SaaS-Beschaffungsrichtlinie: Vorlage + Best Practices (2026)

Eine SaaS-Beschaffungsrichtlinie ist das wirksamste Instrument, das ein IT-Verantwortlicher oder CFO einsetzen kann, um Softwareausgaben zu kontrollieren, Sicherheitsrisiken zu reduzieren und SaaS-Sprawl zu verhindern. Dennoch verfügen weniger als 30 % der mittelständischen Unternehmen über eine dokumentierte Richtlinie. Dieser Leitfaden bietet Ihnen eine sofort einsetzbare Vorlage, einen schrittweisen Aufbauprozess und die Best Practices erfahrener IT- und Finanzteams für die Governance ihres Softwareportfolios.

Inhaltsverzeichnis

• Was ist eine SaaS-Beschaffungsrichtlinie?
• Warum benötigt Ihr Unternehmen eine SaaS-Beschaffungsrichtlinie im Jahr 2026?
• Welche Kernkomponenten umfasst eine effektive SaaS-Beschaffungsrichtlinie?
• SaaS-Beschaffungsrichtlinie Vorlage (kostenlos, sofort anpassbar)
• Wie erstellt man einen Software-Beschaffungsprozess Schritt für Schritt?
• Was sind die Best Practices für einen reifen SaaS-Beschaffungsprozess?
• Wie automatisiert Corma Ihren SaaS-Beschaffungsprozess?
• FAQ

Was ist eine SaaS-Beschaffungsrichtlinie?

Definition. Eine SaaS-Beschaffungsrichtlinie ist ein formales Dokument, das definiert, wie eine Organisation SaaS-Abonnements bewertet, kauft, verlängert und ausläuft lässt. Sie legt fest, wer Softwareanfragen genehmigen kann, welche Kriterien Anbieter erfüllen müssen, wie Verträge verfolgt werden und wie Zugänge bei Mitarbeiteraustritt widerrufen werden.

Im Gegensatz zur traditionellen IT-Beschaffung — die auf Hardware-Zyklen und mehrjährige On-Premise-Lizenzen ausgerichtet war — erfolgt der Software-Beschaffungsprozess für SaaS kontinuierlich. Ein Mitarbeiter kann ein neues Tool mit einer Kreditkarte in fünf Minuten kaufen, völlig außerhalb jedes Genehmigungsworkflows. Ohne klare Richtlinie ist das Ergebnis vorhersehbar: doppelte Tools, nicht erfasste Verträge, Sicherheitslücken und Budgetschwund.

Eine gut konzipierte SaaS-Beschaffungsrichtlinie wandelt dieses Chaos in einen wiederholbaren Workflow um, den sowohl IT als auch Finance bedienen können — und der mit dem Wachstum Ihres Stacks skaliert.

Warum benötigt Ihr Unternehmen eine SaaS-Beschaffungsrichtlinie im Jahr 2026?

Sie brauchen eine SaaS-Beschaffungsrichtlinie, weil die Kosten des Fehlens einer solchen inzwischen messbar sind — in Euro, Sicherheitsvorfällen und Prüfungsfehlern. Das durchschnittliche mittelständische Unternehmen betreibt über 100 SaaS-Anwendungen, aber IT hat in der Regel nur bei 60 % davon Transparenz — der Rest fällt unter Shadow IT, ohne formale Genehmigung beschafft und genutzt.

Die betrieblichen Folgen sind direkt:

• Ausgabenverschwendung. Gartner schätzt, dass 25 bis 35 % des SaaS-Budgets auf ungenutzte oder unterbewertete Lizenzen entfallen.
• Sicherheitsrisiko. Jedes nicht genehmigte SaaS-Tool ist ein potenzieller Datenleckvektor — besonders akut unter DSGVO und den neuen NIS2-Verpflichtungen.
• Compliance-Risiko. Ohne dokumentierten SaaS-Beschaffungsprozess sind Prüfpfade unvollständig und Access Governance unmöglich durchzusetzen.
• Verlorener Verhandlungshebel. Automatisch verlängerte Verträge, die niemand prüft, werden fast nie zu den besten Konditionen erneuert.

Weiterführende Lektüre: Der CFO-Leitfaden zur Optimierung von SaaS-Ausgaben

Welche Kernkomponenten umfasst eine effektive SaaS-Beschaffungsrichtlinie?

