Я думаю, это зависит от масштабов. Если сервис действительно массовый, то более логичным выглядит второй вариант, так как меньше накладные расходы на отдельные БД для каждого пользователя. Если вы не предоставляете тем или иным образом прямогодоступа к СУБД (а скорее всего, нет, тк в SaaS-е это не актуально), то вопрос безопасности на уровне СУБД вас не коснётся, и работа множества клиентов в единой БД (не важно даже, в одной или нет схемах) не вызовёт проблем.
Но, на мой взгляд, это не самый корневой вопрос в архитектуре SaaS, и он (как деталь реализации, в общем-то) будет сокрыт от программистов за какой-нибудь прослойкой :)