🌏국제법무

B2B SaaS 기업의 독일 계약 및 GDPR 체크포인트

B2B SaaS 기업이 독일 고객과 계약을 체결할 때 상업적 조건뿐 아니라 GDPR·데이터 처리계약(DPA)·보안 의무까지 함께 점검해야 하는 핵심 포인트를 정리합니다.
디센트 법률사무소's avatar
디센트 법률사무소
May 06, 2026
B2B SaaS 기업의 독일 계약 및 GDPR 체크포인트
Contents
1. 독일 B2B SaaS 계약의 기본 구조2. GDPR 관점에서의 역할 정의: 컨트롤러 vs 프로세서3. 데이터 처리계약(DPA)의 필수 항목4. 기술적·조직적 보호조치(TOMs)와 NIS2·보안 요구5. 책임 제한, SLA, 데이터 위치: 독일 고객이 집중하는 조항6. 쿠키, 로그, 마케팅 기능: TTDSG와 '알게 모르게' 위반되는 지점7. 실무 체크리스트: 독일 B2B SaaS 시장 진입을 위한 6대 과제8. 디센트 인사이트: 최종 결정권자는 고객사의 DPO입니다
[독일 고객사 DPO가 계약서보다 먼저 보는 것]
 
안녕하세요, 디센트 법률사무소 장지원 파트너 변호사입니다.
독일은 유럽 내에서 데이터 보호와 계약 규제가 가장 엄격한 국가 중 하나로 B2B SaaS 계약에서도 GDPR, 데이터 처리계약(DPA), NIS2 기반 보안 요구사항이 동시에 작동합니다.
특히 2025년 말 NIS2 이행법이 발효되고 2026년부터 독일 기업 다수가 BSI(연방정보보안청)에 등록·보고 의무를 부담하게 되면서 공급업체인 SaaS 기업에 대한 벤더 보안·GDPR 컴플라이언스 체크가 한층 강화되고 있습니다.
이번 글에서는 독일 B2B SaaS 계약에서 반드시 점검해야 할 핵심 포인트를 정리해 드립니다.
 
 

🕒 바쁜 분들을 위한 3줄 요약

  1. 계약 문서는 세트로 준비: 독일 기업과 B2B SaaS 계약을 체결할 때는 기본 계약(MSA) + 데이터 처리계약(DPA) + 보안·NIS2 관련 부속 합의까지 하나의 패키지로 준비해야 합니다.
  1. GDPR 체크포인트 6가지: 역할(컨트롤러/프로세서) 정의, DPA(Art. 28), 기술·조직적 보호조치(TOMs, Art. 32), 침해 통지(Art. 33·34), 하위처리자(Sub-processor), 제3국 데이터 전송(SCC) 구조가 기본 점검 항목입니다.
  1. 결정권자는 DPO: 독일 고객은 가격보다 책임 제한, 서비스 가용성(SLA), 데이터 저장 위치(EU/독일), 보안·감사 권한을 중점적으로 검토합니다. 계약서와 제품·내부 프로세스를 함께 정렬하는 전략이 필요합니다.
 
 

1. 독일 B2B SaaS 계약의 기본 구조

 
일반적으로 독일 기업과의 B2B SaaS 거래에서는 다음과 같은 문서 구조를 취하는 경우가 많습니다.
 
🔹 MSA(기본 계약, Master Service Agreement) 가격, 계약 기간, 책임 제한, 서비스 수준(SLA), 기술 지원, 해지 조건 등 상업적·법적 기본 조건을 담은 문서입니다.
🔹 DPA(데이터 처리계약, Data Processing Agreement) GDPR 제28조(Art. 28)에 따라 개인정보 처리를 위탁할 때 반드시 체결해야 하는 계약입니다.
🔹 보안·컴플라이언스 부속서 기술적·조직적 보호조치(TOMs, Art. 32), 감사·인증(예: ISO 27001), NIS2 관련 보안 통제사항 등을 정리한 문서입니다.
 
독일 고객 입장에서는 계약 검토 시 "가격표 + 기능 소개"보다 DPA·보안 통제·책임 제한 구조가 거래 성사 여부를 가르는 경우가 많습니다. 따라서 한국 B2B SaaS 기업도 독일 진출을 계획할 때 초기에 이 세 가지 축을 기준으로 템플릿을 정리해 두는 것이 효율적입니다.
 