Eine effektive SaaS-Beschaffungsrichtlinie enthält acht Kernkomponenten: Geltungsbereich, Stakeholder-Rollen, Anfrageprozess, Anbieter-Bewertungskriterien, Genehmigungsschwellen, Vertragsmanagement, Offboarding-Regeln und einen Ausnahmeprozess. Jede Komponente schließt eine spezifische Lücke, die entweder Ausgabenverschwendung oder Sicherheitsrisiken verursacht, wenn sie nicht adressiert wird.

Geltungsbereich und Anwendbarkeit

Dieser Abschnitt definiert, welche Käufe die Richtlinie abdeckt — typischerweise jedes Abonnement über einem definierten Kostenschwellenwert (häufig 50 €/Monat oder 500 €/Jahr) und jedes Tool, das Unternehmens- oder Kundendaten verarbeitet, unabhängig von den Kosten. Kostenlose Tools sollten dennoch deklariert werden.

Stakeholder-Rollen und Verantwortlichkeiten

Eine klare Richtlinie benennt jede Rolle bei einem Softwarekauf: den anfragenden Mitarbeiter, den Abteilungsleiter, IT, Finance, Legal und — in größeren Organisationen — einen Beschaffungsausschuss. Ohne benannte Eigentümer wird die Richtlinie beratend statt verbindlich.

Software-Anfrage- und Genehmigungsworkflow

Dies ist der operative Kern der Richtlinie. Er definiert das Antragsformular, das Mitarbeiter für neue Tools verwenden, die Reihenfolge der Prüfungen (fachlich, technisch, finanziell, rechtlich) und die SLA, die jeder Prüfer einhalten muss. Ein typischer End-to-End-Zyklus sollte bei Standardanfragen nicht mehr als 5 Werktage dauern.

Anbieter-Bewertungskriterien

Vor jeder Vertragsunterzeichnung muss IT validieren, dass der Anbieter Mindeststandards bei Sicherheit (SOC 2 Typ II oder ISO 27001), Datenspeicherort, SSO/SCIM-Kompatibilität, Preismodell und Support-SLA erfüllt. Für Tools, die personenbezogene Daten verarbeiten, ist eine DPA-Prüfung durch Legal obligatorisch.

Genehmigungsschwellen (Genehmigungsmatrix)

Die Genehmigungsbefugnis sollte nach jährlichem Vertragswert und Datensensibilität gestaffelt werden — nicht nach Berufsbezeichnung. Prinzip: Je mehr Geld oder sensible Daten involviert sind, desto höher der Genehmiger und desto mehr Stakeholder werden einbezogen.

Vertrags- und Verlängerungsmanagement

Jeder Vertrag muss in einem zentralen Register gespeichert werden, mit Verlängerungsbenachrichtigungen 90, 60 und 30 Tage vor dem automatischen Verlängerungsdatum. Tools mit weniger als 50 % aktiven Nutzern sollten automatisch zur Konsolidierung oder Herabstufung markiert werden.

Offboarding und Lizenzrückgewinnung

Wenn ein Mitarbeiter das Unternehmen verlässt, müssen alle SaaS-Lizenzen innerhalb von 24 Stunden nach seinem letzten Arbeitstag widerrufen werden, und zurückgewonnene Lizenzen müssen innerhalb von 30 Tagen neu zugewiesen oder gekündigt werden. Dies ist die größte Einzelquelle für SaaS-Einsparungen in den meisten Organisationen.

Ausnahmeprozess

Dringende Käufe, die nicht auf den Standardzyklus warten können, benötigen einen klaren Schnellpfad — mündliche oder E-Mail-Genehmigung durch Manager und IT, mit einem nachträglich eingereichten formalen Antrag innerhalb von 5 Werktagen. Wiederholte Ausnahmen desselben Teams sollten ein Audit auslösen.

Weiterführende Lektüre: Schluss mit Tabellen: SaaS-Stack automatisieren

SaaS-Beschaffungsrichtlinie Vorlage (kostenlos, sofort anpassbar)

Die folgende Vorlage ist so strukturiert, dass Sie sie in eine Notion-Seite, ein Google Doc oder Ihr internes Wiki kopieren und Schwellenwerte, Rollenbezeichnungen und Kriterien anpassen können. Sie ist bewusst als funktionierende Richtlinie verfasst — nicht als Marketing-Zusammenfassung.

