Das Mindestmaß: 10 Fragen an einen SaaS-Anbieter — und 5 zusätzliche für KI-Tools

Ein deutscher Mittelständler, 220 Mitarbeiter, Maschinenbau, unterschreibt im April einen Drei-Jahres-Vertrag für ein neues SaaS-HR-System. Auf Tisch lagen drei Hochglanz-Trust-Center-PDFs des Anbieters, eine ISO-27001-Urkunde mit Stempel und ein DPA-Entwurf vom Procurement. Der CFO winkt durch, der IT-Leiter ist froh, dass jemand Excel ablöst. Drei Monate später meldet der Anbieter einen Sicherheitsvorfall — eine Subunternehmer-Pipeline in Mumbai war seit acht Wochen offen. Der ISO-Stempel war gültig. Das Audit war von 2024. Der indische Sub-Processor war im Annex auf Seite 17 als “optional” gelistet. Niemand hatte gefragt.

Solche Fälle landen selten in der Presse — sie landen beim Hausjuristen, beim Datenschutzbeauftragten und am Ende beim Geschäftsführer, der einen 90-Tage-Plan schreiben muss. Der teure Teil ist nicht der Vorfall. Der teure Teil ist die rückwirkende Erkenntnis, dass sechs der zehn relevanten Fragen vor Vertragsschluss nie gestellt wurden.

Dieser Insight ist die Mindestcheckliste, die ich an einen Mittelständler-IT-Leiter geben würde, wenn er fragt: “Was muss ich einen SaaS-Anbieter wirklich fragen?” Zehn Punkte für klassische SaaS, fünf zusätzliche für KI-Tools. Kürzer ist nicht seriös. Länger lähmt den Einkauf.

Warum Standard-Checklisten versagen

Die übliche Vendor-Questionnaire-Bürokratie in Konzernen kommt aus zwei Quellen: dem BSI-IT-Grundschutz und Vorlagen großer Beratungen. Beide sind nicht falsch — aber für einen 200-MA-Mittelständler, der gerade Personio gegen rexx evaluiert, sind sie unbedienbar lang. Die Folge: das Procurement schickt ein 187-Punkte-Excel, der Anbieter füllt 187-mal “siehe Trust Center” ein, alle nicken. Der Excel-Prozess ersetzt das Denken.

Schlimmer noch: die drei Compliance-Stempel, an denen sich Käufer festhalten, beweisen nicht, was Käufer glauben dass sie beweisen.

Stempel	Was er tatsächlich bestätigt	Was Käufer fälschlich annehmen
ISO 27001	Es existiert ein dokumentiertes Information-Security-Management-System nach Norm, ein Auditor hat Stichproben gezogen.	”Die sind sicher.”
SOC 2 Type II	Über sechs bis zwölf Monate wurden Kontrollen geprüft. Scope variiert (Security / Availability / Confidentiality / Privacy).	”Die haben Pentest und kein Datenleck.”
DORA-Konformität	Der Anbieter erfüllt EU-Anforderungen, soweit er als IKT-Drittdienstleister für regulierte Finanzunternehmen gilt. Gilt seit 17.01.2025.	”Allgemeines Sicherheitsversprechen für alle Branchen.”
NIS2	Anforderung an dich, nicht primär an deinen Anbieter — du musst das Risiko deiner Lieferkette beherrschen. DE-Umsetzungsgesetz: verspätet, im Sommer 2026 erwartet.	”Der Anbieter ist NIS2-zertifiziert.” (Existiert so nicht.)

ISO 27001 ist ein Management-System-Zertifikat, kein Datenfluss-Audit. Wenn ein Anbieter dokumentiert, dass er regelmäßig die Tür zum Serverraum prüft, und der Auditor das abhakt, ist die Norm erfüllt — auch wenn die Sub-Processor-Liste sechs Jahre alt ist. Wer Aktualität der Sub-Processoren erzwingen will, braucht das im Vertrag; die Norm verlangt es nicht.

