Corporate Venture trifft Corporate IT: Wie CIOs 2026 Start-up-Beteiligungen operativ einbinden
Tobias Massow
7 Min. Lesezeit Stand: 22.04.2026 Corporate-Venture-Arme sind 2026 wieder aktiv. Bosch Ventures hat ...
Zum Beitrag
8 Min. Lesezeit
Stand: 22.04.2026
CSRD verlangt seit 2026 Scope-1-, Scope-2- und Scope-3-Zahlen. Der Scope-3-Bericht ist für die meisten CIOs die unangenehmste Position – er macht Emissionen aus Cloud-Providern, SaaS-Verträgen, Hardware-Lieferketten und Endgeräten zum Reporting-Gegenstand. AWS hat seit Oktober 2025 Scope-3-Daten in der Customer Carbon Footprint-API, Google Cloud und Azure liefern market- und location-basierte Werte. Die Datenlücke schließt sich schnell – und die Verantwortung dafür, sie zu schließen, liegt nicht bei der Nachhaltigkeitsabteilung.
Das Wichtigste in Kürze
- CSRD fordert Dual-Reporting: EU-Pflicht zur Offenlegung von market- und location-basierten Emissionen – AWS liefert nur market-based, Azure und Google Cloud liefern beides.
- AWS Scope-3 seit Oktober 2025: Die Customer Carbon Footprint API enthält jetzt auch Lifecycle-Emissionen aus Server-Fertigung, Rechenzentrums-Betrieb und Transport.
- SaaS bleibt die dunkle Zone: Salesforce, ServiceNow, Workday veröffentlichen nur aggregierte Konzern-Emissionen – kein Kundenkonto-Level, keine Projektverrechnung.
- Hardware-LCA als eigener Strang: Notebook-, Monitor- und Netzwerk-Emissionen werden aus Herstellerangaben und Nutzungsprofil hochgerechnet – saubere Messkette statt Schätzung.
- CIO besitzt die Messkette: Die Nachhaltigkeitsabteilung ist Berichtsempfänger, nicht Datenlieferant – ohne IT-seitige Datenarchitektur kein belastbarer Scope-3-Bericht.
Was ist Scope-3 im IT-Kontext? Scope-3 umfasst nach dem Greenhouse Gas Protocol alle indirekten Emissionen entlang der Wertschöpfungskette. Im IT-Bereich zählen dazu vor allem gekaufte Cloud- und SaaS-Dienste, die Herstellung von Endgeräten und Servern, Upstream-Transport sowie der Betrieb von Geräten beim Kunden. Für IT-Organisationen werden typischerweise sieben der 15 Scope-3-Unterkategorien direkt reportingrelevant.
Warum Scope-3 die härteste Position im CSRD-Report ist
Scope-1- und Scope-2-Emissionen sind aus IT-Sicht meist sauber abbildbar. Rechenzentrums-Strom, eigene Server, Dienstreisen – das Bilanzgerüst steht. Scope-3 ist das Gegenteil: 15 Unterkategorien, davon sieben mit direktem IT-Bezug. Gekauft Güter und Dienstleistungen, Kapitalgüter, Upstream-Transport, Endnutzung verkaufter Produkte, End-of-Life. Wer IT-seitig meint, das sei ein Thema für das Controlling, hat das Prinzip nicht verstanden: Scope-3 ist dort, wo die meisten Unternehmen 70 bis 80 Prozent ihrer Emissionen liegen haben – und die IT-Landschaft trägt einen messbaren Anteil davon.
Für DACH-Unternehmen mit CSRD-Pflicht ab Geschäftsjahr 2025 – also Reporting im Frühjahr 2026 – läuft der erste Zyklus gerade. Die meisten Teams haben Scope-1 und Scope-2 in Q1 fertig bekommen, Scope-3 ist bei vielen noch halbvoll. Die Lücken sind systematisch. Cloud-Provider liefern Rohdaten, aber nicht auf das eigene Kostenstellen-Schema aggregiert. SaaS-Anbieter liefern einen Konzernwert, aber keine Zuordnung zu Nutzern, Lizenzen oder Workloads. Hardware-Hersteller stellen Product-Carbon-Footprint-PDFs bereit, die manuell in die Bilanz kopiert werden müssen.