 

2. GDPR 관점에서의 역할 정의: 컨트롤러 vs 프로세서

 
GDPR은 SaaS에 대해 자신의 비즈니스 데이터를 처리하는 컨트롤러(Controller)이면서, 동시에 고객을 위해 데이터를 처리하는 프로세서(Processor)인 이중 역할을 전제로 합니다.
 
따라서 계약 단계에서 다음을 명확히 하는 것이 중요합니다.
  • 누가 컨트롤러이고, 누가 프로세서인지 (대부분 고객이 컨트롤러, SaaS가 프로세서)
  • 기능에 따라 일부 모듈은 공동 컨트롤러(Joint Controller)가 되는지 여부
  • 로그·분석 데이터, 제품 개선을 위한 익명·가명처리 데이터에 대한 별도 컨트롤러 활동이 있는지
 
이 역할 정의가 모호하면, 침해 통지·데이터 삭제 요청·감사 대응에서 책임 범위가 불분명해지고 독일 데이터 보호 당국이 문제 삼을 가능성이 커집니다.
 
 

3. 데이터 처리계약(DPA)의 필수 항목

 
B2B SaaS가 독일 고객의 개인정보를 "고객의 지시에 따라" 처리한다면 GDPR 제28조에 따른 DPA가 필수입니다. 최근 독일 감독당국들이 공동 체크리스트를 발표하며 DPA 내용을 문서로 꼼꼼히 검사하는 추세도 확인됩니다.
 
DPA에는 최소한 다음이 포함되어야 합니다.
  • 처리의 목적·범위·기간
  • 처리되는 데이터 유형과 데이터 주체 범주
  • 프로세서의 의무: 기밀 유지, 기술·조직적 보호조치(TOMs), 데이터 주체 권리 지원, 침해 통지 지원
  • 하위처리자(Sub-processor) 사용 조건: 사전 승인 방식인지, 일반 승인 방식인지, 변경 통지 기한
  • 처리 종료 시 데이터 반환·삭제 방식
  • 감사·점검 권한: 고객 또는 제3자 감사, 리포트·인증으로 대체 가능한 범위
  • 국외 이전(제3국 전송)이 있다면 SCC(표준계약조항) 등 전송 메커니즘
 
독일에서는 DPA 자체가 없거나 형식적으로만 존재하는 경우에도 과태료 부과 사례가 보고되고 있어 "템플릿이 있다" 수준을 넘어 실제 운영과 일치하는지 점검하는 것이 필요합니다.
 
 

4. 기술적·조직적 보호조치(TOMs)와 NIS2·보안 요구

 
GDPR 제32조는 컨트롤러와 프로세서 모두에게 적절한 기술적·조직적 보호조치(TOMs)를 요구합니다. 여기에 더해, 독일은 NIS2 이행법을 통해 2025년 말부터 약 3만 개 기업을 추가로 규제 대상에 포함시키면서 공급업체인 SaaS에 대한 보안 요구 수위도 함께 높아지고 있습니다.
 
독일 고객이 B2B SaaS 벤더에게 자주 요구하는 항목은 대표적으로 다음과 같습니다.
  • 데이터 센터 위치: EU 내, 가능하면 독일 또는 EEA 내 데이터 보관
  • 암호화: 저장·전송 시 암호화, 키 관리 정책
  • 접근통제: 권한 관리, 다중 요소 인증(MFA), 최소 권한 원칙(Principle of Least Privilege)
  • 로그·모니터링: 보안 이벤트 감지, 알림·응답 프로세스
  • 인증: ISO 27001, SOC 2 등 국제표준 보안 인증 보유 여부
  • 침해 통지: 사고 인지 후 통지 기한(예: 24/48시간 내), 고객과의 정보 공유 절차
 
특히 NIS2 적용 대상인 독일 고객은 공급망 리스크 관리 차원에서 벤더의 보안 통제를 더 엄격히 점검하므로, ISO 27001 등 증빙 가능한 보안 프레임워크를 갖춰 두면 계약 협상에서 유리해집니다.
 

