KI im Vorstand: warum nur 12 Prozent profitieren
Eva Mickler
6 Min. Lesezeit Die Vorstände investieren, doch die Rendite bleibt aus. In der aktuellen PwC-Befragung ...
Zum Beitrag
5 Min. Lesezeit
Die ersten CSRD-Testate für das Geschäftsjahr 2025 werden im zweiten Quartal 2026 unterschrieben. In den meisten DACH-Konzernen sitzt der Wirtschaftsprüfer dann zum ersten Mal mit den IT-Verantwortlichen am Tisch und stellt eine unangenehme Frage: Aus welchem System kommen die Server-Energie-Zahlen und wer kann das nachvollziehbar belegen. Wer auf diese Frage nicht in zwei Sätzen antwortet, hat eine Datenchain-Lücke zwischen Asset-Register, Strom-Vertrag und ESG-Bericht und der Befund landet im Testat-Vorbehalt.
10.05.2026
Das Wichtigste in Kürze
- Lage: Erste CSRD-Testate für 2025 werden Q2 2026 unterschrieben. Wirtschaftsprüfer prüfen Scope-2-Strom und Scope-3-Cloud-Emissionen mit derselben Härte wie eine HGB-Bilanz und die meisten Mittelständler haben die Datenchain noch nicht ausgehärtet.
- Hebel: Die IT sitzt auf der Datenchain für Server-Strom, Cloud-Workloads und Endgeräte. Wer das Asset-Register, die Strom-Verträge und das ESG-Reporting auf eine Datenquelle pro Kennzahl konsolidiert, kürzt die Audit-Vorbereitung von acht Wochen auf zwei.
- Konsequenz: Ein Testat-Vorbehalt bei den ESG-Kennzahlen ist 2026 kein Rauschen mehr. Banken, Großkunden und Versicherer ziehen die Berichte für ihre eigene Lieferkettenpflicht heran und verschärfen damit die Wirkung jeder unsauberen Zeile.
Verwandt:Sustainable IT 2026: CIOs unter Scope-3-Druck / Die 40-Prozent-Frage: Wo das KI-Budget herkommt
Was im ersten CSRD-Testat wirklich geprüft wird
Was ist ein CSRD-Testat? Ein CSRD-Testat ist die externe Prüfung der Nachhaltigkeitsberichterstattung durch einen Wirtschaftsprüfer im Rahmen der EU-Richtlinie zur Corporate Sustainability Reporting Directive. Geprüft werden Angaben zu Scope-1-, Scope-2- und Scope-3-Emissionen, Energieverbrauch, Klimarisiken und sozialen Indikatoren mit limited assurance, ab 2028 mit reasonable assurance.
In der ersten Welle prüfen die großen Vier mit angepassten Testat-Programmen, die strukturell nahe an der Jahresabschlussprüfung gebaut sind. Das heißt für die IT konkret: Server-Strom-Zahlen müssen aus Quellen kommen, die in einer Stichprobenprüfung haltbar sind. Cloud-Emissionen brauchen einen Provider-Beleg, der dem Reporting-Cutoff entspricht. Endgeräte-Zahlen müssen sich gegen das Asset-Management abgleichen lassen.
Die häufigsten Findings in den Pilot-Testaten der letzten Monate sind nicht falsche Zahlen, sondern fehlende Nachvollziehbarkeit. Eine Tabelle wurde aus drei Tools gebaut, niemand kann sagen, an welchem Stichtag welcher Wert gezogen wurde. Provider-Reports liegen vor, aber nicht versioniert. Asset-Register und Strom-Vertrag laufen auf unterschiedlichen Zählerständen, ohne dass jemand das schriftlich erklärt hat.
Boardroom-Insight
68 %
der mittelständischen Berichtspflichtigen rechnen laut KPMG ESG-Survey 2026 mit einem Testat-Vorbehalt im ersten Berichtsjahr, vor allem im Bereich IT-Energie und Cloud-Emissionen.
Quelle: KPMG ESG Reporting Maturity Survey 2026
Drei Lücken, die der Prüfer zuerst findet
Aus den abgeschlossenen Pilot-Testaten lassen sich drei wiederkehrende Bruchstellen rekonstruieren, an denen die IT-Datenchain reißt.
Erstens das Asset-Register. Was im CMDB-System gepflegt wird, ist selten deckungsgleich mit dem, was im Server-Raum tatsächlich läuft. Geräte werden ausgesondert, ohne dass der Eintrag rausgeht, neue Hardware kommt rein, ohne in der Bilanz aufzutauchen. Wenn die Energie-Zahl pro Asset gerechnet wird, vererbt sich diese Lücke direkt in den ESG-Bericht. Pilotprojekte rund um Scope-3-Emissionen für CIOs haben das mehrfach gezeigt.
Zweitens der Strom-Vertrag. Colocation-Anbieter rechnen oft auf Quartalsbasis, manche auf Jahresbasis. Wer einen monatlichen Energie-Wert ins Reporting schreibt, hat ihn entweder geschätzt oder aus einer Sub-Messung gezogen, die der Prüfer nicht kennt. Genau hier sitzt die Frage, an welchem Stichtag welcher Wert gilt. Verträge mit Sub-Metering müssen explizit referenziert werden.