SaaS- und Software-Beschaffungsrichtlinie — Vorlage

Richtlinienname: SaaS- und Software-Beschaffungsrichtlinie

Version: 1.0

Eigentümer: IT-Manager / CIO

Gültig ab: [Datum]

Überprüfungszyklus: Jährlich

1. Zweck und Geltungsbereich

Diese Richtlinie regelt die Bewertung, den Kauf, die Verlängerung und die Stilllegung aller SaaS-Anwendungen und Software-Abonnements, die von [Unternehmensname] genutzt werden.

Sie gilt für:

• Alle Mitarbeiter, Auftragnehmer und Drittbenutzer
• Alle aus dem Unternehmensbudget finanzierten Käufe — einschließlich Abteilungskreditkarten und Spesenabrechnungen
• Jedes Tool, das Unternehmens- oder Kundendaten verarbeitet, speichert oder überträgt

Sie gilt nicht für kostenlose Tools ohne Datenaustausch und ohne Budgetauswirkung (diese müssen jedoch dennoch deklariert werden), noch für IT-Infrastrukturverträge, die einer separaten Lieferantenmanagement-Richtlinie unterliegen.

2. Stakeholder-Rollen und Verantwortlichkeiten

An jedem SaaS-Kauf sind folgende Rollen beteiligt:

• Anfragender Mitarbeiter: stellt die Software-Anfrage mit Begründung, Kostenschätzung und Anwendungsfall ein.
• Abteilungsleiter: validiert den Geschäftsbedarf und bestätigt die Budgetverfügbarkeit.
• IT-Manager / CIO: prüft Sicherheitslage, Integrationsanforderungen und Lizenzmodell.
• Finance / CFO: genehmigt Verträge über definierten Schwellenwerten und pflegt das Vertragsregister.
• Legal: prüft den Datenverarbeitungsvertrag (DPA) für jedes Tool, das personenbezogene Daten verarbeitet.
• Beschaffungsausschuss: letzte Genehmigungsinstanz für Unternehmensverträge über 25.000 € jährlich.

3. Software-Anfrage- und Genehmigungsworkflow

Jeder neue SaaS-Kauf muss folgende Sequenz durchlaufen:

1. Der Mitarbeiter reicht eine Anfrage über das Eingangsformular ein (siehe Anhang A), einschließlich: Tool-Name, Anbieter, Geschäftsbegründung, geschätzte Kosten, Abrechnungszyklus, Anzahl der Lizenzen und Datenklassifizierung.
2. Der Abteilungsleiter genehmigt oder lehnt den Geschäftsfall innerhalb von 3 Werktagen ab.
3. IT prüft Sicherheits- und Compliance-Lage: SSO-Kompatibilität, Datenspeicherort, SOC 2 / ISO 27001-Zertifizierung und API-Verfügbarkeit.
4. Finance bestätigt die Budgetverfügbarkeit für das betreffende Kostenzentrum.
5. Legal prüft den DPA, wenn das Tool personenbezogene Daten verarbeitet.
6. Die endgültige Genehmigung wird gemäß der nachstehenden Genehmigungsmatrix erteilt.

4. Genehmigungsmatrix

Die Genehmigungsbefugnis ist nach jährlichem Vertragswert gestaffelt:

• Unter 500 €/Jahr: Abteilungsleiter
• 500 € bis 5.000 €/Jahr: IT-Manager und Finance
• 5.000 € bis 25.000 €/Jahr: CIO und CFO
• Über 25.000 €/Jahr: Beschaffungsausschuss

Jedes Tool, das personenbezogene oder vertrauliche Daten verarbeitet, erfordert eine IT-Genehmigung unabhängig von den Kosten.

5. Anbieter-Bewertungskriterien

Vor der Genehmigung muss IT validieren, dass der Anbieter folgende Mindeststandards erfüllt:

• Sicherheitszertifizierungen: SOC 2 Typ II oder ISO 27001, mit MFA-Durchsetzung und rollenbasierter Zugriffskontrolle.
• Datenspeicherort: Speicherort konform mit geltenden Vorschriften (DSGVO, NIS2 usw.).
• SSO-Kompatibilität: SAML- und SCIM-Unterstützung für die Integration mit dem Identity Provider des Unternehmens.
• Preismodell: Dokumentiertes und revidierbares Lizenzmodell (pro Nutzer, nutzungsbasiert oder hybrid).
• Support-SLA: Definierte Reaktionszeiten für geschäftskritische Tools.
• Anbieterviabilität: Finanzstabilitätsprüfung für Verträge über 10.000 €/Jahr.