5. 책임 제한, SLA, 데이터 위치: 독일 고객이 집중하는 조항

 
상업적 조건 측면에서, 독일 B2B 계약에서는 다음 세 가지가 핵심 논점이 되는 경우가 많습니다.
 
🔹 책임 제한(Liability Cap) 예측 가능한 손해를 대상으로 연간 계약금액(또는 그 배수)을 상한으로 하는 책임 제한을 두되, 고의(Intent)·중과실(Gross Negligence)·생명·신체·건강 침해에 대해서는 독일 민법(BGB) 체계에 따라 책임 제한을 적용하지 않는 구조가 일반적입니다. 간접손해·일실이익 배제 여부, 데이터 침해·GDPR 위반에 대한 예외 조항도 함께 검토해야 합니다.
🔹 서비스 수준(SLA) 가용성(예: 99.5%) 정의, 유지보수 시간, 계획된 다운타임 공지, 장애 등급별 응답·복구 시간, SLA 위반 시 크레딧 구조를 명확히 해야 합니다. 독일 B2B 계약에서는 정기 점검·유지보수 시간(Maintenance Window)을 독일 현지 업무 시간(대개 09:00~18:00, 월~금) 외 시간대로 제한하고 계획된 점검은 사전 공지하도록 요구하는 경우가 많습니다.
🔹 데이터 위치 및 백업 데이터가 어느 지역(국가) 데이터센터에 저장되는지, 백업 주기·보관 기간, 삭제·파기 정책 등도 주요 검토 대상입니다. 독일 고객은 가능한 한 독일/EU 내 호스팅을 선호하며, 제3국 전송이 있는 경우 SCC(표준계약조항) 등 전송 메커니즘과 함께 설명되기를 기대합니다.
 
 

6. 쿠키, 로그, 마케팅 기능: TTDSG와 '알게 모르게' 위반되는 지점

 
독일에서는 GDPR 외에도 통신·텔레미디어 데이터 보호법(TTDSG)이 ePrivacy 지침을 국내법으로 구현하고 있어 비필수 쿠키·트래킹에는 사전 동의가 필요합니다.
 
B2B SaaS에서는 다음과 같은 부분이 자주 문제됩니다.
🔹 '알게 모르게' 위반되는 포인트
  • 분석 도구: 서비스 내 설치된 행동 분석 툴(Hotjar, Mixpanel 등)이나 세션 리플레이 도구는 반드시 사용자의 사전 동의(Opt-in)를 받아야 합니다.
  • 마케팅 자동화: 무료 체험판 사용자의 행동을 추적하여 마케팅 메일을 보내는 행위는 독일에서 매우 민감한 이슈입니다.
  • 3rd-party 위젯: 고객 지원 챗봇이나 피드백 툴이 심는 쿠키도 필수 쿠키가 아니라면 동의 없이 활성화되어서는 안 됩니다.
 
독일 고객은 점점 더 자주 CMP(동의 관리 플랫폼) 연동 여부, 쿠키 분류, 설정 페이지를 확인하기 때문에 SaaS 제품 레벨에서 필수/비필수 쿠키 구분, 동의 없이 작동하지 않도록 하는 설정을 준비해 두는 것이 좋습니다.
 
 

7. 실무 체크리스트: 독일 B2B SaaS 시장 진입을 위한 6대 과제

 
독일 기업과의 첫 미팅 전, 우리 회사가 아래 항목들에 대해 얼마나 준비되어 있는지 점검해 보세요. 이 리스트가 준비되어 있을수록 계약 협상 테이블에서의 주도권은 여러분이 갖게 됩니다.
 
1. 계약 문서 패키지 구축 독일 법무팀은 '세트'로 검토하는 것을 선호합니다.
MSA(기본 계약): 책임 제한(BGB 준수) 및 SLA가 포함된 영문/독문 템플릿
DPA(데이터 처리 계약): GDPR 제28조를 완벽히 충족하는 위탁 계약서
TOMs(보안 부속서): 우리 서비스의 구체적인 보안 조치를 나열한 문서
 
2. 데이터 처리 역할 및 범위 확정 역할과 책임 범위를 계약 전 단계에서 명확히 정의해야 합니다.
역할 구분: 고객(컨트롤러)과 우리(프로세서)의 책임 소재 명시
2차 활용 정의: 서비스 개선용 로그나 통계 데이터 처리에 대한 법적 근거 마련
공동 컨트롤러 여부: 협업 기능 등에서 책임 공유가 필요한 부분이 있는지 확인
 
