt sich diese Verhandlung.

10. Datenlöschung nach Vertragsende

Wenn Ihr Vertrag endet, was passiert mit Ihren Daten? Der Anbieter sollte sie innerhalb von 30 Tagen nach Anfrage löschen (laut DSGVO). Aber manche Verträge enthalten Formulierungen wie "Daten können für Backups bis zu 90 Tagen behalten werden" oder noch länger. Bei sensiblen Daten ist das ein Compliance-Problem.

Überprüfen Sie: Verspricht der Vertrag vollständige Löschung oder nur "beste Bemühungen"? Gibt es einen Löschtimeline? Bescheinigen sie Löschung schriftlich?

11. Liste der Sub-Processor und Benachrichtigungsrechte

Ihr SaaS-Anbieter verarbeitet Daten nicht allein. Sie nutzen Sub-Processor (Zahlungsabwickler, Cloud-Infrastruktur, Analytik, Support-Tools). Sie haben das Recht, zu wissen, wer sie sind, und können Einspruch erheben, wenn neue hinzukommen.

Prüfen Sie im Vertrag: Stellt der Anbieter eine aktuelle Liste der Sub-Processor bereit? Benachrichtigen sie Sie, bevor sie neue hinzufügen? Können Sie Einspruch erheben? Falls sie sich weigern, das offenzulegen, ist das ein DSGVO-Compliance-Warnsignal.

12. Support-SLA und Servicezeiten

Wie schnell antworten sie auf Support-Anfragen? Ist Support 24/7 oder nur während Geschäftszeiten verfügbar? Was ist bei Notfällen? Manche bieten nur E-Mail-Support (langsam), andere haben Telefon und Chat (schnell). Für geschäftskritische Tools sollten Sie ausreichende Support-Abdeckung sichern.

Gute SLA: E-Mail-Antwort innerhalb von 4 Stunden, Notfälle innerhalb von 1 Stunde, dedizierter Account Manager für Jahresverträge.

13. API-Zugang und Integrationsrechte

Können Sie Integrationen mit anderen Tools über die API des Anbieters erstellen? Gibt es Einschränkungen bei der API-Nutzung? Manche Verträge erlauben API-Zugang, verbieten aber Wiederverkauf oder den Bau konkurrierender Produkte.

Überprüfen Sie: Gibt es Rate-Limits für API-Aufrufe? Berechnen sie separat für API-Zugang? Können sie die API ändern oder einstellen? Für Integrationen mit Ihrer Buchhaltungssoftware oder CRM müssen Sie ausreichenden API-Zugang sichern.

14. Eigentum an Ihren Daten

Das sollte offensichtlich sein, aber es lohnt sich, schriftlich zu bestätigen: Ihre Daten gehören Ihnen. Der Anbieter speichert und verarbeitet sie nur. Manche schlecht formulierte Verträge suggerieren, dass der Anbieter Urheberrecht an abgeleiteten Werken oder breite IP-Rechte auf Ihre Geschäftsdaten hat.

Standardklausel: "Alle vom Kunden bereitgestellten Daten bleiben Eigentum des Kunden. Der Anbieter darf Daten nur soweit nutzen, wie es zur Erbringung der Dienstleistung notwendig ist."

15. Austrittshilfe und Übergangszeitraum

Wenn Sie gehen, unterstützt Sie der Anbieter beim Wechsel? Bietet er Datenexportassistenz, API-Dokumentation oder einen Übergangszeitraum an, in dem Sie beide Systeme parallel nutzen können?

Bessere Klausel: "Bei Vertragsende stellt der Anbieter angemessene Migrationshilfe ohne zusätzliche Kosten für bis zu 30 Tage bereit. Dies umfasst API-Zugang, Dokumentation und technische Unterstützung während des Übergangszeitraums."

Datenschutz-Frameworks verstehen

EU-U.S. Data Privacy Framework und Standardvertragsklauseln

Falls Ihr SaaS-Anbieter Daten in den USA speichert, brauchen Sie rechtliche Mechanismen, um sicherzustellen, dass die Daten angemessenen Schutz erhalten. Das EU-U.S. Data Privacy Framework (angenommen Juli 2023) ist der Hauptmechanismus. Falls Ihr Anbieter nicht unter diesem Framework zertifiziert ist, müssen Standardvertragsklauseln (SCCs) verwendet werden.

Überprüfen Sie die Website des Anbieters auf seinen Datentransfermechanismus. Sie sollten klar angeben: "Wir sind unter dem EU-U.S. Data Privacy Framework zertifiziert" oder "Wir verwenden Standardvertragsklauseln für US-Datenübertragungen."

