Klimaresiliente Cloud-Provider: Der IT-Beschaffungs-Guide

Im Juli 2022 mussten Google Cloud und Oracle in London Teile ihrer Rechenzentren vom Netz nehmen – die Hitzewelle mit über 40 Grad brachte die Kühlsysteme an ihre Grenzen. Wenig später kämpfte auch Microsoft Azure in seiner westeuropäischen Region in den Niederlanden mit einem ‚thermischen Ereignis‘ und Kühlproblemen – wieder mit Auswirkungen auf Kunden in ganz Europa. Beide Vorfälle haben eines gemeinsam: Sie trafen nicht nur die Anbieter, sondern auch deren Kunden, darunter zahlreiche deutsche Mittelständler, die ihre ERP-Systeme, E-Commerce-Plattformen oder Buchhaltung in der europäischen Cloud betreiben.

Was bedeutet das für die klimaresiliente IT-Beschaffung in eurem Unternehmen? Sehr viel. Denn Klimarisiken bei Cloud-Providern sind heute keine theoretische Übung mehr für IT-Architekten, sondern ein betriebswirtschaftliches Thema für Geschäftsführung, IT-Leitung und Einkauf. Wer 2026 Cloud-Verträge verlängert oder neu vergibt, ohne nach Standortdaten, Kühlkonzepten und Ausweichplänen zu fragen, betreibt versteckte Risikohäufung.

Warum Klimaresilienz bei IT plötzlich ein KMU-Thema ist

Die meisten Mittelständler, mit denen ich spreche, sehen sich beim Thema Cloud-Resilienz als reine Anwender. Ihre Logik: „Wir haben einen Vertrag mit AWS oder Microsoft, die kümmern sich um die Verfügbarkeit." Stimmt formal, blendet aber zwei Dinge aus.

Erstens: Selbst Hyperscaler haben physische Rechenzentren. Wenn diese durch Hitze, Starkregen oder Stromnetzprobleme ausfallen, ist der Service-Level-Agreement-Schadensersatz von ein paar Hundert Euro im Vergleich zum tatsächlichen Geschäftsausfall ein Witz. Zweitens: Eure Kunden, Banken und Versicherer beginnen zu fragen, wo eure Daten liegen, wer sie verarbeitet und welche Klimarisiken ihr in eurer Wertschöpfungskette inklusive IT-Dienstleister mittragt.

Tatsächlich ist die IT-Beschaffung eines der unterschätztesten Felder im Klimarisikomanagement. Sie wird oft als rein technische Entscheidung behandelt, dabei steckt darin ein erheblicher Hebel für Resilienz, Compliance und Reputation.

Klimarisiken für Rechenzentren in Deutschland und Europa

Rechenzentren sind extrem sensible Infrastruktur. Sie brauchen verlässlichen Strom, kontinuierliche Kühlung und idealerweise Wasser für die Kühlsysteme. Genau diese drei Faktoren geraten durch den Klimawandel zunehmend unter Druck.

Hitze: Wenn Außentemperaturen über mehrere Tage 35 bis 40 Grad überschreiten, müssen Kühlsysteme mehr Energie aufwenden, um die Server bei rund 25 Grad zu halten. Bei extremer Hitze sinkt die Effizienz so stark, dass entweder die Stromrechnung explodiert oder die Server-Temperatur in den kritischen Bereich rutscht. Die Folge: kontrollierte Abschaltungen, also genau das, was Google in London 2022 gemacht hat.

Starkregen und Hochwasser: Viele deutsche Rechenzentren stehen aus historischen Gründen in Frankfurt, Berlin oder im Rhein-Main-Gebiet, also in Flussnähe. Das Ahrtal-Hochwasser 2021 hat gezeigt, wie schnell vermeintlich sichere Standorte überflutet werden können. Wer schon einmal eine Wasserschadens-Versicherung für ein Rechenzentrum verhandelt hat, weiß: Die Prämien klettern, die Bedingungen werden enger.

Wasserknappheit: Klingt nach südeuropäischem Problem, betrifft aber zunehmend auch deutsche Standorte. Frankfurt, das größte Cloud-Cluster Kontinentaleuropas, hat in den vergangenen Sommern wiederholt mit Trockenheit zu tun gehabt. Wasserkühlung ist effizient, aber sie verbraucht eben Wasser, und das wird in Konkurrenz zu Landwirtschaft und Trinkwasserversorgung stehen.

Stromnetzrisiken: Extremwetter trifft auch die Versorgung selbst. Stürme reißen Leitungen ab, Hitze drosselt Kraftwerke, Trockenheit reduziert die Wasserkraft. Rechenzentren haben zwar Notstromaggregate, aber die sind für Stunden ausgelegt, nicht für Tage.

