SaaS-Verträge erklärt: So entwerfen und unterzeichnen Sie Kundenverträge 2026

Mein erster Enterprise-Deal wäre fast an einem Vertrag gescheitert. Wir waren ein Sechs-Personen-SaaS mit einem Nischen-Analytics-Tool — nennen wir uns Acme Cloud GmbH — und ein Mid-Market-Kunde (PixelPipe AG, eine Kreativagentur in Berlin) wollte 22.000 EUR pro Jahr für einen Multi-Seat-Plan zahlen. Ihr Einkauf schickte mir einen 38-seitigen Albtraum mit dem Titel "Master Services Agreement, Anlage A, Anlage B, DPA, SLA-Anhang". Die meisten dieser Dokumente hatte ich noch nie gesehen. Ich hatte einen Stripe-Link und eine einseitige AGB.

Zwei Wochen Hin-und-Her später war es unterschrieben. Aber es hat mich etwas gelehrt. Sobald Sie etwa 5.000 EUR ARR pro Kunde überschreiten, reichen Click-Through-AGB nicht mehr. Der Einkauf will Papier. Die Rechtsabteilung will Papier. Compliance will Papier. Und Sie als Gründer müssen wissen, was Sie unterschreiben, bevor Ihnen jemand eine Klausel in den Vertrag schmuggelt, die aus Ihrer Runway seine macht.

Das ist der Praxisleitfaden, den ich mir damals gewünscht hätte. Was in einen SaaS-Vertrag gehört, wie Rahmenverträge (MSA) zusammen mit Order Forms funktionieren, welche Klauseln wirklich zählen und wie Sie das Ganze online unterschrieben bekommen — ohne Fax oder Notar. Keine Rechtsberatung — für jurisdiktionsspezifische Fragen konsultieren Sie einen Anwalt, der Ihren Markt kennt. Aber für die strukturellen Entscheidungen sollte das Sie aus den schlimmsten Fallen heraushalten.

Das SaaS-Vertragsproblem

Die meisten SaaS-Gründer starten mit Click-Through-AGB und Stripe-Checkout. Kunde zahlt, Kunde stimmt zu, Vertrag fertig. Das funktioniert wunderbar für Self-Serve und kleine Teams. Es bricht in dem Moment zusammen, in dem der Einkauf eines Kunden ins Spiel kommt.

Drei Dinge passieren an der Enterprise-Schwelle:

1. Der Kunde will verhandeln. Konkret: Haftungsobergrenzen, Auftragsverarbeitungsbedingungen, SLAs mit Gutschriften und Kündigungsrechte.
2. Der Kunde will Unterschriften. Keine Click-Throughs. Echte Unterschriften von vertretungsberechtigten Personen auf beiden Seiten.
3. Der Kunde will ein Dokument, das in seinem Vertragsmanagementsystem lebt — meist eine PDF mit benannten Parteien, Wirksamkeitsdatum und Signaturblock.

Wenn Sie auf alle drei keine brauchbare Antwort haben, kommen Deals ins Stocken. Ich habe Startups gesehen, die sechsstellige Verträge verloren haben, weil sie keinen unterschreibbaren MSA in unter einer Woche produzieren konnten. Niemand fragt nach seinem Geld zurück. Sie werden einfach... still.

Rahmenvertrag (MSA) vs. Order Form

Das ist das wichtigste strukturelle Konzept im B2B-SaaS-Vertragswesen — und es hat mich am längsten verwirrt. Sobald es klick macht, wird alles andere einfacher.

Der MSA ist das rechtliche Gerüst. Er deckt das Langweilig-aber-Kritische ab, das sich nicht von Deal zu Deal ändert: Gewährleistungen, IP-Eigentum, Vertraulichkeit, Freistellung, Haftungsbeschränkung, anwendbares Recht. Einmal mit einem Kunden unterzeichnet, regelt er Ihre gesamte Geschäftsbeziehung.