Genau deshalb braucht es konkrete operative Fragen, die der Stempel nicht beantwortet.

Die 10-Punkte-Mindestcheckliste (klassische SaaS)

Reihenfolge nach Wirkung pro investierter Minute. Wer nur eine Stunde hat, beantwortet die ersten fünf.

Wo werden meine Daten verarbeitet — und wo liegt das Backup? Konkrete Region (AWS eu-central-1, Azure germanywestcentral, GCP europe-west3), nicht “innerhalb der EU”. Ein Backup nach us-east-1 macht die ganze EU-Aussage hinfällig.
Vollständige Sub-Processor-Liste mit Standort und Funktion. Inklusive Versionsstand und Mechanismus für Änderungs-Benachrichtigung. Wer schreibt mir, wenn ein neuer Sub-Processor dazukommt — und kann ich widersprechen?
AVV nach Art. 28 DSGVO unterschriftsreif beiliegend. Nicht “wird auf Anfrage gestellt”. Der DPA-Stand wird Vertragsbestandteil.
Wer kann auf meine Produktivdaten zugreifen — und wie? Support-Engineers, Tier-2-Operations, Sub-Processor-Personal. Gibt es Just-in-Time-Access mit Audit-Log? Kann ich BYOK (Bring-Your-Own-Key) machen, falls die Datenklasse das erfordert?
SLA für Sicherheitsvorfall-Benachrichtigung. “Best effort” ist keine Frist. Verlangt wird: 24 Stunden für meldepflichtige Vorfälle nach DSGVO Art. 33, dokumentiert im Vertrag. Plus: Wer ist die benannte Person, und wie erreiche ich sie um 3 Uhr morgens?
Pen-Test- und Schwachstellenbericht — nicht die Aussage, dass es einen gibt. Datum des letzten Tests, Auditor, gefundene High/Critical-Findings und Status der Behebung. Unter NDA okay, aber sehbar.
Exit-Klausel mit konkretem Datenexport-Format und Aufbewahrungsfrist. JSON-Dump, CSV, native-API — mit dokumentierter Vollständigkeit. Aufbewahrung nach Kündigung: 30 Tage Standard, danach zertifizierte Löschung.
Geltendes Recht und Gerichtsstand. Deutsches Recht und ein deutsches Sub-Gericht sind nicht selbstverständlich. Irisches Recht bei US-Anbietern wirkt freundlich, ist aber teuer wenn etwas schief geht.
Versicherungsdeckung pro Vorfall. Cyber-Liability-Police mit klarer Deckungssumme. Anbieter mit fünf Mitarbeitern und 50.000-Euro-Deckung können einen Vorfall nicht stemmen — egal was der ISO-Stempel sagt.
Welche Stempel genau, gültig bis wann, Auditor namentlich. Stichproben-Check bei der akkreditierenden Stelle. ISO-27001-Zertifikate sind in der DAkkS-Datenbank verifizierbar — ein PDF-Logo ist kein Nachweis.

Diese zehn Fragen beantworten ehrliche Anbieter in einem 90-Minuten-Call mit dem Security-Engineering plus Legal. Wer länger braucht, hat etwas zu verbergen oder seine internen Prozesse nicht im Griff. Beides ist ein Signal.

Die 5 KI-Zusatzfragen — der eigentliche Differentiator

Hier ist die Lücke, in der die meisten Standard-Vendor-Questionnaires versagen. Wer einen klassischen SaaS-Fragebogen auf ChatGPT Enterprise, Aleph Alpha, Mistral oder einen vertikalen KI-Anbieter wie Celonis anwendet, übersieht die Punkte, an denen KI-Tools sich fundamental anders verhalten.

