Festpreis oder Zeit- und Materialaufwand bei der Softwareentwicklung?

Festpreis eignet sich für vollständig definierte, stabile Anforderungen — typischerweise kleinere Builds unter 70.000 €. Zeit- und Materialaufwand (T&M) passt zu iterativen, sich weiterentwickelnden Produkten und laufender Feature-Entwicklung. Das dedizierte Team-Modell eignet sich für kontinuierliche Entwicklung, bei der Sie konsistente Velocity und Teamwissen benötigen. Die meisten mittelständischen Builds profitieren von einer Festpreis-Discovery-Phase, gefolgt von T&M-Lieferung.

Softwareentwickler auswählen: Leitfaden 2026

Q: Wie wählt man einen Softwareentwickler aus?

Beginnen Sie mit technischen Zertifizierungen (ISO 27001, SOC 2 Type II) und der Compliance-Eignung für Ihren Markt (DSGVO, AV-Vertrag nach Art. 28). Prüfen Sie das Portfolio auf Projekte in Ihrer Komplexitätsstufe und Branche. Verhandeln Sie IP-Übertragung und NDA vor der Aufnahme in die engere Wahl. Vergleichen Sie Vertragsmodelle (Festpreis, Zeit- und Materialaufwand, dediziertes Team) mit Ihrem Risiko- und Flexibilitätsbedarf. Führen Sie Referenzgespräche durch — keine schriftlichen Testimonials — und bewerten Sie Kandidaten in einer gewichteten Matrix.

Q: Welche Zertifizierungen sollte ein Softwareentwicklungsanbieter besitzen?

Für DACH-Kunden: ISO 27001 (Informationssicherheits-Managementsystem) ist die Mindestanforderung für Enterprise- und regulierte Branchen. SOC 2 Type II ist für US-amerikanische und internationale Enterprise-Ausschreibungen Standard. Der AV-Vertrag nach Art. 28 DSGVO ist für die Verarbeitung personenbezogener EU-Daten Pflicht. Branchenspezifisch: HIPAA für US-Gesundheitsdaten, PCI-DSS für Kartenzahlungen. TÜV-Zertifizierungen und BSI-Grundschutz-Nachweise sind im deutschsprachigen Markt etablierte Prüfsiegel.

Q: Wie schützt man geistiges Eigentum beim Outsourcing?

Verlangen Sie eine gegenseitige NDA, bevor Sie technische Spezifikationen teilen. Der Vertrag muss alle im Rahmen des Auftrags erstellten geistigen Eigentumsrechte explizit auf Ihr Unternehmen übertragen — Work-for-hire-Regelungen variieren je nach Jurisdiktion. Stellen Sie sicher, dass ein AV-Vertrag nach Art. 28 DSGVO vorliegt. Bestehen Sie darauf, dass der Code in einem von Ihnen kontrollierten Repository liegt, und fordern Sie bei Vertragsende die vollständige Übergabe aller Zugangsdaten und Konfigurationen.

Q: Welche Warnsignale gibt es bei Softwareentwicklungsagenturen?

Wichtige Warnsignale: Festpreisangebot für ein komplexes System ohne Discovery-Phase; Weigerung, einen AV-Vertrag nach Art. 28 DSGVO vorzulegen; kein aktuelles ISO 27001-Zertifikat auf Anfrage; IP-Eigentum verbleibt beim Anbieter; keine direkten Referenzkontakte; Vendor-kontrolliertes Code-Repository; unrealistische Zeitpläne im Verhältnis zum Umfang; kein benannter Projektmanager.

Q: Wie prüft man Referenzen bei einem Softwareentwicklungsunternehmen?

Fordern Sie 2–3 direkte Referenzkontakte von Projekten in Ihrer Komplexitätsstufe aus den letzten 18 Monaten. Führen Sie persönliche Gespräche durch. Fragen Sie: Wurde das Projekt pünktlich und im Budget geliefert? Wie wurden Scope-Änderungen und technische Probleme gehandhabt? War die Kommunikation proaktiv? Würden Sie den Anbieter erneut beauftragen? Ergänzen Sie dies durch Bewertungen auf Plattformen wie Clutch oder G2, aber priorisieren Sie immer direkte Gespräche.