Das Data Privacy Framework hat 2023 Privacy Shield ersetzt. Falls ein Anbieter noch Privacy Shield erwähnt, ist er nicht aktuell mit Datenschutzbestimmungen. Das ist ein Warnsignal.

Warnsignale-Tabelle: Was diese Klauseln wirklich bedeuten

Klausel-FormulierungWas es wirklich bedeutetIhr Risiko
"Der Anbieter behält sich das Recht vor, diese Bedingungen ohne Ankündigung zu ändern."Sie können den Vertrag jederzeit ändern.Sie wachen eines Tages mit neuen Einschränkungen oder Preiserhöhungen auf.
"Alle Haftung ist auf die erste Monatsgebühr begrenzt."Falls sie alle Ihre Daten verlieren, bekommen Sie eine Monatsgebühr zurück.Kein echter Schadensersatz für Geschäftsfolgen.
"Sub-Processor können nach Alleinermessen des Anbieters geändert werden."Sie können zufällige Unternehmen mit Ihren Daten beauftragen.Datenschutz- und Sicherheitsrisiko.
"Daten können unbegrenzt für Backups behalten werden."Sie behalten Ihre Daten auch nach Ihrem Weg.DSGVO-Verletzungsrisiko.
"Preise können jederzeit erhöht werden."Keine Obergrenze für jährliche Preiserhöhungen.20%-Erhöhung bei nächster Verlängerung möglich.
"Der Anbieter kann ohne Ankündigung den Service sperren."Keine Warnung; Ihr Zugang ist einfach weg.Ihr Business stoppt ohne Ankündigung.
"Beste Bemühungen, 99% Verfügbarkeit zu halten."Sie haben versucht, aber keine Haftung, falls sie scheitern.Alles Ausfallzeitrisiko fällt auf Sie.
"Die automatische Verlängerung erfolgt automatisch, es sei denn, Sie kündigen 60 Tage vorher."Die Frist zu verpassen = noch ein Jahr Gebühren.Leicht zu vergessen; schwer Rückerstattung zu bekommen.

Reales Beispiel: Die Buchhaltungssoftware-Falle

Sarah's Beratungsfirma nutzte drei Jahre lang ein beliebtes Buchhaltungs-SaaS-Tool. Die Preise waren angemessen, die Features waren solide, und es integrierte sich mit ihrem CRM. Dann bei der Vertragsverlängerung kündigte der Anbieter eine 35%-Preiserhöhung an.

Sarah beschloss zu wechseln. Aber hier zeigte sich der Vertrag als Albtraum: Der ursprüngliche Anbieter bot keine klare Datenexport-Option. Um alle drei Jahre Finanzunterlagen herauszubekommen, brauchte Sarah einen Berater, um CSV-Dateien aus der API zu rekonstruieren. Die Migration kostete 4.000 Euro und dauerte drei Wochen.

Lektion: Dateneinsperrung ist real. Überprüfen Sie immer die Export-Optionen vor der Unterschrift. Falls ein Anbieter das schwierig oder teuer macht, ist das bewusste Vendor Lock-in, und Sie sollten weiterziehen.

Wenn Sie SaaS-Tools evaluieren, führen Sie einen Test-Export von Beispieldaten durch, bevor Sie sich verpflichten. Sehen Sie, wie einfach es ist, Daten in einem brauchbaren Format herauszubekommen. Falls der Anbieter das schwierig oder teuer macht, verhandeln Sie bessere Bedingungen oder wählen Sie einen Konkurrenten.

Was in SaaS-Verträgen wirklich verhandelbar ist

Sie könnten denken, SaaS-Verträge sind Friss-oder-stirb, aber Anbieter sind oft flexibler als gedacht. Hier ist das, was normalerweise verhandelbar ist, besonders bei Jahres- oder Mehrjahresverträgen:

  • Preis und Mengenrabatte (5-20% für jährliche Verpflichtung)
  • Datenspeicherort (EU vs. USA)
  • SLA-Verfügbarkeitsgarantien (besonders bei geschäftskritischen Tools)
  • Haftungskappen (unbegrenzt für Datenverletzungen)
  • Preiserhöhungslimits (Obergrenze 5-10% statt unbegrenzt)
  • Kündigungsfristen (reduzieren von 60 auf 30 Tage)
  • Support-SLA (Telefon-Support oder schnellere Reaktionszeiten hinzufügen)
  • Datenlöschtimeline (reduzieren von 90 auf 30 Tage)
  • Automatische Verlängerungsbedingungen (E-Mail-Zustimmung statt automatisch)
  • Sub-Processor-Benachrichtigung (Einspruchsrechte für neue Processor)

Was normalerweise NICHT verhandelbar ist: Kernfunktionen, zugrunde liegende Nutzungsbedingungen oder grundlegende Compliance-Anforderungen.