Werden meine Daten zum Training verwendet — Default, Opt-out, vertraglich? Default-Setting ist entscheidend: bei ChatGPT Free/Plus werden Konversationen standardmäßig zum Training genutzt, bei Team/Enterprise nicht. Bei Claude Free/Pro gilt heute kein Trainings-Opt-in, bei Team/Enterprise erst recht nicht. Die Tier-Wahl entscheidet hier mehr als der Anbietername. Vertraglich nachweisbar bedeutet: in den Business Terms steht “we will not train on your data”, nicht nur in der Marketing-FAQ.
Wo läuft die Inferenz — konkret? ChatGPT Enterprise routet standardmäßig über die US-OpenAI-Infrastruktur, optional über Azure-OpenAI mit Region-Wahl (z. B. swedencentral für EU). Claude über Anthropics eigene Infrastruktur (AWS, weltweit) oder über AWS Bedrock mit Region-Wahl. Mistral hat EU-First-Endpunkte als Default. Wenn deine Daten nicht über die USA gehen dürfen, ist das eine Konfigurationsfrage, keine Marketing-Frage.
Retention von Prompts und Outputs. Default bei OpenAI Enterprise: 30 Tage für Abuse-Monitoring (verlängerbar bei rechtlichen Holds). Zero Data Retention ist ein zubuchbares Feature, kein Default. Bei Anthropic Enterprise vergleichbar. Verbatim-Speicherung von Prompts ist DSGVO-relevant, wenn personenbezogene Daten enthalten sind.
Plan-Tier-Matrix — der größte Unterschied liegt nicht zwischen Anbietern.

Tier	Trainings-Opt-out	Vertragspartner	DSGVO-AVV	EU-Region wählbar
ChatGPT Free	Nein (opt-in nur über Setting)	OpenAI OpCo LLC	nein	nein
ChatGPT Plus	Setting möglich, kein Vertrag	OpenAI OpCo LLC	nein	nein
ChatGPT Team	Default kein Training	OpenAI Ireland Ltd	ja	nein (US-Default)
ChatGPT Enterprise	Default kein Training	OpenAI Ireland Ltd	ja	ja (Azure-Variante)
Claude Free/Pro	Default kein Training	Anthropic PBC	nein	nein
Claude Team/Enterprise	Default kein Training	Anthropic / Anthropic Ireland	ja	über AWS Bedrock konfigurierbar
Mistral Le Chat Pro	Default kein Training	Mistral AI SAS (FR)	ja	EU-Default

Wer einen Free- oder Plus-Account für Geschäftsdaten nutzt, hat keine Rechtsgrundlage. Verantwortlich ist hier die Beschaffung, nicht der Anbieter.

Modell-Version-Pinning und Update-Politik. Wenn ein Output reproduzierbar sein muss (Bankenaufsicht, klinische Studien, Rechtsdokumente), brauchst du die Garantie, ein konkretes Modell-Release weiter nutzen zu können — auch nachdem der Anbieter die nächste Version ausrollt. OpenAI bietet das im Enterprise-Tier mit Modell-Snapshots (gpt-4o-2024-08-06), Anthropic mit Versions-Pinning (claude-opus-4-5-20251201). Im Consumer-Tier bekommst du was der Anbieter gerade vorne hat.

Wann reicht das Mindestmaß — und wann nicht

Die 15 Fragen sind ein operativer Mindeststandard. Sie sind nicht universell hinreichend. Die Regel:

Datenklasse	Sektor	Was zusätzlich nötig ist
Öffentliche Daten, Marketing-Content, interne Logistik ohne Personenbezug	Industrie, Maschinenbau, Handel	10 Klassische reichen. KI-Zusatz nur, wenn KI-Tool eingesetzt wird.
Personenbezogene Daten (HR, CRM mit Kundendaten)	alle Branchen	Volle 15 Punkte. AVV-Stand zwingend, Sub-Processor-Liste laufend zu überwachen.
Gesundheitsdaten, Berufsgeheimnis (StGB §203)	Healthcare, Pharma, Kanzlei	15 + DSGVO-Art.-9-Sonderregeln + ggf. BSIG-Anforderungen + KRITIS-Sektor-Pflichten.
Finanzdaten regulierter Institute	Banken, Versicherer, Zahlungsdienstleister	15 + volle DORA-Pflicht-Checkliste (Outsourcing-Register, Konzentrations-Risiko, Exit-Strategie, Audit-Rechte).
Klassifizierte Daten	Öffentliche Hand, Verteidigung	Spezialthema, nicht über SaaS-Standardverträge lösbar.