Das Order Form ist das kommerzielle Dokument. Es sagt: "Kunde kauft X Seats von Produkt Y für Z EUR vom Datum A bis Datum B." Es referenziert den MSA. Der Kunde kann über die Jahre mehrere Order Forms unterschreiben (Verlängerungen, Erweiterungen, neue Produkte), alle unter demselben MSA.

Warum das aufteilen? Zwei Gründe. Erstens: Verhandlung. Der MSA ist schwer und langsam — Ihre und deren Rechtsabteilung diskutieren zwei Wochen über Freistellungsklauseln. Das Order Form ist leicht — Preis, Laufzeit, Seats. Sobald der MSA unterschrieben ist, dauert jeder weitere Deal mit diesem Kunden Minuten statt Wochen.

Zweitens: interne Sanität. Ihr Vertriebsteam kann Order Forms ausstellen, ohne jedes Quartal die juristische Büchse der Pandora zu öffnen. Verlängerungen werden nicht mehr existenziell.

Eine typische Struktur, wenn Acme Cloud GmbH PixelPipe AG abschließt:

• MSA (15-25 Seiten) — einmal von beiden Rechts-/Finanzteams unterzeichnet.
• Order Form #1 (1-2 Seiten) — 50 Seats Pro zu 92 EUR/Monat/Seat, 12 Monate Erstlaufzeit, 55.200 EUR pro Jahr, vom Einkaufsleiter unterzeichnet.
• DPA (5-10 Seiten) — als Anlage zum MSA, regelt, wie Acme Cloud die Kundendaten von PixelPipe verarbeitet.
• SLA (1-2 Seiten) — ebenfalls angehängt, legt Verfügbarkeit und Gutschriftsregeln fest.

Wenn PixelPipe zwölf Monate später verlängert und 30 Seats hinzufügt? Neues Order Form. Gleicher MSA. Gleicher DPA. Gleiche SLA. Niemand verhandelt das Fundament neu.

Wesentliche Klauseln, die jeder SaaS-Vertrag braucht

Jetzt zum Kern. Was wirklich zählt.

Abonnementbedingungen

Der Vertrag muss klar machen, was der Kunde kauft. Nicht "Zugang zu Acme Cloud" — das ist Marketing-Sprech. Konkret:

• Produkt-/Plan-Name. Pro, Enterprise, Team — exakt so, wie es im Abrechnungssystem steht.
• Anzahl der Seats oder Einheiten. Und was als Seat zählt. ("Ein benannter Nutzer mit eindeutigem Login" ist hieb- und stichfest; "ein aktiver Nutzer" führt zu Streit.)
• Laufzeit. Erstlaufzeit (meist 12 Monate im B2B) und wie Verlängerungen funktionieren.
• Wirksamkeitsdatum. Wann der Zugang startet. Oft anders als das Unterschriftsdatum — nicht vermischen.
• Zulässige Nutzung. Was der Kunde mit dem Service tun darf. Verbundene Unternehmen? Tochterfirmen? Reseller? Explizit benennen.

Ich habe Deals zerbrechen sehen, weil das Order Form "100 Nutzer" sagte und der Kunde es als "100 benannte Konten, die zwischen 400 Mitarbeitern rotieren" interpretierte. Das wollen Sie nicht. Buchstabieren Sie es aus.

Zahlung und automatische Verlängerung

Die automatische Verlängerung ist die am heißesten umkämpfte Klausel in modernen B2B-SaaS-Verträgen, und die regulatorische Lage verschiebt sich ständig. Stand 2026 verlangen § 312 Abs. 1 BGB und die Regeln des Fair Consumer Contracts Act 2022 in Deutschland eine ausdrückliche, deutlich hervorgehobene Information vor jeder automatischen Verlängerung. Die EU-Richtlinie 2019/2161 enthält ähnliche verbraucherschutzrechtliche Vorgaben, und die Mitgliedstaaten ziehen die Zügel auch im B2B-Bereich enger.