Die eigentliche Frage ist nicht, ob Scope-3 genauer wird. Sie wird genauer – ESMA und die EU-Kommission schreiben die Standards jährlich weiter. Die Frage ist, wer im Unternehmen die Datenkette besitzt, wenn der Wirtschaftsprüfer im nächsten Jahr die Annahmen prüft und nach Nachweisen fragt. Und die Antwort lautet in den meisten Fällen: der CIO.
Quelle: CDP Corporate Disclosure Report 2025, eigene Auswertung
Was die Cloud-Anbieter heute liefern – und was nicht
AWS hat im Oktober 2025 das Customer Carbon Footprint Tool (CCFT) um Scope-3-Daten erweitert. Abrufbar sind Lifecycle-Emissionen aus Server-Herstellung, Rechenzentrums-Bau, Transport und Nutzungsende – nicht als Live-Feed, sondern als Monatsaggregat mit API-Zugriff. Für CSRD-Berichte reicht das technisch, aber nicht strategisch: AWS liefert ausschließlich market-basierte Werte. Das EU-Standardformat verlangt Dual-Reporting – market und location basiert. Wer ausschließlich AWS nutzt, muss die location-basierte Komponente aus externen Datenquellen schätzen und die Methodik dokumentieren.
Google Cloud Carbon Footprint liefert beides: market- und location-basiert, mit Granularität bis auf Projekt-Ebene. Azure Emissions Impact Dashboard zieht in dieselbe Richtung, mit monatlicher Datenaktualisierung und zwölf Monaten Historie. In Multi-Cloud-Umgebungen wird das schnell zum Stolperstein: die drei Anbieter rechnen unterschiedlich, nutzen verschiedene Emission Factors und liefern Daten in verschiedenen Abständen. Wer nicht vorher die Methodik konsolidiert, berichtet drei Zahlen, die nicht miteinander vergleichbar sind – und öffnet der Wirtschaftsprüfung ein Einfallstor für Rückfragen.
Die offene Frage ist SaaS. Salesforce veröffentlicht einen aggregierten Konzernbericht, Workday und ServiceNow ebenfalls. Kein Anbieter liefert heute Emissionen pro Customer Account oder pro Nutzer. Für die CSRD-Bilanz werden diese Werte typischerweise aus Nutzungsintensität (Lizenzen, Storage, Compute-Anteil) und dem Konzernwert hochgerechnet. Das ist eine Schätzung, keine Messung – und sie muss dokumentiert sein.
„Scope-3 ist ein Abbild der eigenen Organisation. Wer die Datenkette nicht steuert, berichtet, was die Anbieter liefern – und erklärt dem Prüfer, warum die Zahlen jedes Jahr schwanken.“
Sinngemäß nach CDP Methodology Team, Quartalsbriefing 2026
Die unsichtbare dritte Schicht: Endgeräte und Hardware-LCA
Die am häufigsten unterschätzte Scope-3-Kategorie ist die Endgeräte-Flotte. Notebook, Monitor, Dockingstation, Headset, Telefon – je nach Organisationsgröße kommen hier zwischen fünf und sieben Prozent der Gesamtemissionen zusammen. Die Lifecycle-Werte stehen in den Product-Carbon-Footprint-Datenblättern der Hersteller: Lenovo, Dell, HP, Apple publizieren sie flächendeckend, Samsung und LG für Monitore ebenfalls. Die Herausforderung ist die Verrechnung. Ein Notebook mit 320 kg CO2e über fünf Jahre Nutzungsdauer trägt anders bei als eines, das nach drei Jahren ausgetauscht wird.
Die saubere Messkette setzt an drei Punkten an. Erstens: Asset Management, das die tatsächliche Flotte mit Modell, Kaufdatum und geplantem Austausch abbildet. Zweitens: ein Mapping von Modell zu PCF-Wert, das maschinenlesbar ist – Excel ist akzeptabel, aber nicht skalierbar. Drittens: Nutzungsprofil, das Energiebedarf im Einsatz aus Standort-Strommix und Home-Office-Anteil schätzt. Alle drei Datenpunkte müssen jährlich nachvollziehbar erneuert werden – sonst wird die Zahl mit der Zeit unglaubwürdig.