Sophie Laurent Compliance- und Delivery-Leiterin, YuSMP Group · Spezialisiert auf Anbieter-Due-Diligence und DSGVO-konforme Softwarelieferung für EU- und US-Kunden

TL;DR — Anbieterauswahl auf einen Blick

Die Wahl des richtigen Softwareentwicklungsunternehmens lässt sich auf sechs Dimensionen reduzieren. Bewerten Sie jeden Kandidaten anhand dieser Kriterien, bevor Sie Preise vergleichen:

Zertifizierungen: ISO 27001 (Informationssicherheit) + SOC 2 Type II (US/EU Enterprise) + DSGVO Art. 28 AV-Vertrag für EU-Daten
IP & NDA: gegenseitige NDA vor Spezifikationsweitergabe; Vertrag überträgt alle IP auf den Auftraggeber; Code in auftraggeberkontrolliertem Repository
Portfolio-Passung: mindestens 2 Projekte in Ihrer Komplexitätsstufe und Branche, abgeschlossen in den letzten 24 Monaten
Vertragsmodell: Festpreis (stabiler kleiner Scope) / Zeit und Aufwand (evolvierendes Produkt) / dediziertes Team (kontinuierliche Velocity)
Referenzen: 2–3 direkte Referenzgespräche, keine schriftlichen Testimonials
Kommunikation: Zeitzonenüberlappung, benannter Projektmanager, definierter Eskalationspfad

Gut vs. günstig: der echte Trade-off

Das 25 €/h-Offshore-Team und das 65 €/h-Nearshore-Senior-Team versprechen beide, Ihr Produkt zu bauen. Der Unterschied zeigt sich nach sechs Monaten. Anbieter mit Preisen deutlich unter Marktniveau kompensieren dies typischerweise durch:

Besetzung von Projekten mit Junior-Entwicklern, die intensive Betreuung benötigen
Einsatz nicht offengelegter Subunternehmer, was IP-Ketten-Risiken erzeugt
Auslassen von Sicherheitskontrollen, Audit-Logging und Compliance-Architektur (teuer nachzurüsten)
Lieferung funktionierender Demos, die architektonische Schulden verbergen, die bei Skalierung Neuentwicklungen erfordern

Gartner-Studien zum IT-Outsourcing zeigen konsistent, dass Nachbesserungsquoten bei Low-Cost-Engagements durchschnittlich 20–40 % der Gesamtstunden betragen. Bei einem 150.000 €-Projekt bedeuten 30 % Nachbesserung extra 45.000 €, die im Angebot nie auftauchen. Addiert man den Betreuungsaufwand des eigenen Teams, ist die “günstige” Option häufig teurer als ein gut abgestimmtes Engagement mit einem Senior-Partner.

Das bedeutet nicht, dass Sie den teuersten Anbieter auf dem Markt benötigen. Es bedeutet, dass Qualität im Verhältnis zum Preis das richtige Optimierungsziel ist — nicht der niedrigste Stundensatz. Für einen vollständigen Wirtschaftlichkeitsvergleich lesen Sie unseren Leitfaden zu Outsourcing vs. Inhouse-Entwicklung.

Zertifizierungen: ISO 27001, SOC 2, DSGVO

Zertifizierungen sind kein bürokratischer Overhead — sie sind unabhängig geprüfte Nachweise, dass ein Anbieter spezifische Kontrollen implementiert hat. Das bedeutet jede Zertifizierung in der Praxis:

ISO 27001

Der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Ein ISO-27001-zertifizierter Anbieter hat eine Drittprüfung seiner Richtlinien, Zugriffskontrollen, Incident-Response-Verfahren, Lieferantenmanagement und physischen/Cloud-Sicherheit durchlaufen. Die Zertifizierung wird von akkreditierten Stellen (in Deutschland häufig TÜV, DQS oder DAkkS-akkreditierte Zertifizierer) ausgestellt und erfordert jährliche Überwachungsaudits. Für jedes Projekt mit personenbezogenen Daten, Finanzdaten oder regulierten Informationen ist ISO 27001 die Mindestanforderung — kein Differenziierungsmerkmal.