6. Vertrags- und Verlängerungsmanagement

• Alle Verträge müssen im zentralen SaaS-Vertragsregister von IT und Finance gespeichert werden.
• Verlängerungsbenachrichtigungen werden 90, 60 und 30 Tage vor der automatischen Verlängerung ausgelöst.
• Vor jeder Verlängerung über 1.000 € muss eine Nutzungs- und Kostenprüfung abgeschlossen werden.
• Tools mit weniger als 50 % aktiven Nutzern werden zur Konsolidierung oder Herabstufung markiert.
• Abmeldungen von der automatischen Verlängerung müssen bei Vertragsunterzeichnung schriftlich mit dem Anbieter bestätigt werden.

7. Offboarding und Lizenzrückgewinnung

• Wenn ein Mitarbeiter das Unternehmen verlässt, müssen alle SaaS-Lizenzen innerhalb von 24 Stunden nach seinem letzten Arbeitstag widerrufen werden.
• Lizenzen ausscheidender Mitarbeiter müssen innerhalb von 30 Tagen in den Lizenzpool zurückgeführt und neu zugewiesen oder gekündigt werden.
• Ein jährliches Audit aller aktiven Lizenzen gegenüber dem aktuellen Personalbestand muss von IT durchgeführt werden.

Weiterführende Lektüre: Mitarbeiter mit einfacher Software-Beschaffung stärken

8. Ausnahmeprozess

Dringende Käufe, die nicht auf den Standardzyklus warten können, müssen:

1. Mündlich oder per E-Mail durch den zuständigen Manager und IT genehmigt werden.
2. Innerhalb von 5 Werktagen durch einen nachträglich eingereichten formalen Antrag dokumentiert werden.
3. Ohne CIO-Genehmigung 500 € Jahreswert nicht überschreiten.

Wiederholte Ausnahmen desselben Antragstellers oder derselben Abteilung lösen eine Überprüfung der SaaS-Nutzung und Beschaffungs-Compliance der Abteilung aus.

Wie erstellt man einen Software-Beschaffungsprozess Schritt für Schritt?

Der Aufbau eines Software-Beschaffungsprozesses von Grund auf dauert für eine mittelgroße Organisation 4 bis 6 Wochen und folgt einer logischen Abfolge von acht Schritten. Der häufigste Grund für das Scheitern solcher Initiativen ist der Versuch, die Richtlinie einzuführen, bevor Audit und Stakeholder-Mapping abgeschlossen sind.

Schritt 1 — SaaS-Stack auditieren

Bevor Sie eine Richtlinie schreiben, müssen Sie wissen, womit Sie es zu tun haben. Ein vollständiges SaaS-Discovery — einschließlich Shadow IT — bringt typischerweise 30 bis 50 % mehr Anwendungen zum Vorschein als derzeit in Ihrem Register stehen.

Schritt 2 — Stakeholder kartieren und Eigentümerschaft definieren

In den meisten Organisationen ist die SaaS-Beschaffung fragmentiert: Einige Tools gehören IT, andere Finance, andere einzelnen Abteilungsleitern. Die Richtlinie funktioniert nur, wenn ein Team — typischerweise IT — die Koordinationseigentümerschaft übernimmt, mit Finance als Co-Governance-Partner.

Schritt 3 — Antragsformular gestalten

Das Antragsformular ist die operative Eingangstür Ihrer Richtlinie. Halten Sie es kurz: Tool-Name, Anwendungsfall, Datenklassifizierung, geschätzte Kosten, Anzahl der Lizenzen. Alles darüber hinaus erzeugt Reibung und drängt Mitarbeiter zurück zu Umgehungswegen.

Schritt 4 — Genehmigungsmatrix festlegen

Definieren Sie Schwellenwerte basierend auf Vertragswert und Datensensibilität — nicht auf Berufsbezeichnungen. Das Prinzip: Je mehr Geld oder sensible Daten involviert sind, desto erfahrener der Genehmiger und desto mehr Stakeholder werden einbezogen.