Der realistische Fahrplan bis zum geprüften Bericht
Was die IT-Organisation jetzt konkret aufbauen sollte
Die Aufgabenverteilung zwischen Nachhaltigkeitsabteilung und IT-Organisation wird 2026 in vielen Unternehmen neu gezogen. Drei Rollen entscheiden über Qualität und Aufwand. Erstens: eine verantwortliche Person in der IT, die die Datenbrücke zwischen Cloud-Billing und ESG-Berichterstattung technisch aufbaut. In größeren Organisationen ist das eine eigene Stelle, in mittelständischen Strukturen oft eine Erweiterung der FinOps-Rolle. Zweitens: ein Data Owner pro Scope-3-Kategorie, der Quelle, Methodik und Datenqualität verantwortet. Drittens: eine gemeinsame Freigabeschleife mit Controlling und Nachhaltigkeit, bevor die Zahlen in den Bericht wandern.
Operativ lohnt sich der Blick auf drei Werkzeuge, die heute verfügbar sind und nicht auf eine Tool-Einführung 2027 warten müssen. Cloud Carbon Footprint (Open Source, ThoughtWorks) konsolidiert AWS-, Azure- und GCP-Daten in einer Oberfläche und ist in kurzer Zeit integrierbar. Persefoni und Watershed bieten die kommerzielle Variante mit Wirtschaftsprüfer-kompatiblem Reporting. Für Hardware-LCA eignen sich spezialisierte Anbieter wie Cleanvest oder Boavizta, die Asset-Listen mit PCF-Daten matchen. Wichtig: keine dieser Optionen ersetzt die eigene Methodik – sie liefern Bausteine, nicht den kompletten Bericht.
1
Quellen-Inventar aufstellen. Liste aller Cloud-Provider-Accounts, SaaS-Verträge, Rechenzentrums-Standorte, Hardware-Flotten. Verantwortliche pro Quelle benennen, Kontakt zum Anbieter-Sustainability-Team klären.
2
Methodik-Dokument schreiben. Welche Emission Factors werden genutzt, wie werden SaaS-Konzernwerte heruntergebrochen, wie wird mit unvollständigen Daten umgegangen. Ohne schriftliche Methodik keine Wirtschaftsprüfer-Freigabe.
3
Konsolidierungs-Workflow etablieren. Monatliche Datenpulls aus den Cloud-APIs, vierteljährlicher Abgleich mit Controlling, jährlicher Konsolidierungslauf zwei Monate vor Berichtsabgabe. Kein Marathon, sondern rollierende Routine.
4
Investitionsentscheidungen andocken. Cloud-Migration, Hardware-Refresh, SaaS-Konsolidierung bekommen eine CO2e-Zeile im Business Case. Die Zahl muss nicht perfekt sein, aber Teil der Entscheidungsgrundlage.
Die Perspektive, die fehlt, wenn nur das Controlling involviert ist: IT als Taktgeber für Datenaktualität. Der Unterschied zwischen einer Zahl pro Quartal und einer Zahl pro Tag entscheidet darüber, ob die Organisation im Jahresverlauf steuern kann oder nur im März zurückblickt. Bei Entscheidungen wie Cloud-Migration, Rechenzentrumsausbau oder Device-Refresh ist die Emissionszahl 2026 kein weiches Kriterium mehr, sondern Teil der Business Case-Unterlagen.
Ein Punkt, den Teams gerne unterschätzen: die Zusammenarbeit mit dem externen Prüfer. Wirtschaftsprüfer prüfen die CSRD-Zahlen mit limited assurance – ab Geschäftsjahr 2028 mit reasonable assurance. Der Prüfer fragt nach Quellen, nach Datenintegrität und nach plausibler Methodik. Wer hier zum ersten Mal nach zwölf Monaten mit dem Prüfer spricht, verliert Wochen. Frühes Alignment im zweiten und dritten Quartal zahlt sich aus: Methodik gemeinsam abstimmen, offene Annahmen dokumentieren, Testlauf vor dem eigentlichen Bericht vereinbaren.
Für Organisationen in einer größeren Unternehmensgruppe kommt noch eine Schicht dazu: die Konsolidierung mit anderen Entitäten. Wenn die Muttergesellschaft CSRD-pflichtig ist und Tochterunternehmen eigene Berichte liefern müssen, entstehen schnell drei bis fünf unterschiedliche Scope-3-Rechnungen, die nicht kompatibel sind. Ein gemeinsamer Methodik-Standard und eine zentrale Datendrehscheibe sparen hier Jahr für Jahr deutlich mehr Zeit als die initiale Einrichtung kostet.