SOC 2 Type II

Ein US-amerikanischer Prüfungsstandard, der heute von US-amerikanischen und europäischen Enterprise-Einkaufsabteilungen weitgehend verlangt wird. Type I ist eine Momentaufnahme; Type II deckt einen nachhaltigen Zeitraum (typischerweise 6–12 Monate) ab und ist daher deutlich aussagekräftiger. Ein SOC 2 Type II-Bericht liefert Ihrem Sicherheitsteam direkte Nachweise, dass Kontrollen über einen Zeitraum hinweg tatsächlich in Betrieb waren, nicht nur dokumentiert wurden. Weitere Details liefert unser Artikel zu SOC 2 Type II für SaaS-Startups.

DSGVO-Compliance: AV-Vertrag nach Art. 28

Gemäß DSGVO ist jeder Anbieter, der personenbezogene Daten von EU-Bürgern in Ihrem Auftrag verarbeitet, ein “Auftragsverarbeiter”. Art. 28 DSGVO schreibt einen schriftlichen Auftragsverarbeitungsvertrag (AV-Vertrag) vor, der Verarbeitungszweck und -dauer, Datenkategorien, Subauftragsverarbeiter-Offenlegung, Unterstützung bei Betroffenenrechten, Löschung/Rückgabe der Daten bei Vertragsende und Prüfungsrechte regelt. Das BDSG ergänzt die DSGVO im deutschen Kontext mit zusätzlichen Anforderungen. Prüfen Sie den AV-Vertrag vor dem Onboarding, nicht nach einem Datenschutzvorfall.

Prüfung von Zertifizierungsdokumenten bei der Softwareanbieter-Due-Diligence — Die Prüfung von ISO-27001-Zertifikat, SOC-2-Bericht und AV-Vertrag sollte vor der Aufnahme in die engere Wahl erfolgen — nicht nach der Vertragsunterzeichnung. Fordern Sie aktuelle Zertifikate an, keine Marketingaussagen.

Sicherheit, NDA und IP-Schutz

IP- und Datenschutz beim Software-Outsourcing wird durch Vertragsrecht geregelt, nicht durch Vertrauen. Die folgenden vertraglichen Schutzmaßnahmen sind nicht verhandelbar:

Gegenseitige NDA vor der Spezifikationsweitergabe

Jeder Anbieter, der sich weigert, eine NDA vor Erhalt Ihrer technischen Spezifikationen zu unterzeichnen, ist kein geeigneter Partner. Die NDA sollte gegenseitig sein, Geschäftsgeheimnisse und technisches Know-how abdecken sowie Gerichtsstand und Rechtsmittel spezifizieren. Im deutschen Rechtskontext empfiehlt sich deutsches Recht als Gerichtsstand für inländische Auftraggeber.

IP-Übertragungsklausel

Ihr Vertrag muss eine Work-for-hire-Klausel enthalten, die alle während des Auftrags erstellten geistigen Eigentumsrechte explizit auf Ihr Unternehmen überträgt. Bestätigen Sie, dass dies für Quellcode, Design-Assets, Dokumentation, Test-Suites, CI/CD-Skripte und benutzerdefinierte Bibliotheken gilt. Vergewissern Sie sich auch, dass der Anbieter keine GPL-lizenzierten Open-Source-Komponenten ohne Offenlegung einbindet — GPL-Copyleft kann Ihre Fähigkeit, das Produkt proprietär zu halten, beeinträchtigen.

Code-Repository-Eigentum

Alle Codes sollten vom ersten Tag an in einem von Ihrer Organisation kontrollierten Repository liegen. Akzeptieren Sie niemals ein Modell, bei dem der Anbieter das primäre Repository kontrolliert. Bei Vertragsende verlangen Sie die Übergabe aller Zugangsdaten, Tokens, Infrastrukturkonfigurationen und Deployment-Skripte.

Subauftragsverarbeiter-Offenlegung

Fragen Sie ausdrücklich, ob Arbeiten durch Subunternehmer oder Freiberufler durchgeführt werden, und verlangen Sie die Offenlegung ihrer Identität. Jeder Subauftragsverarbeiter muss an äquivalente NDA- und IP-Übertragungsbedingungen gebunden sein. Nicht offengelegte Unterbeauftragung ist eine häufige Quelle von IP-Streitigkeiten und Sicherheitsvorfällen.

