Digitale Souveränität steht spätestens seit 2020 im Zentrum der europäischen und nationalen Debatte zur Digitalisierung (Madiega 2020[1]). Dabei lag der Fokus bei der Digitalen Souveränität zunächst vor allem darauf, sicherzustellen, dass Staaten die Kontrolle über ihre digitalen Prozesse und Daten bewahren, um ihre Innovationskraft und Handlungsfähigkeit im digitalen Wettbewerb zu erhalten (Madiega 2020[1]).
Die Sorge, zentrale Aspekte der digitalen Infrastruktur an externe Akteure zu verlieren, berührt bis heute auch die Sicherung europäischer Werte bei derzeitigem digitalem Wandel (Tiedeke 2021[2]; Denga 2022[3]). Um diese Souveränität zu stärken, wurden (bereits vor 2020) zahlreiche Gesetze und Strategien wie die DSGVO, der Digital Services Act, die Datenstrategie der Bundesregierung (BMDV und BMWK 2023[4]) und der Data Act verabschiedet oder Initiativen wie GAIA-X ins Leben gerufen (Tiedeke 2021[2]). Dennoch bleiben auch weiterhin viele Bereiche der digitalen Welt von internationalen Dienstleistern/Plattformanbietern geprägt (Europäische Kommission 2026b[5]).
Die Sicherstellung der Digitalen Souveränität ist aber nicht alleine eine Frage, die die Europäische Union und ihre Mitgliedstaaten anbetrifft. Sondern sie berührt auch kleine und mittlere Unternehmen (KMU) und wird als Thema gerade dort immer wichtiger (Grün 2024[6]).
In diesem Nachgelesen erfahren Sie,
- welche Bedeutung Digitale Souveränität für KMU hat,
- welche rechtlichen Anforderungen an die Digitale Souveränität gestellt werden,
- welche Kontrollpunkte der Datenlebenszyklus im Unternehmen bereithält,
- welche strategischen Optionen zum Speichern von Unternehmensdaten bereitstehen und
- wie Cybersicherheit ein wesentlicher Bestandteil der Datenkontrolle darstellt.
Digitale Souveränität in KMU
Im Zuge der Digitalisierung und zuletzt aufgrund der steigenden Bedeutung von Künstlicher Intelligenz nimmt die Bedeutung der Digitalen Souveränität von KMU zu. Insbesondere ist zu überlegen, wie KMU den Überblick und die Kontrolle über ihren digitalen Schatz der Unternehmensdaten wahren können. Damit ist nicht das Abschotten gemeint; natürlich sollen Unternehmensdaten künftig auch Teil der modernen Datenwirtschaft werden. Vielmehr geht es bei der Digitalen Souveränität von KMU darum, jederzeit eigenständig (souverän) über die Erhebung, Speicherung, Nutzung und die Weitergabe der eigenen Daten entscheiden zu können.
Mit einem solchen selbstbestimmten Umgang sind mehrere Dimensionen angesprochen:
- Zum einen ist der Zugang zu Daten relevant (Veil 2025[7]), insbesondere zu solchen, die KMU beispielsweise als Nutzende von IoT-Geräten selbst generieren oder mitgenerieren.
- Zum anderen bedarf es der Fähigkeit, den Umgang mit den eigenen Daten zu kontrollieren und zielgerichtet zu steuern: Wer darf auf Unternehmensdaten zugreifen? Unter welchen Bedingungen können Daten geteilt oder von Partnern genutzt werden?
Die Auseinandersetzung mit diesen Dimensionen ist zentral und notwendig, um die wirtschaftlichen Chancen, die mit der Nutzung, Weitergabe und dem Teilen der Daten verbunden sind, vollständig auszuschöpfen (Hennemann 2025[8]). Dabei ist zu beachten, dass das Konzept der Digitalen Souveränität nicht mit einem Eigentumsrecht an Daten gleichzusetzen ist. Ein solches Dateneigentum existiert im deutschen Recht nicht (Veil 2026a[9]; Denga 2022[3]). Vielmehr geht es allein um die Entscheidungs- und Kontrollmöglichkeiten, die KMU dazu befähigen, den Wert ihrer Daten selbstbestimmt zu gestalten.
Digitale Souveränität und Rechtsrahmen
Digitale Souveränität, verstanden als ein geordneter Zugang zu den Daten sowie die anschließende Kontrolle über die Datenflüsse, schafft – wie erwähnt – die Grundlage für eine selbstbestimmte Nutzung von Daten. Dabei darf die Erfüllung rechtlicher Anforderungen, die sich mit Datenzugang und -fluss befassen nicht unberücksichtigt bleiben.
Bezogen auf den Datenzugang und der -nutzung ist der Schutz von Geschäftsgeheimnissen sowie weiteren sensiblen Unternehmensinformationen wie Produktionsdaten, Kundendaten oder strategischem Know-how zu berücksichtigen. Denn wenn Daten von Dritten eingesehen werden können oder gar über cloudbasierte KI-Anwendungen potenziell unkontrolliert verbreitet werden (Alexander 2026[10]), bedeutet das für KMU u. U. ein erhebliches wirtschaftliches Risiko; mitunter verlieren sie über die damit verbundenen unternehmensbezogenen Informationen ihre Existenzgrundlage.