Die zweite Hürde, die bis jetzt unterschätzt wird, sind die Datenschnittstellen zwischen Finanzbuchhaltung und IT-Reporting. Scope-3-Emissionen aus gekauften Gütern werden in vielen Konzernen auf Basis der Lieferantenrechnung berechnet – Kreditorenkonto, Produktgruppe, Spend-basierter Faktor. Wenn die IT parallel eigene Nutzungsdaten aus der Cloud-Abrechnung heranzieht, entstehen zwei Zahlen für denselben Anbieter. Hier braucht es eine klare Regel: entweder IT liefert die Primärzahl und Finanz validiert gegen den Rechnungsbetrag, oder umgekehrt. Doppelte Werte im Bericht sind der häufigste Grund für Prüfer-Rückfragen und kosten die meiste Zeit in der Schlussphase vor der Abgabe.
Schließlich lohnt ein Blick auf das Team rund um die Messkette. In der Praxis funktioniert die Zusammenarbeit am besten, wenn vier Profile zusammenarbeiten: eine IT-seitige Projektleitung, eine technische Integration für API- und Datenflüsse, eine Controlling-Nähe für Plausibilitätschecks und die Nachhaltigkeitsabteilung als fachliche Klammer. Keine dieser Rollen braucht Vollzeit, aber alle vier müssen regelmäßig miteinander sprechen – mindestens monatlich im Reporting-Jahr, quartalsweise in den Zwischenphasen. Unternehmen, die das pragmatisch aufsetzen, schaffen den Bericht in der zweiten Runde deutlich schneller als in der ersten.
Häufige Fragen
Ab wann muss mein Unternehmen Scope-3 berichten?
Große Unternehmen mit mehr als 250 Mitarbeitenden, 50 Millionen Euro Umsatz oder 25 Millionen Euro Bilanzsumme berichten für Geschäftsjahr 2025 erstmals vollständig – Abgabe im Frühjahr 2026. Kapitalmarktorientierte Mittelständler folgen für Geschäftsjahr 2026, nicht-kapitalmarktorientierte KMU für Geschäftsjahr 2028, sofern die CSRD-Änderungsrichtlinie 2025 nicht neue Fristen schafft.
Welche Rolle spielt der CIO bei CSRD?
Der CIO ist Daten-Owner für die IT-seitigen Scope-3-Kategorien. Die Nachhaltigkeitsabteilung konsolidiert, prüft und berichtet – aber die Zahlen aus Cloud, SaaS und Hardware müssen aus der IT-Organisation kommen. Ohne CIO-Verantwortung entsteht kein belastbarer Bericht.
Welcher Cloud-Provider liefert die beste CSRD-Datenbasis?
Aktuell Google Cloud und Microsoft Azure, weil beide market- und location-basierte Werte liefern. AWS hat Scope-3 seit Oktober 2025 nachgezogen, liefert aber weiterhin ausschließlich market-basiert. Für reine AWS-Nutzer entsteht ein zusätzlicher Schätzungsaufwand in der location-basierten Spalte.
Wie gehe ich mit SaaS-Anbietern ohne Kundenkonto-Daten um?
Standard-Methodik: Konzernwert aus dem Sustainability Report des Anbieters nehmen und über Umsatzanteil oder Lizenzanzahl auf den eigenen Konsum hochrechnen. Die Methodik muss dokumentiert sein, Annahmen müssen plausibel sein. Bei späterer Verfügbarkeit genauerer Daten wird die Methodik angepasst und das Delta im Bericht erläutert.
Lohnt ein spezialisiertes Carbon-Accounting-Tool?
Ab etwa 1.500 Mitarbeitenden und einer mehrere Anbieter umfassenden Cloud-Landschaft ist der Aufwand in Eigenregie höher als die Lizenzkosten für Persefoni, Watershed oder vergleichbare Lösungen. Unter 500 Mitarbeitenden lohnt meist Open Source (Cloud Carbon Footprint) kombiniert mit Excel-basiertem Hardware-Mapping. Dazwischen: Einzelfallprüfung gegen die Komplexität des eigenen Stacks.
Mehr aus dem MBF Media Netzwerk
cloudmagazin: AWS EC2 C8in und C8ib – Netzwerkbandbreite als Entscheidungsgrundlage
mybusinessfuture: EU Digital Omnibus im Trilog
digital-chiefs: Gartner-Prognose 2026 – IT-Spending springt auf 6,150 Milliarden
Quelle Titelbild: Pexels / Zifeng Xiong (px:32575068)