Portfolio und Referenzen sind die zuverlässigsten Führungs-Indikatoren für Lieferqualität. Bewerten Sie sie kritisch, nicht oberflächlich.

Portfolio-Bewertung

Achten Sie auf mindestens zwei Projekte in Ihrer Komplexitätsstufe und Ihrer Branche, die innerhalb der letzten 24 Monate abgeschlossen wurden. Aktualität ist entscheidend: Eine Fallstudie von 2019 sagt nichts über das aktuelle Team, den Tech-Stack oder die Compliance-Posture des Anbieters aus. Fragen Sie, ob die Lead-Entwickler des referenzierten Projekts noch im Unternehmen sind.

Portfolio-Prüfungsgespräch mit Fallstudien-Dokumenten eines Softwareentwicklungsunternehmens — Die eingehende Portfolio-Bewertung — mit Fragen zu Architekturentscheidungen, Teamzusammensetzung und Post-Launch-Ergebnissen — liefert weit mehr Erkenntnisse als das Lesen der Fallstudienseite.

Referenzgespräche

Schriftliche Testimonials auf Clutch oder der Website eines Anbieters sind selektives Marketingmaterial. Direkte Referenzgespräche sind etwas anderes. Fordern Sie 2–3 Referenzen von Projekten ähnlicher Komplexität an. Im Gespräch sollten Sie folgende Fragen stellen:

Wurde das Projekt pünktlich und innerhalb von 15 % des ursprünglichen Budgets geliefert?
Wie hat der Anbieter mit Scope-Änderungen und unerwarteten technischen Herausforderungen umgegangen?
Wie war die Kommunikation — proaktiv oder reaktiv?
Was würden Sie beim nächsten Engagement anders machen?
Würden Sie den Anbieter erneut für Ihr nächstes Projekt beauftragen?

Ein Anbieter, der keine direkten Referenzkontakte vorweisen kann, hat etwas zu verbergen.

Vertragsmodelle im Vergleich

Das Vertragsmodell bestimmt, wer das Scope-Risiko trägt, wie Kosten strukturiert sind und wie flexibel das Engagement auf veränderte Anforderungen reagiert.

Modell	Funktionsweise	Geeignet für	Risiko
Festpreis	Vereinbarter Scope, Zeitplan und Preis. Änderungen per formalem Änderungsantrag.	Klar definierter MVP, kurzer Build (<70.000 €), stabile Anforderungen	Anbieter erhöht Preis als Scope-Puffer; Spec-Unklarheiten führen zu Streitigkeiten
Zeit und Aufwand	Abrechnung nach tatsächlichen Stunden. Scope kann sich sprint-für-sprint entwickeln.	Iterative Produktentwicklung, SaaS, Discovery-to-Build-Kontinuität	Budget-Überschreitung ohne starkes PM-Controlling; erfordert aktive Auftraggeber-Beteiligung
Dediziertes Team	Namentlich bekannte Senior-Entwickler, in Ihr Delivery-Team eingebettet. Monatliches Retainer.	Kontinuierliche Entwicklung, Skalierung eines bestehenden Produkts, langfristiges Engagement	Wissenskonzentration; erfordert starkes Inhouse-Produkt-Ownership

Die meisten mittelständischen Builds profitieren von einem Hybridansatz: eine Festpreis-Discovery-Phase (4–6 Wochen), gefolgt von Zeit-und-Aufwand-Sprints mit monatlichen Budget-Caps. Dies reduziert das Scope-Risiko und behält gleichzeitig die Lieferflexibilität. Für langfristige Produkte bietet ein dediziertes Team-Modell mit Quartalzielen die beste Balance aus Velocity und Verantwortlichkeit.