Schritt 5 — Vertragsregister aufbauen

Eine Tabelle genügt zunächst. Aber sobald Ihr Stack 50 Anwendungen überschreitet, bricht das manuelle Tracking zusammen. Das Register muss erfassen: Tool-Name, Anbieter, Vertragsbeginn und -ende, automatische Verlängerungsbedingungen, Vertragsinhaber, Jahreskosten und Lizenzanzahl.

Schritt 6 — Verlängerungsbenachrichtigungen einrichten

Die teuerste Form der SaaS-Verschwendung entsteht durch Verträge, die ohne Prüfung automatisch verlängert werden. Richten Sie Kalenderbenachrichtigungen 90, 60 und 30 Tage vor der Verlängerung ein für alle Verträge über Ihrem Mindestschwellenwert; darunter genügt eine einzelne 30-Tage-Benachrichtigung.

Schritt 7 — HR-System integrieren

Beim Offboarding entstehen die schlimmsten Sicherheitslücken. Die Verbindung Ihres SaaS-Management-Prozesses mit Ihrem HRIS stellt sicher, dass der Lizenzentzug automatisch beim Mitarbeiteraustritt erfolgt — nicht drei Wochen später, wenn jemand es bemerkt.

Schritt 8 — Kommunizieren und schulen

Eine Beschaffungsrichtlinie, die niemand kennt, existiert nicht. Führen Sie ein kurzes All-Hands-Briefing durch, veröffentlichen Sie den Prozess in Ihrem internen Wiki und stellen Sie sicher, dass jeder Abteilungsleiter die Genehmigungsmatrix versteht.

Weiterführende Lektüre: Die stille Krise: Den Kampf gegen SaaS-Sprawl gewinnen

Was sind die Best Practices für einen reifen SaaS-Beschaffungsprozess?

Die folgenden Best Practices sind das, was eine Richtlinie, die nur auf dem Papier existiert, von einer unterscheidet, die tatsächlich verändert, wie Software gekauft, verlängert und stillgelegt wird. Sie stammen aus den Workflows von IT- und Finanzteams, die ihren SaaS-Beschaffungsprozess seit mindestens 12 Monaten betreiben.

• SSO für jedes Tool über Ihrem Kostenschwellenwert vorschreiben. SAML/SCIM-Integration ist sowohl eine Sicherheitsbasis als auch die technische Voraussetzung für automatisiertes Provisioning und Offboarding. Kein SSO-Support, keine Genehmigung — außer für dokumentierte Ausnahmen.
• Nutzung quartalsweise, nicht jährlich überprüfen. Lizenzverschwendung akkumuliert sich zwischen Jahresüberprüfungen. Eine leichte vierteljährliche Nutzungskontrolle Ihrer Top-20-Verträge fängt den Großteil der Verschwendung ab, bevor sie sich ausweitet.
• Konsolidieren vor dem Hinzufügen. Bevor ein neues Tool genehmigt wird, muss das anfragende Team bestätigen, dass kein bestehendes Tool im Stack den Anwendungsfall bereits abdeckt. Funktionale Überlappung ist der größte Einzeltreiber unnötiger SaaS-Ausgaben.
• Preise bei Verlängerung, nicht bei Vertragsunterzeichnung verhandeln. Kontraintuitiv ist die Verlängerung der Zeitpunkt, an dem Anbieter am verhandlungsbereitesten sind — besonders wenn Sie Nutzungsdaten vorlegen. Behandeln Sie jede Verlängerung als Verhandlungsgelegenheit, nicht als administrative Formalität.
• Ablehnungen und Begründungen dokumentieren. Ein einfaches Entscheidungsprotokoll verhindert, dass dasselbe Tool dreimal von drei verschiedenen Teams angefragt wird. Es sichert auch institutionelles Gedächtnis bei Mitarbeiterwechseln.
• Kostenlose Tools mit derselben Sorgfalt behandeln wie kostenpflichtige. Kostenlose Versionen verarbeiten oft dieselben Daten wie kostenpflichtige Pläne. Ein Freemium-Tool, das mit Ihrem CRM oder HRIS integriert ist, ist aus Sicherheits- oder Compliance-Perspektive keine kostenlose Entscheidung.

Weiterführende Lektüre: Der SaaS-Dschungel: 6 Zeichen, dass es Zeit ist, Lizenzen zu verwalten

Wie automatisiert Corma Ihren SaaS-Beschaffungsprozess?