Was in den Vertrag gehört:

• Zahlungsbedingungen. "Netto 30" ist Standard für Rechnungen; Stripe-artige Abbuchungen erfolgen sofort. Klarstellen, was gilt.
• Währung. EUR vs. USD ist bei internationalen Deals wichtiger als gedacht — eine Währung wählen und dabei bleiben, mit klarer FX-Klausel falls nötig.
• Verlängerungsklausel. Standard in modernen MSAs: Der Vertrag verlängert sich um sukzessive 12-Monats-Laufzeiten, sofern eine Partei mit 30, 60 oder 90 Tagen schriftlicher Ankündigung vor dem Verlängerungstermin kündigt. Eine Frist wählen. Konsistent bleiben.
• Preiserhöhungs-Cap. Kunden werden hart auf eine Obergrenze für Preiserhöhungen drängen. 7% oder VPI-gekoppelt ist üblich. Stimmen Sie nie "keine Erhöhung jemals" zu — die Inflation frisst Sie auf.
• Verzug. Verzugszinsen (oft 1,5%/Monat oder gesetzliches Maximum) und das Recht, den Service nach X Tagen Verzug auszusetzen.

Das sauberste Muster: automatische Verlängerung zum gleichen Plan, mit einer Frist, die dem Kunden echte Opt-out-Möglichkeiten gibt, und einem Preiserhöhungs-Cap, der Ihnen Luft zum Atmen lässt.

Kündigung und Beendigung

Drei Geschmacksrichtungen der Beendigung sind wichtig — und sie sind nicht dasselbe.

Ordentliche Kündigung. Beide Parteien können mit Frist kündigen, ohne Grund. Die meisten Enterprise-Kunden wollen das; die meisten SaaS-Anbieter sollten sich wehren. Wenn unvermeidbar, machen Sie es teuer — Restlaufzeit zahlbar oder nur zum Ende einer Order-Form-Laufzeit möglich.

Außerordentliche Kündigung. Bei wesentlicher Vertragsverletzung mit Heilungsfrist (meist 30 Tage). Nicht verhandelbar. Beide Seiten brauchen das.

Kündigung wegen Insolvenz. Wenn Ihr Kunde insolvent geht, wollen Sie raus. Wenn Sie insolvent gehen, wollen sie raus. Standard.

Fügen Sie eine Datenklausel nach Beendigung hinzu: wie lange der Kunde Zeit hat, seine Daten zu exportieren, wie lange Sie sie bis zur Löschung aufbewahren und wer für eine verlängerte Aufbewahrung zahlt. 30 Tage Export, dann Löschung innerhalb von 60 Tagen ist ein üblicher Mittelweg.

Service Level Agreement (SLA)

Beim SLA tut Übersprechen weh. Versprechen Sie keine Zahlen, die Sie nicht halten können.

Ein typischer Mid-Market-SaaS-SLA:

• Verfügbarkeitsziel: 99,9% (das sind ~43 Minuten Ausfall pro Monat). 99,99% ist Enterprise-Niveau — verpflichten Sie sich nur dazu, wenn Ihre Architektur das hergibt.
• Messzeitraum: Kalendermonat, nicht rollierend.
• Ausnahmen: Geplante Wartung (mit Ankündigung), höhere Gewalt, vom Kunden verursachte Ausfälle, Drittanbieterausfälle außerhalb Ihrer Kontrolle.
• Rechtsfolgen: Service-Gutschriften, keine Bargeldrückerstattungen. Typische Struktur: 10% Gutschrift bei Verfügbarkeit unter 99,9%, 25% bei unter 99%, 50% bei unter 95%. Gesamtgutschriften auf eine Monatsgebühr begrenzen.
• Einziges Rechtsmittel des Kunden: Die Gutschriften. Keine Schadensersatzklagen. Das schützt Sie vor einem Kunden, der behauptet, der Ausfall habe ihn 2 Mio. EUR Umsatz gekostet.

Wenn ein Kunde auf Bargeldrückerstattung statt Gutschriften drängt, wehren Sie sich entschieden. Das ist eine strukturelle Risikoverschiebung.

Auftragsverarbeitungsvertrag (DPA / DSGVO)

Jeder Kunde mit EU-Nutzern wird einen DPA verlangen. Das ist eine rechtliche Pflicht nach Art. 28 DSGVO, wenn Sie personenbezogene Daten in seinem Auftrag verarbeiten — was Sie mit hoher Wahrscheinlichkeit tun.