Warnsignale erkennen

Die folgenden Muster deuten, einzeln oder in Kombination, auf ein erhöhtes Lieferrisiko hin:

Festpreis ohne Discovery-Phase — jeder Anbieter, der ohne 4–6-wöchige Discovery-Phase einen fixen Preis für ein mittleres oder komplexes System nennt, unterschätzt entweder oder verbirgt Scope-Annahmen.
Kein aktuelles ISO-27001-Zertifikat oder SOC-2-Bericht auf Anfrage — ein Compliance-Anspruch ohne Zertifikat ist kein Compliance-Nachweis.
Nur schriftliche Testimonials, keine direkt erreichbaren Referenzkunden
Anbieter-kontrolliertes Code-Repository — fehlender Zugriff auf das eigene Produkt, besonders in Streitfällen.
Vage Subunternehmer-Politik — “wir können Partner einsetzen” ohne spezifische Offenlegung ist ein Datenschutz- und IP-Risiko.
Unrealistische Zeitpläne im Verhältnis zum Scope
Kein benannter Projektmanager — “das Team ist Ihr Ansprechpartner” funktioniert unter Druck nicht.
Fehlender AV-Vertrag nach Art. 28 DSGVO bei Projekten mit EU-Personendaten — ein absolutes No-Go für DSGVO-pflichtigen Scope.

15 Fragen an jeden Softwareentwickler

Verwenden Sie diese Fragen bei der RFP-Antwortenprüfung und in Folgegesprächen. Schwache oder ausweichende Antworten sind aufschlussreicher als polierte Antworten.

Können Sie Ihr aktuelles ISO-27001-Zertifikat und ggf. Ihren jüngsten SOC-2-Type-II-Bericht vorlegen?
Haben Sie einen Muster-AV-Vertrag nach Art. 28 DSGVO, und können wir diesen vor Vertragsunterzeichnung prüfen?
Wem gehört das geistige Eigentum aller gelieferten Arbeiten — insbesondere Quellcode, Design-Assets und Dokumentation?
Werden Arbeiten durch Subunternehmer oder Freiberufler ausgeführt? Wenn ja: Wer sind diese, und an welche NDA/IP-Bedingungen sind sie gebunden?
In welchem Repository wird unser Code gehalten, und haben wir vom ersten Tag an vollen Admin-Zugang?
Können Sie 2–3 Referenzkunden aus Projekten in unserer Komplexitätsstufe nennen, die wir direkt kontaktieren dürfen?
Welches Vertragsmodell empfehlen Sie für unser Projekt, und warum?
Wer ist der benannte Projektmanager, und wie sieht Ihr Eskalationsprozess bei Problemen aus?
Was ist das durchschnittliche Senioritätsniveau Ihres Teams, und wie hoch ist Ihre aktuelle Mitarbeiterfluktuation?
Wie handhaben Sie Scope-Änderungen bei einem Festpreisvertrag?
Welche Sicherheitspraktiken sind in Ihren Entwicklungsprozess eingebettet (Code-Review, SAST, Dependency-Scanning, Penetrationstest)?
Wie gewährleisten Sie Datenlokalisierung und -verarbeitung für EU-Personendaten gemäß DSGVO?
Was sind Ihre Standardlieferumfänge am Vertragsende (Code, Zugangsdaten, Dokumentation, Wissenstransfer)?
Welches SLA bieten Sie für Post-Launch-Support und Fehlerbehebung an?
Können Sie eine vollständig aufgeschlüsselte Kostenkalkulation nach Phase mit expliziten Annahmen pro Zeile vorlegen?

Bewertungsmatrix-Vorlage

Verwenden Sie diese gewichtete Bewertungsmatrix, um Anbieter in der engeren Wahl objektiv zu vergleichen. Passen Sie die Gewichtungen an Ihre Prioritäten an (regulierte Branchen sollten Sicherheit höher gewichten; Startups eher Kommunikation und Agilität).

Dimension	Gewichtung	Bewertung 1–5	Gewichtete Bewertung
Technische Zertifizierungen (ISO 27001, SOC 2, AV-Vertrag)	20 %
Portfolio-Passung (Komplexitätsstufe & Branche)	20 %
Referenzqualität (direkte Gespräche, Aktualität)	15 %
IP & Vertragsbedingungen	15 %
Vertragsmodell & Preistransparenz	15 %
Kommunikation & Zeitzonenkompatibilität	10 %
Team-Seniorität & Mitarbeiterbindung	5 %
Gesamt	100 %

Ein Anbieter, der bei Zertifizierungen oder IP-Bedingungen unter 3,0 bewertet wird, sollte unabhängig von seinem Gesamtergebnis aus der engeren Wahl ausgeschlossen werden — dies sind Schwellenwertkriterien, keine Trade-off-Kriterien. Für Details zum Ablauf nach der Partnerauswahl lesen Sie unseren Leitfaden zum Softwareentwicklungsprozess.