Drittens das ESG-Reporting-Tool. Die meisten Häuser haben in der Vorbereitung eine spezialisierte Plattform eingeführt, häufig parallel zur bestehenden BI-Landschaft. Datenflüsse zwischen ESG-Tool und CMDB sind selten dokumentiert, Mappings werden händisch nachgepflegt. Wer das nicht in einem Datenfluss-Diagramm zeigen kann, bekommt im Audit eine Aufschlagsfrage nach der anderen.
Der 90-Tage-Plan vor dem Testat
Wer jetzt anfängt, hat bis Ende des Q2 die Datenchain belastbar.
Wer die IT-Datenchain im Haus verantwortet
Die häufigste Reibung im Pilot-Testat war organisatorisch. ESG-Verantwortliche kommen aus Nachhaltigkeit oder Finanzen, IT-Asset-Daten leben in der Infrastruktur, Strom-Verträge sitzen bei Einkauf oder Facility. Wenn niemand die Datenchain als Ganzes verantwortet, wird sie auch nicht ganz belastbar.
In den Häusern, die das Pilot-Testat ohne Vorbehalt durchbekommen haben, sitzt eine benannte Person an dieser Schnittstelle. Titel ist sekundär, häufig ist es ein Senior IT-Strategy-Lead oder eine Sustainability-IT-Verantwortliche, die direkt an den CIO berichtet. Diese Rolle hat Zugriff auf CMDB, Einkauf, ESG-Tool und Wirtschaftsprüfer und sie unterschreibt am Ende die Datenchain-Dokumentation. Ohne diese Person ist das Testat Glücksspiel.
Wer die Rolle 2026 nicht etabliert, wird sie 2027 unter Audit-Druck einrichten. Der Unterschied ist, dass die Vorbereitung dann unter dem nächsten Reporting-Zyklus stattfindet und die KI-Budgetfrage drückt parallel auf das gleiche IT-Team.
Häufige Fragen
Welche Unternehmen sind 2026 erstmals CSRD-pflichtig?
In Deutschland sind ab Geschäftsjahr 2025 große Kapitalgesellschaften und große Personenhandelsgesellschaften berichtspflichtig, die zwei der drei Schwellen reißen: 250 Beschäftigte, 50 Millionen Euro Umsatz, 25 Millionen Euro Bilanzsumme. Das Testat dazu wird im Frühjahr 2026 unterschrieben. Mittelständler, die schon vorher freiwillig berichtet haben, fallen meist sofort in die externe Prüfung mit limited assurance.
Was ist limited assurance und wie unterscheidet sich das von der Jahresabschlussprüfung?
Limited assurance ist eine reduzierte Prüfungstiefe gegenüber reasonable assurance der HGB-Jahresabschlussprüfung. Der Prüfer formuliert sein Urteil als negative Versicherung: Er hat keine Anhaltspunkte gefunden, dass die Angaben falsch sind. Das klingt nach Wenig, ist aber genug, um Vorbehalte zu formulieren, wenn die Datenchain nicht nachvollziehbar ist. Ab 2028 verlangt CSRD reasonable assurance, mit dem gleichen Härtegrad wie die Bilanzprüfung.
Müssen Cloud-Emissionen in Scope-2 oder Scope-3 ausgewiesen werden?
In der Praxis landen Cloud-Emissionen in Scope-3 Kategorie 1 (eingekaufte Waren und Dienstleistungen). AWS, Azure und GCP liefern dazu inzwischen detaillierte Reports mit Lifecycle-Werten. Selbst betriebene Server in eigenen Räumen oder Colocation gehen in Scope-2 (eingekaufte Energie). Wer Workloads über mehrere Provider verteilt, braucht eine konsolidierte Tabelle und einen sauberen Bezug zu den Provider-Belegen.
Wie aufwändig ist die Datenchain-Dokumentation in der Praxis?
In Mittelstands-Setups mit drei bis fünf Cloud-Providern und einer überschaubaren On-Premises-Landschaft sind das ein bis zwei Personenmonate Aufwand für die erste Iteration. Im Folgejahr wird daraus ein Quartals-Update mit zwei bis drei Personentagen. Die teurere Variante ist die, in der die Dokumentation erst entsteht, während der Prüfer schon im Haus ist und Fragen stellt.
Über die Autorin
Eva Mickler ist Senior Projektmanagerin bei Evernine. Sie kennt Transformationen, in denen die Methode einen Namen hatte und das Ergebnis eine Lücke. Sie schreibt über Projekte, in denen Disziplin den Unterschied macht und nennt die Stellen beim Namen, an denen Theorie auf Operations trifft.
Mehr aus dem MBF Media Netzwerk
cloudmagazin
mybusinessfuture
digital-chiefs
Bildquelle: KI-generiert (Mai 2026), C2PA-Zertifikat im Bild hinterlegt