Die Häufigkeit dieser Extremwetterereignisse wird in den kommenden Jahrzehnten deutlich zunehmen. Das ist kein Klima-Aktivismus, sondern Konsens unter Meteorologen, Versicherern und Stadtplanern. Für die IT-Beschaffung heißt das: Standortwahl und Resilienz-Konzepte eures Providers müssen anders bewertet werden als noch vor fünf Jahren.

Die regulatorische Brille: Was indirekt auf KMU zurückfällt

Die meisten KMU sind nicht direkt von der CSRD oder den ESRS betroffen. Trotzdem landet die Berichtspflicht auf eurem Tisch, über drei Wege.

Erstens: Scope-3-Emissionen eurer Kunden. Große Konzerne müssen die Emissionen ihrer Lieferkette ausweisen. Dazu gehört eure IT, und damit auch die Rechenzentren, die ihr nutzt. Wer hier keine Daten liefern kann, fliegt aus der Lieferantenliste oder muss mit Pauschal-Schätzungen leben, die selten zu eurem Vorteil ausfallen. Der Scope-3-Quick-Check zeigt, wo ihr in dieser Kette steht.

Zweitens: Freiwilliger VSME-Standard. Der EFRAG-Standard für KMU enthält explizit Datenpunkte zu Energie und Emissionen. Wer den VSME-Bericht strukturiert vorbereitet, hat einen Vorteil bei Bankgesprächen und Kundenanfragen. Ohne IT-Emissionsdaten von eurem Cloud-Provider bleibt diese Position lückenhaft.

Drittens: NIS2 und DORA. Diese EU-Regulierungen rücken IT-Dienstleister und kritische Infrastruktur stärker in den Fokus. NIS2 betrifft mittlerweile auch viele mittelständische Unternehmen direkt, nicht mehr nur Konzerne. Die Anforderungen an Cyber- und Resilienzmanagement überschneiden sich zunehmend mit ESG-Themen. Heißt: Eure Anbieterwahl wird Teil der Governance, nicht nur eine IT-Frage.

Hinzu kommt das deutsche Lieferkettensorgfaltspflichtengesetz, das mit der EU-CSDDD ohnehin in Bewegung ist. Für IT-Beschaffung gilt: Eure Dienstleister werden Teil eurer Sorgfaltskette, ob ihr das wollt oder nicht.

Cloud-Landschaft: Optionen für deutsche KMU

Wer heute Cloud-Services einkauft, hat grob drei Optionen: Hyperscaler, europäische Spezialanbieter oder Hybrid-Modelle.

Hyperscaler wie AWS, Microsoft Azure und Google Cloud bieten enorme Funktionsbreite, weltweite Verfügbarkeit und ein riesiges Ökosystem an Tools. Der potenzielle Nachteil: US-amerikanisches Mutterunternehmen – damit können Cloud Act und FISA im Extremfall Datenzugriffe durch US-Behörden ermöglichen. Für viele KMU spielt das praktisch keine Rolle, für regulierte Branchen oder sensible Daten dagegen sehr.

Europäische und deutsche Anbieter wie IONOS, STACKIT (Schwarz-Gruppe), plusserver, Hetzner, Open Telekom Cloud oder OVHcloud spielen die Karte „Datensouveränität". Sie unterliegen europäischem Recht, ihre Rechenzentren stehen typischerweise in der EU, Datenflüsse in Drittstaaten sind transparent geregelt. In Funktionsumfang erreichen sie nicht das Niveau der Hyperscaler, decken aber für Standardanwendungen wie ERP, CRM, E-Mail oder File-Hosting alles ab, was ein Mittelständler braucht.

Das Konzept der Sovereign Cloud oder European Cloud verbindet beide Welten: Hyperscaler-Technologie, aber unter europäischer Rechtshoheit betrieben. Microsoft etwa baut mit Sovereign Cloud-Angeboten an dieser Brücke. Wie verlässlich diese Konstrukte rechtlich sind, ist im Detail umstritten.

GAIA-X spielt strategisch eine Rolle für die Datensouveränität in Europa. Für die operative IT-Beschaffung eines Mittelständlers ist es aktuell aber eher Hintergrundmusik, kein konkretes Angebot. Eine fundierte Einordnung gibt es in meinem Artikel zu EuroStack und europäischer Tech-Basis.

Technische Resilienz: Was hinter den Buzzwords steckt

Hier kommen wir zum Teil, in dem viele KMU-Entscheider abschalten, weil die Begriffe abstrakt klingen. Lohnt sich aber, kurz reinzudenken, denn die Konzepte entscheiden über Tausende Euro Ausfallkosten.