FAQ

Wie wählt man einen Softwareentwickler aus?

Beginnen Sie mit Zertifizierungen und Compliance-Passung (ISO 27001, SOC 2, DSGVO AV-Vertrag nach Art. 28). Prüfen Sie das Portfolio auf Projekte in Ihrer Komplexitätsstufe aus den letzten 24 Monaten. Verhandeln Sie IP-Übertragung und NDA vertraglich. Vergleichen Sie Vertragsmodelle mit Ihrer Scope-Stabilität. Führen Sie direkte Referenzgespräche durch. Bewerten Sie Kandidaten in einer gewichteten Matrix und schließen Sie Anbieter aus, die bei Zertifizierungen oder IP-Bedingungen unter dem Schwellenwert liegen.

Welche Zertifizierungen sollte ein Softwareentwicklungsanbieter besitzen?

ISO 27001 ist die Mindestanforderung für sensible Daten. SOC 2 Type II ist für US-Enterprise-Ausschreibungen standard. DSGVO Art. 28 AV-Vertrag ist Pflicht für EU-Personendaten. Im DACH-Raum zählen auch TÜV-Zertifizierungen oder BSI-Grundschutz-Nachweise zu den anerkannten Prüfsiegeln. Fordern Sie stets das aktuelle Zertifikat oder den Prüfbericht an.

Wie schützt man geistiges Eigentum beim Outsourcing?

Vier vertragliche Schutzmaßnahmen sind nicht verhandelbar: gegenseitige NDA vor Spezifikationsweitergabe; IP-Übertragungsklausel auf den Auftraggeber; Code im auftraggeberkontrollierten Repository ab Tag eins; DSGVO Art. 28 AV-Vertrag für EU-Personendaten. Verlangen Sie außerdem die explizite Offenlegung von Subunternehmern. Lassen Sie alle Klauseln von einem Fachanwalt prüfen.

Festpreis oder Zeit- und Materialaufwand?

Festpreis eignet sich für klar definierte, stabile kleine Builds (typischerweise unter 70.000 €). Zeit und Aufwand ist besser für iterative, sich weiterentwickelnde Produkte. Der pragmatischste Ansatz für mittelständische Builds ist eine Festpreis-Discovery-Phase (4–6 Wochen), gefolgt von Zeit-und-Aufwand-Lieferung.

Welche Warnsignale gibt es bei Softwareentwicklungsagenturen?

Wichtige Warnsignale: Festpreis ohne Discovery-Phase; kein aktuelles ISO-27001-Zertifikat; nur schriftliche Testimonials ohne direkte Referenzkontakte; Anbieter-kontrolliertes Code-Repository; vage Subunternehmer-Offenlegung; fehlender AV-Vertrag; unrealistische Zeitpläne; kein benannter Projektmanager.

Wie prüft man Referenzen bei einem Softwareentwicklungsunternehmen?

Fordern Sie 2–3 direkte Referenzkontakte von Projekten in Ihrer Komplexitätsstufe aus den letzten 18 Monaten an. Führen Sie persönliche Gespräche. Fragen Sie, ob das Projekt pünktlich und im Budget geliefert wurde, wie Scope-Änderungen und Probleme gehandhabt wurden, ob sie den Anbieter erneut beauftragen würden. Ergänzen Sie dies durch Clutch- oder G2-Bewertungen, priorisieren Sie aber stets direkte Gespräche.

Zuletzt aktualisiert am 8. Juni 2026. Zertifizierungsanforderungen spiegeln ISO/IEC 27001:2022, AICPA SOC 2 und DSGVO (EU) 2016/679 zum Veröffentlichungszeitpunkt wider. Rechtliche Anforderungen variieren je nach Jurisdiction; lassen Sie Verträge von einem Fachanwalt für IT-Recht prüfen.

Angebot anfordern

Teilen Sie uns ein paar Details mit und ein Senior-Berater antwortet innerhalb eines Werktages.

Lieber direkt sprechen? ☎ +374 44 871 811 ✉ sales@yusmpgroup.com

Name

Geschäftliche E-Mail

Unternehmen

Projekttyp

Budgetrahmen

Nachricht