3. DPA 실무 운영 프로세스 점검 문서만 있는 게 아니라, 실제로 돌아가는 시스템이 있어야 합니다.
하위처리자(Sub-processor): 사용 중인 인프라(AWS 등) 목록과 변경 통지 절차 수립
종료 후 처리: 계약 해지 시 데이터의 완전 삭제 또는 반환 기술 확보
감사 대응: 고객의 감사 요구 시 제공할 보안 리포트나 인증서 준비
 
4. 보안 인증 및 프레임워크 확보 독일 기업은 구두 설명보다 검증 가능한 인증서를 기준으로 판단합니다.
국제 인증: ISO 27001 또는 SOC 2 인증 보유 여부 (강력 추천)
NIS2 대응: 2025년 강화되는 유럽 공급망 보안 기준에 맞춘 내부 지침(ISMS) 보유
침해 통지: 사고 인지 후 72시간 내 통지할 수 있는 내부 비상 연락망 구축
 
5. 데이터 위치 및 역외 이전 전략 독일 고객이 가장 민감하게 확인하는 항목입니다.
호스팅 지역: EU(가급적 독일) 내 데이터 저장 가능 여부 확인
역외 전송: 한국/미국으로 데이터가 넘어간다면 SCC(표준계약조항) 체결 준비
백업 정책: 백업 데이터의 위치와 물리적 보안 수준 확인
 
6. 제품 내 트래킹 및 쿠키 설정 (TTDSG) 제품 화면(UI/UX) 단에서 준비되어야 할 항목입니다.
사전 동의 구조: 비필수 쿠키/트래킹 툴 작동 전 사용자 동의(Opt-in) 구현
CMP 연동: 전문 동의 관리 플랫폼을 연동하거나 그에 준하는 설정 페이지 제공
트래킹 최소화: 제품 내 3rd-party 위젯이 수집하는 데이터 범위를 파악하고 최소화
 
 

8. 디센트 인사이트: 최종 결정권자는 고객사의 DPO입니다

 
독일 B2B SaaS 진출은 제품 판매를 넘어 자사의 보안과 법적 전문성을 검증받는 과정입니다. 독일 기업은 구매팀보다 DPO(데이터 보호 책임자)의 입김이 더 강력하며, 이들은 제품 기능보다 DPA, TOMs, 책임 제한 등 법적 안정성을 우선시합니다.
따라서 단순히 "기능이 좋다"는 말보다 독일 민법(BGB)과 TTDSG 등 현지 법령에 맞춘 '준비된 계약 패키지'를 선제적으로 제안해 DPO의 심리적 문턱을 낮추는 것이 계약의 핵심입니다.
특히 2025년 NIS2 지침 시행으로 공급망 보안 심사가 더욱 엄격해진 만큼 ISO 27001 같은 공인 인증과 투명한 데이터 처리 프로세스는 이제 선택이 아닌 필수입니다.
 
💡 결국 B2B SaaS 기업의 독일 진출 준비는 "계약서 초안이 있는가"를 넘어서 까다로운 고객사의 DPO를 논리적으로 설득하고 안심시킬 수 있는 실질적인 대응 역량을 갖추었는가를 기준으로 점검해 보는 것이 현실적입니다.
 
 
📌
[디센트 법률사무소 독일데스크 원스톱 자문]
디센트 법률사무소 독일데스크는 장지원 파트너변호사를 중심으로 독일·EU 시장 진출을 준비하는 한국 B2B SaaS 기업을 위한 통합 법무 자문 서비스를 제공합니다.
🔹 주요 지원 서비스
  • MSA·DPA·TOMs 부속서 템플릿 작성 및 검토
  • GDPR 컴플라이언스 체계 구축 및 역할 정의 자문
  • NIS2 대응 및 공급망 보안 계약 조항 설계
  • 독일 민법(BGB) 기반 책임 제한·SLA 조항 협상 지원
  • 제3국 데이터 전송(SCC) 구조 설계 및 계약 반영
  • TTDSG 기반 쿠키·트래킹 동의 구조 법무 검토
 
notion image
 
Share article