Was hineingehört:

• Rollen: Sie sind Auftragsverarbeiter, der Kunde ist Verantwortlicher. Explizit benennen.
• Gegenstand und Dauer der Verarbeitung. Welche Daten, zu welchem Zweck, wie lange.
• Sub-Auftragsverarbeiter. Eine Liste aller Drittanbieter (AWS, Stripe, Sentry usw.) und ein Prozess zur Information des Kunden bei Änderungen.
• Sicherheitsmaßnahmen. Verweis auf Ihre Sicherheitsdokumentation — Verschlüsselung at-rest und in-transit, Zugriffskontrollen, Meldefristen bei Datenpannen.
• Internationale Übermittlungen. Standardvertragsklauseln (Version 2021) für alle Daten, die die EU/UK verlassen.
• Auditrechte. Recht des Kunden, Ihre Compliance zu prüfen, meist auf einmal pro Jahr und auf seine Kosten begrenzt.

Holen Sie sich eine DPA-Vorlage von einem Anwalt, der EU-Datenschutzrecht kennt. Nutzen Sie sie als Basis für jeden Kunden. Versuchen Sie nicht, eine von Grund auf neu zu schreiben.

Haftungsbeschränkung

Zwei Zahlen zählen hier.

Der Cap. Gesamthaftung unter dem Vertrag, meist begrenzt auf die in den letzten 12 Monaten gezahlten Gebühren. Kunden werden auf "zwei-" oder "dreifach" drängen; Sie drängen auf "den niedrigeren Wert aus gezahlten Gebühren und einem festen Eurobetrag". Landen Sie irgendwo Vernünftiges.

Die Carve-outs. Dinge, die nicht gedeckelt sind — meist Verletzung der Vertraulichkeit, IP-Freistellung, grobe Fahrlässigkeit und Vorsatz. Manche Kunden wollen zusätzlich unbegrenzte Haftung für Datenpannen, was einen Kampf wert ist (den man oft halb verliert).

Wenn Ihr Vertrag die Haftung auf "in den letzten 12 Monaten gezahlte Gebühren" deckelt und Folgeschäden ausschließt, sind Sie als kleines SaaS solide aufgestellt.

IP-Eigentum

Klar formulieren:

• Sie besitzen Ihre Software. Der Kunde kauft eine Lizenz zur Nutzung, nicht das geistige Eigentum.
• Der Kunde besitzt seine Daten. Sie haben eine begrenzte Lizenz, sie zur Service-Erbringung zu nutzen.
• Feedback und Verbesserungen. Wenn der Kunde Features vorschlägt und Sie sie bauen, gehört Ihnen das resultierende IP. Explizit festhalten — sonst entsteht Mehrdeutigkeit.

So unterzeichnen Sie SaaS-Verträge online (mit E-Signaturen)

Sobald Sie das Dokument haben, sollte das Signieren keine zwei Wochen Papierkrieg dauern.

Für EU-Kunden gibt eIDAS Ihnen drei Stufen: SES (einfach), AES (fortgeschritten) und QES (qualifiziert) — für gewöhnliche B2B-SaaS-Deals ist AES der sichere Default. Für US-Kunden machen ESIGN und UETA elektronische Standardsignaturen rechtsverbindlich. Wir haben das in unserem Leitfaden zu grenzüberschreitenden Verträgen ausführlich behandelt.

Der praktische Workflow:

1. Dokument erzeugen. PDF aus Ihrer Vorlage mit den kundenspezifischen Feldern.
2. Zur Signatur senden. Über eine E-Signatur-Plattform — beide Parteien unterschreiben im Browser, kein Drucken nötig.
3. Audit Trail erfassen. IP-Adressen, Zeitstempel, Identität der Unterzeichner, Dokumenten-Hash. Das ist Ihr Beweis für die Durchsetzbarkeit.
4. Unterschriebene Kopie speichern. In Ihrem Vertragsmanagementsystem, einem Drive-Ordner, Ihrem CRM — irgendwo strukturiert und auffindbar.