Wer in der ersten Zeile sitzt und trotzdem das Procurement-Lähmungs-Excel schickt, verbrennt die eigene Verhandlungsmacht. Wer in der dritten oder vierten Zeile sitzt und nur die 15 Fragen abhakt, verbrennt die eigene Firma.

Meine Perspektive 🎯

Der ISO-Stempel ist ein Filter, kein Freibrief. Anbieter ohne ISO 27001 sind in den meisten Fällen disqualifiziert. Anbieter mit ISO 27001 sind qualifiziert für die nächste Runde — nicht für den Vertrag.
Sub-Processors sind die Lücke, die niemand prüft — und durch die jedes Datenleck am Ende fließt. Wer in der Vertragsverhandlung kein Änderungs-Notification-Recht durchsetzt, hat keine Kontrolle über seine eigene Lieferkette. Das ist NIS2-relevant, auch wenn der Anbieter es nicht ist.
Bei KI-Tools entscheidet der Plan-Tier mehr als der Anbieter. Claude im Free Plan und ChatGPT im Free Plan sind beide nicht für Geschäftsdaten geeignet, im Enterprise-Plan beide grundsätzlich tragfähig. Wer den Tier nicht prüft, prüft den falschen Layer.
Wer mehr als 15 Fragen schickt, ohne den Use Case zu kennen, ist nicht gründlich — er bremst nur den Einkauf. Gründlichkeit zeigt sich darin, die richtigen Fragen zu stellen, nicht alle.
Anbieter sollten diese Liste lieben. Wer als Anbieter eine standardisierte Antwort auf alle 15 Punkte hat — als verlinkbares Trust-Center, nicht als Sales-PDF — kürzt den eigenen Sales-Cycle um Wochen. Das ist eine Differenzierung, kein Compliance-Kostenfaktor.

Die Checkliste zum Mitnehmen

Markdown, kopierbar, an den Anbieter schickbar. Antwortspalte rechts.

1.  Datenverarbeitungsort + Backup-Region (konkret):     ___________
2.  Vollständige Sub-Processor-Liste, Stand:             ___________
3.  AVV nach Art. 28 DSGVO, Version:                     ___________
4.  Admin-/Support-Zugriff auf Produktivdaten:           ___________
5.  Sicherheitsvorfall-Benachrichtigung (Frist):         ___________
6.  Letzter Pen-Test (Datum, Auditor, offene Findings):  ___________
7.  Exit-Datenexport (Format, Aufbewahrung):             ___________
8.  Geltendes Recht / Gerichtsstand:                     ___________
9.  Cyber-Haftpflicht-Deckung pro Vorfall:               ___________
10. Compliance-Zertifikate (Auditor, gültig bis):        ___________

KI-Zusatz (nur bei KI-Tools):
11. Training auf Kundendaten (Default, Vertragslage):    ___________
12. Inferenz-Region (konkret, Default):                  ___________
13. Prompt-/Output-Retention (Tage, ZDR-Option):         ___________
14. Plan-Tier (Free/Plus/Team/Enterprise):               ___________
15. Modell-Version-Pinning verfügbar:                    ___________

Wer 15 ausgefüllte Zeilen vom Anbieter zurückbekommt, weiß genug für eine informierte Entscheidung. Wer sie nicht zurückbekommt, weiß auch genug.