Die Implementierung einer SaaS-Beschaffungsrichtlinie mit Tabellen und E-Mail-Threads ist ein valider Ausgangspunkt — aber keine skalierbare Lösung. Mit dem Wachstum Ihres Stacks wächst die operative Last der manuellen Richtlinienverwaltung im gleichen Tempo. Corma ist eine SaaS-Management-Plattform, die speziell für IT- und Finanzteams entwickelt wurde, die ihr Softwareportfolio ohne zusätzlichen administrativen Aufwand governance müssen.

So unterstützt Corma jede Ebene des Software-Beschaffungsprozesses:

• Automatisches SaaS-Discovery. Corma erkennt jede in der Organisation genutzte App — einschließlich Shadow IT — über eine Browser-Erweiterung und direkte Integrationen mit Ihrem IdP, Finanzsystem und HRIS. Die Discovery-Schicht bringt typischerweise 30 bis 50 % mehr Anwendungen ans Licht als das bestehende Register.
• Zentrales Vertragsregister. Jeder Vertrag — mit Verlängerungsdatum, Kosten, Eigentümer und Lizenzanzahl — ist in einem einzigen durchsuchbaren Repository gespeichert. Keine Excel-Dateien mehr, die per E-Mail weitergegeben werden.
• Konfigurierbare Verlängerungsbenachrichtigungen. Benachrichtigungen werden automatisch 90, 60 und 30 Tage vor jeder Vertragsverlängerung ausgelöst — dem richtigen Vertragsinhaber zugewiesen, nicht einem generischen Postfach.
• Echtzeit-Lizenznutzung. Nutzungsdaten pro Tool und pro Nutzer identifizieren ungenutzte Lizenzen mit einem Klick — und wandeln das Verlängerungsgespräch von „Sollen wir verlängern?" in „Das nutzen wir tatsächlich" um.
• HRIS-gesteuertes Offboarding. Wenn ein Mitarbeiteraustritt in Ihrem HRIS erfasst wird, löst Corma den automatischen Lizenzentzug für alle verbundenen Tools aus — innerhalb des 24-Stunden-Fensters ohne manuelles Ticket.
• Ausgaben-Dashboard für IT und Finance. Vollständige SaaS-Ausgabentransparenz nach Team, Anbieter und Kategorie — mit Daten, die sowohl für IT-Betriebsentscheidungen als auch für Finance-Reporting-Zyklen aufbereitet sind.

Im Gegensatz zu generischen Beschaffungstools ist Corma speziell für den SaaS-Kontext konzipiert — was bedeutet, dass es Abonnementabrechnung, Lizenzpools und die Identitätsebene, die Zugang mit Ausgaben verbindet, nativ versteht.

Cormas SaaS-Management-Lösung erkunden →

Entdecken, wie Corma Finanzteams hilft →

Ihren SaaS-ROI mit Corma berechnen →

Fazit

Eine SaaS-Beschaffungsrichtlinie ist eine der wirkungsvollsten Investitionen, die ein IT-Verantwortlicher oder CFO im Jahr 2026 tätigen kann. Sie erfordert weder ein großes Team noch ein komplexes Tool für den Start — sie erfordert Klarheit darüber, wer entscheidet, wie Anfragen fließen und was bei Verlängerungen passiert.

Die Vorlage in diesem Leitfaden gibt Ihnen einen produktionsreifen Ausgangspunkt. Passen Sie die Schwellenwerte an Ihre Organisation an, weisen Sie Verantwortlichkeiten zu, kommunizieren Sie den Prozess klar. Dann, wenn Ihr Stack wächst, lassen Sie ein Tool wie Corma die operative Ausführung übernehmen — damit Ihr Team seine Zeit auf Entscheidungen verwendet, nicht auf Administration.

Bereit, Ihren SaaS-Beschaffungsprozess zu strukturieren? Fordern Sie eine Corma-Demo an und sehen Sie, wie führende IT- und Finanzteams ihr Softwareportfolio — von der Discovery bis zu Verlängerungen — auf einer einzigen Plattform verwalten.

FAQ

Was ist eine SaaS-Beschaffungsrichtlinie?