Georedundanz bedeutet: Eure Daten und Anwendungen liegen in zwei physisch getrennten Rechenzentren. Fällt eines aus, übernimmt das andere. Das BSI empfiehlt für georedundante Standorte in Deutschland einen Mindestabstand von 200 Kilometern. Hintergrund: Bei großräumigen Extremwetterereignissen sind sonst beide Standorte gleichzeitig betroffen.

Multi-Region in der Cloud klingt ähnlich, ist aber etwas anderes. Hyperscaler werben mit „mehreren Verfügbarkeitszonen in einer Region". Diese Zonen liegen oft nur 50 bis 100 Kilometer auseinander, manchmal sogar im selben Metropolraum. Bei einer Hitzewelle, die ganz Süddeutschland trifft, hilft das wenig. Echte Georedundanz bekommt ihr erst, wenn ihr zwei wirklich weit entfernte Regionen nutzt, etwa Frankfurt und Dublin.

Multi-Cloud versus Hybrid-Cloud: Multi-Cloud verteilt Workloads auf mehrere Provider, beispielsweise AWS für die Datenanalyse und Azure für Office. Klingt nach maximaler Sicherheit, ist in der Praxis aber teuer und komplex. Hybrid-Cloud kombiniert Cloud mit eurer eigenen IT-Infrastruktur, etwa für besonders sensible Daten. Für die meisten KMU ist Multi-Region beim gleichen Anbieter der pragmatischere erste Schritt als ein vollwertiges Multi-Cloud-Setup.

Backup und Disaster Recovery: Der klassische Stiefkind-Bereich. Regelmäßige Backups an räumlich getrennten Standorten, klar definierte Wiederanlaufzeiten (RTO) und ein getesteter Notfallplan sind keine optionalen Extras, sondern Pflicht. Die Erfahrung aus vielen Projekten zeigt: Wer noch nie einen Disaster-Recovery-Test gemacht hat, weiß auch nicht, ob seine Backups funktionieren.

Wirtschaftliche Dimension: Ausfälle, Versicherung, TCO

Was kostet euch ein IT-Ausfall wirklich? Die Antwort hängt vom Geschäftsmodell ab. Für einen E-Commerce-Händler können bereits wenige Stunden Ausfall einen Monatsgewinn auffressen. Für einen produzierenden Mittelständler kann ein Tag stillstehender ERP-Systeme schnell sechsstellige Schäden bedeuten, plus Kollateralschäden bei Kunden und Lieferanten.

Hinzu kommt: Extremwetterereignisse in Europa haben in den letzten Jahren wirtschaftlich deutlich spürbare Schäden verursacht, und IT war zunehmend Teil der Schadenskette. Das wirkt sich auf Versicherungen aus.

Versicherer haben sehr klar aus den letzten Hochwassern und Stürmen gelernt – Policen werden angepasst, Deckungslücken bei klimabedingten IT-Schäden sind eher die Regel als die Ausnahme. Deckungslücken bei klimabedingten Cyber- und IT-Ausfällen werden häufiger, Prämien steigen, Force-Majeure-Klauseln werden enger ausgelegt. Wer die Entwicklung bei klimabedingten Deckungslücken und Prämienrisiken nicht im Blick hat, riskiert, im Schadenfall ohne ausreichenden Schutz dazustehen.

Aus strategischer Sicht heißt das: Investitionen in klimaresiliente IT-Strukturen sind mittelfristig fast immer günstiger als wiederholte Ausfälle plus teurere Versicherung. In der Total-Cost-of-Ownership-Betrachtung ändert sich die Rechnung deutlich, sobald man Ausfallwahrscheinlichkeiten realistisch ansetzt. Wer dabei systematisch vorgehen will, findet im Szenarien-Leitfaden zu Klimarisiken im Geschäftsmodell konkrete Ansätze.

Checkliste: Fragen an Cloud- und IT-Provider

Diese Checkliste habe ich aus über zehn Jahren Beratungsarbeit destilliert. Sie ist bewusst in der Sprache von Geschäftsführung und Einkauf gehalten, nicht in der von IT-Architekten. Nehmt sie in eure nächste Provider-Verhandlung mit.

Ergänzend lohnt der Blick auf meine Checkliste für Klimarisiken in unternehmerischen Entscheidungen, die sich nicht nur auf IT, sondern auf strategische Investitionen allgemein bezieht. Und für tiefer gehende Cybersecurity-Aspekte bei IT-Dienstleistern empfiehlt sich der Überblick zu Cybersicherheit als Teil eurer ESG-Strategie.

Fazit: Klimaresilienz als Wettbewerbsfaktor

Klimaresiliente IT ist Risikomanagement, nicht Nachhaltigkeitsimage. Wer heute beim IT-Einkauf Klimarisiken mitdenkt, ist besser vorbereitet auf kommende Regulierungen, Kundenanfragen und Versicherungslogik. Und meistens deutlich besser bei Ausfällen.