Wie man verhandelt

Beginnen Sie mit einer E-Mail an den Anbieter: "Wir sind an einem 2-Jahres-Vertrag mit Ihrer Plattform interessiert. Bevor wir weitermachen, haben wir ein paar Standard-Anforderungen bezüglich Datensicherheit, SLA-Garantien und Preisgestaltung. Könnten wir einen Anruf vereinbaren?"

Anbieter sind viel bereiter zu verhandeln für längere Verpflichtungen. Ein einjähriges monatliches Abonnement ist ihre Zeit nicht wert zu verhandeln. Aber ein 3-Jahres-Vertrag mit 50 Benutzern? Sie haben Hebel.

Bringen Sie einen Kollegen aus Ihrem Finanz- oder Rechts-Team zu Verhandlungen mit. Zwei Stimmen werden ernster genommen als eine.

Schlüssel-Tools und Services für SaaS-Vertrag-Review

Für umfassendes SaaS-Management kombinieren Sie Contract-Review mit robuster Finanzsoftware. Viele moderne Buchhaltungs- und Abrechnungsplattformen integrieren sich mit SaaS-Tools und bieten SLA-Monitoring und Kostenanalyse.

Beliebte Optionen für KMUs umfassen Cloud-basierte Abrechnungs- und Buchhaltungssoftware, die alle Ihre SaaS-Abos an einem Ort verfolgen. Das gibt Ihnen Transparenz, welche Tools am meisten kosten und wann die Verlängerungen anstehen.

Für datenintensive SaaS-Tools (besonders CRM oder HR-Systeme) stellen Sie sicher, dass Ihre Buchhaltungs- und Finanzplattform sich über API integriert. Dies verhindert Vendor Lock-in und macht später einfacher zu wechseln.

Die Checkliste zum Ausdrucken und Verwenden

Hier ist eine einfache Version zum Ausdrucken oder Speichern:

  • [ ] DPA/AVV vorhanden und von beiden Parteien unterzeichnet
  • [ ] Datenspeicherstelle(n) offengelegt und akzeptabel
  • [ ] Datenexport ist kostenlos, einfach und in Standardformaten verfügbar
  • [ ] SLA-Verfügbarkeitsgarantie erfüllt Ihre Anforderungen (fordern Sie 99,9% oder besser)
  • [ ] Automatische Verlängerungsfristen sind 30-60 Tage, per E-Mail kündbar
  • [ ] Jährliche Preiserhöhungen sind auf 5-10% begrenzt
  • [ ] Benutzer-/Lizenzausweitung Kosten sind klar und vorhersehbar
  • [ ] Überschreitungsgebühren sind offengelegt mit Preisen pro Einheit
  • [ ] Haftungsgrenzen sind vernünftig (nicht nur eine Monatsgebühr)
  • [ ] Datenlöschung garantiert innerhalb von 30 Tagen nach Anfrage
  • [ ] Sub-Processor-Liste vorhanden; Sie haben Benachrichtigungsrechte
  • [ ] Support-Reaktionszeiten erfüllen Ihre Geschäftszeiten-Anforderungen
  • [ ] API-Zugang enthalten mit vernünftigen Rate-Limits
  • [ ] Ihr Dateneigentum ist ausdrücklich anerkannt
  • [ ] Übergangshilfe beim Vertragsende angeboten

Nächste Schritte

Bevor Sie Ihren nächsten SaaS-Vertrag unterschreiben, drucken Sie diese Checkliste aus und arbeiten Sie alle 15 Punkte durch. Für kritische Business-Tools (Buchhaltung, HR, CRM) erwägen Sie, den Vertrag von einem Anwalt oder Vertragsexperten überprüfen zu lassen. Die Kosten einer 1-2-Stunden-Überprüfung werden oft innerhalb des ersten Jahres durch bessere Verhandlungsbedingungen ausgeglichen.

Wichtigste Regel: Unterschreiben Sie niemals einen SaaS-Vertrag ohne ordnungsgemäßen AVV, falls personenbezogene Daten verarbeitet werden. Das ist eine Gesetzesverpflichtung, keine Option. Falls ein Anbieter das ablehnt, finden Sie einen anderen.

Haben Sie Fragen zu spezifischen SaaS-Verträgen? Brauchen Sie Hilfe beim Review einer Anbieter-Vereinbarung? Unser Netzwerk von Vertragsexperten kann helfen.

Hinweis: Finance Stacks ist keine Finanzberatung. Alle Inhalte dienen ausschließlich Informationszwecken und ersetzen keine professionelle Beratung durch einen Steuerberater, Wirtschaftsprüfer oder Finanzberater.