Der Kernstack
Frontend: WeWeb, pixelgenaue UI, verbindet sich mit beliebigen Backends, wird auf deiner eigenen Domain über Cloudflare CDN deployed.
Datenbank + Auth: Supabase, PostgreSQL, Row Level Security, Echtzeit-Subscriptions, Dateispeicher.
Geschäftslogik + API: Xano, REST-API-Builder, benutzerdefinierte Geschäftslogik, Drittanbieter-Integrationen, Webhooks.
Zahlungen: Stripe, Abonnements, Rechnungen, Webhooks zurück zu Xano.
E-Mail: Brevo oder SendGrid, transaktionale E-Mails, ausgelöst von Xano.
Dieser Stack verarbeitet 10.000 MAU ohne zu schwitzen. Wir haben ihn mit 50.000 MAU ohne Infrastrukturänderungen betrieben. Für deutsche SaaS-Unternehmen, die Mittelstandskunden in der DACH-Region ansprechen, ist das eine bewährte und getestete Grundlage.
Multi-Tenancy mit Supabase RLS
Jede Tabelle hat eine workspace_id-Spalte. Alle Row Level Security-Policies filtern auf workspace_id = auth.jwt() ->> 'workspace_id'.
Nutzer gehören zu Workspaces über eine workspace_members-Tabelle mit einer Rollenspalte (owner, admin, member). Wenn ein Nutzer sich einloggt, enthält das JWT ihre workspace_id und Rolle, Supabase erzwingt das automatisch auf Datenbankebene.
Das ist die wichtigste Architekturentscheidung in einer B2B-SaaS. Mache es von Anfang an richtig. Wir haben Unternehmen gesehen, die das in der Validierungsphase übersprungen haben und dann eine vollständige Datenbankmigration benötigten, als sie ihre ersten Unternehmenskunden bekamen, ein kostspieliger Prozess.
Abrechnungsarchitektur mit Stripe
In Xano erstellst du einen Webhook-Endpoint, der Stripe-Events empfängt. Verarbeite: checkout.session.completed (Abonnement-Eintrag erstellen), customer.subscription.updated (Plan aktualisieren), invoice.payment_failed (Zugriff einschränken).
Speichere den Abonnementstatus in einer workspace_settings-Tabelle. In WeWeb prüfst du den Abonnementstatus vor dem Rendern von Premium-Features, und in Supabase RLS-Policies für Datenbankeinschränkungen.
Vertraue niemals dem Frontend für Abrechnungsgates. Überprüfe immer in der Datenbank. Für deutsche Kunden, die in EUR abgerechnet werden: Stripe unterstützt EUR-Preisgestaltung und automatisches MwSt-Handling für die deutsche Mehrwertsteuer (19 % Standard, 7 % ermäßigt), was die Buchführung erheblich vereinfacht.
Performance-Optimierung
Indexstrategie: Indiziere jeden Fremdschlüssel, jede Status/Typ-Spalte, die in Filtern verwendet wird, und jede Spalte, nach der du sortierst. In Supabase dauert das 2 Minuten im SQL-Editor.
Paginierung: Alle List-Endpoints müssen paginieren. Gib niemals unbegrenzte Queries zurück. Verwende cursorbasierte Paginierung für Echtzeit-Daten (unendliches Scrollen) und Offset für Admin-Tabellen.
Caching: Xano unterstützt Antwort-Caching für Endpoints, die dieselben Daten für alle Nutzer zurückgeben (öffentlicher Inhalt, Lookup-Tabellen). Verwende es aggressiv. Ein gut gecachter Xano-Endpoint kann Tausende von Aufrufen pro Sekunde verarbeiten ohne Supabase zu belasten.
Monitoring und Fehlerbehandlung
Füge Sentry zu deinem WeWeb Custom Code für Frontend-Fehler hinzu. Xano loggt alle API-Anfragen, exportiere sie zu Datadog oder verwende Xanos eingebautes Fehler-Monitoring.
Für kritische Hintergrundaufgaben (Abrechnungs-Webhooks, E-Mail-Trigger) füge Fehlerbenachrichtigungen zu Slack über Make oder n8n hinzu. Du solltest von Fehlern wissen, bevor es deine Nutzer tun.
Datenbanküberwachung: Supabase liefert Query-Performance-Einblicke. Überprüfe langsame Queries wöchentlich. Eine häufige Ursache für Performance-Abbau in wachsenden Unternehmen sind Queries, die bei 100 Zeilen gut funktionieren, aber bei 100.000 katastrophal langsam sind, frühzeitige Indizierung beseitigt dieses Problem.
DSGVO-Compliance by Design
Für deutsche und österreichische SaaS-Unternehmen ist DSGVO-Compliance keine nachträgliche Überlegung, sie ist eine Voraussetzung für B2B-Verkäufe. Unsere Architektur macht das einfach.
Supabase EU-Hosting (Frankfurt): Alle Kundendaten bleiben in der EU. Aktiviere RLS für alle Tabellen: Datenisolierung wird auf Datenbankebene erzwungen. Implementiere Soft Delete statt Hard Delete: Halte Daten für potenzielle Auskunftsanfragen. Logge alle Datenzugriffe: Xano-Request-Logs erfüllen Dokumentationsanforderungen.
Für Mittelstandskunden mit Datenschutzbeauftragtem (DSB) ist die Fähigkeit, einen DPA (Auftragsverarbeitungsvertrag) zu liefern und die Datenflüsse klar zu dokumentieren, ein entscheidendes Kaufargument. Supabase bietet Standard-DPA-Vorlagen für EU-Kunden. <a href="/contact">Kontaktiere App Studio</a> für eine DSGVO-Architekturberatung.