Genau dafür ist CanUSign gebaut. Wir wickeln täglich MSAs, Order Forms, DPAs und SLAs für B2B-SaaS-Teams ab. Bei 1 EUR pro Dokument oder 14,90 EUR/Monat für unbegrenztes Pro-Signing schlägt die Rechnung DocuSign um eine Größenordnung — und unsere Preise sind transparent. Für den tieferen rechtlichen Hintergrund siehe unseren Leitfaden zur elektronischen Signatur.

Häufige Fallstricke

Eine Handvoll Fehler, die ich in SaaS-Verträgen für Frühphasen-Gründer immer wieder sehe:

• MSA und Order Form vermischen. Preise im MSA bedeutet, dass Sie bei jeder Verlängerung den ganzen Vertrag neu aushandeln. Trennen.
• Automatische Verlängerung ohne Hinweis. Eine Klausel, die stillschweigend ohne Frist verlängert, ist in Deutschland und der EU oft nicht durchsetzbar. Immer eine Hinweisfrist einbauen.
• 99,99% Verfügbarkeit ohne tragende Architektur versprechen. Ihr SLA ist eine vertragliche Verpflichtung. An die Realität anpassen.
• Kein DPA für EU-Kunden. Das ist nicht optional. DPA-Vorlage bereithalten, bevor Sie sie brauchen.
• Vage "Active User"-Definitionen. Seats immer als benannte Nutzer mit eindeutigen Zugangsdaten definieren — sonst gibt es später Streit.
• Unbegrenzte Haftung bei Datenpannen. Deckeln. Eine Versicherung füllt die Lücke.
• Kein Preiserhöhungs-Cap. Kunden werden ihn später hassen, und "später" kommt schneller als gedacht.

FAQ

Brauche ich einen MSA, wenn ich nur an kleine Unternehmen verkaufe? Für Self-Serve-Kunden unter ~5.000 EUR ARR reichen meist Click-Through-AGB plus eine Auftragsbestätigung. Darüber werden Kunden nach einem unterschriebenen MSA fragen. Halten Sie einen bereit.

Können meine AGB einen MSA ersetzen? Mehr oder weniger. Gut formulierte AGB decken viel ab, sind aber einseitig (Sie haben sie geschrieben, der Kunde akzeptiert). Enterprise-Kunden wollen ein verhandeltes, beidseitig unterzeichnetes Dokument. Beide können koexistieren — viele SaaS nutzen AGB für Self-Serve und einen echten MSA für verhandelte Deals.

Wie lang sollte ein SaaS-MSA sein? 15 bis 25 Seiten ist typisch. Kürzer und Sie übersehen wahrscheinlich etwas Wesentliches. Länger und Sie übertechnisieren ein Startup-Geschäft.

Was ist der Unterschied zwischen einem DPA und einer Datenschutzerklärung? Die Datenschutzerklärung ist ein öffentliches Dokument darüber, wie Sie personenbezogene Daten allgemein behandeln. Der DPA ist ein bindender Vertrag zwischen Ihnen und einem konkreten Kunden darüber, wie Sie seine Daten in seinem Auftrag verarbeiten. Andere Zielgruppe, andere rechtliche Wirkung.

Fazit

SaaS-Verträge wirken einschüchternd, bis Sie die Struktur sehen. MSA als rechtliches Gerüst, Order Form für die Kommerzialien, DPA für Daten, SLA für Verfügbarkeit. Bringen Sie diese vier Dokumente in ein dichtes Templated-Set, lernen Sie, welche Klauseln verhandelbar sind und welche nicht — und Sie schließen Enterprise-Deals in Tagen statt Wochen.

Lassen Sie Verträge nicht das sein, woran Ihre Deals scheitern. Schreiben, unterschreiben, weiterbauen. Wenn Sie ein Tool wollen, das den Signing-Teil schnell, günstig und rechtlich solide für EU- und US-Kunden erledigt — probieren Sie CanUSign. Ihr zukünftiges Ich wird sich, drei Deals von jetzt, bedanken.