Drei Kernaussagen für eure nächsten Schritte:

Erstens: Macht eine ehrliche Bestandsaufnahme. Wo liegen eure Daten? Welche Standorte nutzt euer Provider? Welche Ausfallszenarien hat euer Disaster-Recovery-Plan eingepreist? Wer schon einmal versucht hat, diese Fragen ohne Vorbereitung in einer Audit-Situation zu beantworten, weiß, dass eine systematische Klimarisikoanalyse hier hilft.

Zweitens: Souveräne, europäische Cloud-Optionen können helfen, Klimaresilienz, Datenschutz und Regulierung besser zusammenzubringen. Sie sind nicht für jeden Anwendungsfall die richtige Wahl, aber sie verdienen einen ernsthaften Vergleich, nicht nur einen Tab im Beschaffungsprozess.

Drittens: Klimaresilienz ist ein Wettbewerbsfaktor. Eure Kunden werden zunehmend nach Daten zu IT-Emissionen und IT-Resilienz fragen. Wer hier vorbereitet ist, bleibt Lieferant. Wer nicht, fliegt mittelfristig aus der Liste.

Häufig gestellte Fragen

Was ist Klimaresilienz bei Cloud-Providern?

Klimaresilienz beschreibt die Fähigkeit eines Cloud-Providers, seinen Betrieb auch bei klimabedingten Extremereignissen wie Hitzewellen, Hochwasser oder Stromausfällen aufrechtzuerhalten. Dazu gehören Standortwahl, Kühlkonzepte, Notstrom, georedundante Rechenzentren und getestete Disaster-Recovery-Prozesse.

Sind deutsche KMU von Cloud-Ausfällen wirklich betroffen?

Ja, auch ohne eigene Rechenzentren. Wer ERP, CRM, E-Commerce oder Buchhaltung in der Cloud betreibt, ist im Ausfallszenario unmittelbar betroffen. Schäden gehen schnell in den fünf- bis sechsstelligen Bereich, der SLA-Schadensersatz deckt davon meist nur einen Bruchteil ab.

Reicht ein Hyperscaler wie AWS oder Azure für klimaresiliente IT?

Ob ein Hyperscaler reicht, hängt weniger vom Namen des Anbieters ab, sondern davon, ob ihr Multi‑Region, Backups und klare Wiederanlaufzeiten sauber umgesetzt habt. Außerdem solltet ihr Standortdaten und Resilienz-Konzepte vertraglich einfordern. Für regulatorisch sensible Daten kann eine europäische Sovereign Cloud die bessere Option sein.

Was bedeutet Georedundanz konkret?

Georedundanz bedeutet, dass Daten und Anwendungen in zwei physisch getrennten Rechenzentren liegen. Das BSI empfiehlt für georedundante Standorte in Deutschland einen Mindestabstand von rund 200 Kilometern, um gemeinsame Betroffenheit durch ein und dasselbe Extremwetterereignis zu vermeiden.

Müssen KMU IT-Emissionen ihres Cloud-Providers berichten?

Direkt nur in seltenen Fällen. Indirekt aber sehr häufig: Große Kunden fragen Scope-3-Daten ab, Banken erwarten Nachhaltigkeitsprofile, der VSME-Standard enthält entsprechende Datenpunkte. Wer hier keine Daten liefern kann, fällt im Lieferantenvergleich zurück.

Wie unterscheiden sich Multi-Region und Multi-Cloud?

Multi-Region nutzt mehrere geografische Regionen beim gleichen Anbieter. Multi-Cloud kombiniert verschiedene Anbieter, zum Beispiel AWS und Azure. Multi-Region ist für die meisten KMU der pragmatischere erste Schritt, Multi-Cloud erhöht Komplexität und Kosten deutlich.

Was ist eine Sovereign Cloud?

Eine Sovereign Cloud ist ein Cloud-Angebot, das unter europäischer Rechtshoheit betrieben wird, idealerweise mit Datenstandorten ausschließlich in der EU. Typische Anbieter sind IONOS, STACKIT, Open Telekom Cloud oder OVHcloud. Hyperscaler bauen ebenfalls Sovereign-Cloud-Angebote auf, deren rechtliche Robustheit ist allerdings im Detail umstritten.

Lohnt sich die Investition in klimaresiliente IT-Strukturen wirtschaftlich?

In der Total-Cost-of-Ownership-Betrachtung in den meisten Fällen ja. Sobald man Ausfallwahrscheinlichkeiten realistisch ansetzt und steigende Versicherungsprämien einbezieht, sind Investitionen in Georedundanz und getestete Disaster-Recovery-Prozesse mittelfristig günstiger als wiederholte Ausfälle.