Eine SaaS-Beschaffungsrichtlinie ist ein formales Dokument, das regelt, wie ein Unternehmen Software-Abonnements bewertet, kauft, verlängert und kündigt. Sie definiert Rollen, Genehmigungsworkflows, Anbieter-Bewertungskriterien und Regeln für das Verlängerungsmanagement — um sicherzustellen, dass Softwareausgaben kontrolliert, dokumentiert und auf Sicherheits- und Compliance-Anforderungen ausgerichtet sind.

Wer sollte den SaaS-Beschaffungsprozess in einem Unternehmen verantworten?

Die Verantwortung liegt typischerweise beim IT-Manager oder CIO, wobei Finance eine Co-Governance-Rolle bei Budgetgenehmigungen und Vertragsmanagement übernimmt. In größeren Organisationen kann eine dedizierte Beschaffungsfunktion oder ein gemeinsamer IT/Finance-Ausschuss den Prozess verantworten. Am wichtigsten ist, dass ein einziges Team die Koordinationsverantwortung trägt — verteilte Eigentümerschaft ohne klare Führung schafft genau die Lücken, die die Richtlinie verhindern soll.

Wie unterscheidet sich eine SaaS-Beschaffungsrichtlinie von einer allgemeinen IT-Beschaffungsrichtlinie?

Eine allgemeine IT-Beschaffungsrichtlinie ist für Hardware, On-Premise-Software und große Unternehmensverträge konzipiert. Eine SaaS-Beschaffungsrichtlinie adressiert die spezifischen Merkmale von SaaS: Abonnementabrechnung, kontinuierliche Verlängerungszyklen, lizenzbasierte Abrechnung und die Leichtigkeit, mit der Mitarbeiter formale Genehmigungen umgehen können. Die erforderlichen Workflows, Schwellenwerte und Tools sind grundlegend verschieden.

Was sollte eine SaaS-Anbieter-Bewertungs-Checkliste umfassen?

Mindestens sollte eine Anbieterbewertung abdecken: Sicherheitszertifizierungen (SOC 2 Typ II, ISO 27001), DSGVO-Compliance und Datenspeicherort, SSO/SAML-Kompatibilität mit Ihrem Identity Provider, Preismodell (pro Nutzer vs. nutzungsbasiert), Support-SLA und — für größere Verträge — Anbieterviabilität. Für Tools, die personenbezogene oder vertrauliche Daten verarbeiten, ist eine DPA-Prüfung durch Legal obligatorisch.

Wie verhindert man, dass Mitarbeiter den SaaS-Beschaffungsprozess umgehen?

Der wirksamste Ansatz ist, den konformen Weg einfacher zu machen als den nicht-konformen. Das bedeutet: kurzes Antragsformular, schnelle SLA für Genehmigungen (3 bis 5 Werktage) und ein klarer Ausnahmepfad für dringende Bedürfnisse. Die Kopplung der Richtlinie mit einem Tool wie Corma — das Shadow IT automatisch aufdeckt — beseitigt auch den Anreiz, den Prozess zu umgehen, da nicht genehmigte Tools sowieso entdeckt werden.

Wie oft sollte eine SaaS-Beschaffungsrichtlinie überprüft werden?

Eine jährliche Überprüfung ist der Standardmindestbetrag. Organisationen mit schnell wachsenden SaaS-Stacks oder häufigen M&A-Aktivitäten sollten die Richtlinie alle sechs Monate überprüfen. Auslöser für außerplanmäßige Überprüfungen umfassen: eine erhebliche Änderung der Unternehmensgröße oder -struktur, einen Sicherheitsvorfall mit einem nicht genehmigten Tool oder eine große Veränderung in der Anbieter-Landschaft.

Wie lange dauert die Implementierung einer SaaS-Beschaffungsrichtlinie?

Für eine mittelgroße Organisation dauert eine vollständige Implementierung — vom ersten Audit bis zur aktiven Richtlinie — typischerweise 4 bis 6 Wochen. Die ersten zwei Wochen werden für SaaS-Discovery und Stakeholder-Mapping aufgewendet; die nächsten zwei Wochen für Richtlinienentwurf, Genehmigungsmatrix-Design und Tool-Auswahl; die letzten zwei Wochen für Rollout, Schulung und HRIS-Integration. Schnellere Rollouts überspringen den Audit und produzieren selten eine Richtlinie, die tatsächlich befolgt wird.