Darüber hinaus bildet das Datenschutzrecht einen wichtigen Regulierungsrahmen (Roßnagel 2023[11]). Gerade in Europa gelten strenge Regeln dafür, wie personenbezogene Daten erhoben, gespeichert und verarbeitet werden dürfen. Digitale Souveränität bedeutet an dieser Stelle, dass Unternehmen nachvollziehen und kontrollieren können, wo Daten, für die sie die Verantwortung tragen, erhoben werden, wo sie liegen, wer darauf zugreift und wie sie genau verarbeitet werden. Aus diesem Grund umfasst Digitale Souveränität auch den verantwortungsvollen Umgang mit personenbezogenen Daten.
Digitale Souveränität erschöpft sich dabei nicht nur in der Sicherung von Geschäftsgeheimnissen oder der Abwehr von Schäden für die Privatsphäre, sondern stellt die Grundlage für eine aktive Gestaltung und Handlungsfähigkeit von KMU in puncto Daten dar. Denn Digitale Souveränität umfasst eine große Bandbreite ganz unterschiedlicher Daten und Informationen, von personenbezogenen über Maschinendaten und unternehmensbezogene Daten, bis hin zu Geschäftsgeheimnissen oder strategischem Know-How.
Digitale Souveränität ist also gegenüber dem Anwendungsbereich der angesprochenen rechtlichen Rahmenbedingungen – Geschäftsgeheimnisschutz und Datenschutz – wesentlich breiter zu fassen und kumuliert Anforderungen aus den diversen Rechtsgrundlagen. So bedeutet Digitale Souveränität z.B. die rechtlichen Anforderungen aus dem Datenschutzrecht sicher zu erfüllen und zugleich die eigenen wirtschaftlichen Interessen zu schützen sowie im Hinblick auf die Datenwirtschaft handlungsfähig zu bleiben.
Dreh- und Angelpunkt einer so verstandenen Digitalen Souveränität bildet im Unternehmen daher
- das Erkennen der relevanten Daten,
- die Ausgestaltung des Zugangs zu diesen Daten sowie
- die Kontrolle über deren Nutzung.
Der Datenlebenszyklus im Unternehmen: Kritische Kontrollpunkte für KMU
Für kleine und mittlere Unternehmen ist ein strukturierter Blick auf den Datenlebenszyklus essenziell, um die Kontrolle über Unternehmensdaten zu behalten und rechtliche Risiken zu minimieren. Gerade entlang der einzelnen Phasen des ‚Datenlebenszyklus‘ – von der Datenerhebung bis zur Datensekundärnutzung – offenbaren sich typische Stellen, an denen Governance, Datenschutz und unternehmerische Steuerungs- und Gestaltungsfähigkeit ineinandergreifen müssen.
Cloud oder eigene Infrastruktur: Strategische Optionen für KMU
Die Speicherung von Unternehmensdaten auf eigener Infrastruktur bietet zweifellos ein Höchstmaß an unmittelbarer Kontrolle. Für viele KMU ist dieses Modell jedoch angesichts steigender Anforderungen an Skalierbarkeit, Verfügbarkeit und Innovationsgeschwindigkeit nur begrenzt zu realisieren.
Cybersicherheit als Bestandteil der Datenkontrolle im KMU
Mit der zunehmenden Digitalisierung geraten auch KMU verstärkt ins Visier von Cyberangriffen. Cybersicherheit ist daher kein isoliertes IT-Thema, sondern ein zentraler Bestandteil jeder Strategie zur Sicherung der Kontrolle über Unternehmensdaten und damit der Digitalen Souveränität (Außendorf und Evran 2024[45]). Denn der Verlust von Datenkontrolle erfolgt nicht nur durch bewusste Weitergabe oder externe Dienstleister, sondern ebenso durch unbefugte Zugriffe von außen, etwa durch Ransomware, Phishing oder gezielte Angriffe auf IT-Systeme. Der Schutz der eigenen Daten muss daher ganzheitlich gedacht werden und sowohl technische als auch organisatorische Maßnahmen umfassen.
Ein zentraler Baustein ist eine strukturierte Backup-Strategie (Ruoff 2016[46]), insbesondere nach der sogenannten 3-2-1-Regel (Richter 2025[47]). Unternehmen sollten mindestens drei Kopien ihrer wichtigsten Daten vorhalten, diese auf zwei unterschiedlichen Speichermedien sichern (z. B. lokale Datenträger und Cloud) und eine Kopie räumlich getrennt sowie idealerweise offline lagern. Entscheidend ist zudem, dass Backups nicht nur erstellt, sondern auch regelmäßig getestet werden. Im Ernstfall, etwa bei Ransomware-Angriffen, Hardwareausfällen oder Diebstahl, entscheidet die Funktionsfähigkeit der Backups darüber, ob ein Unternehmen handlungsfähig bleibt.
Ein weiterer kritischer Faktor ist die Absicherung von Zugängen (Spieker und Eichstädt 2024[48]). Schwache, mehrfach verwendete oder geteilte Passwörter zählen zu den häufigsten Einfallstoren für Angriffe. Der Einsatz von starken Passwörtern in Kombination mit Zwei-Faktor-Authentifizierung stellt hier einen grundlegenden Schutzmechanismus dar (BSI[49]).
Gleichzeitig zeigt die Praxis, dass der Mensch oft die größte Angriffsfläche ist. Ein erheblicher Teil aller Cyberangriffe beginnt mit Phishing-E-Mails oder Social-Engineering-Methoden(Weber 2024[50]). Gerade in KMU, in denen Arbeitsprozesse häufig auf Vertrauen basieren, nutzen Angreifer gezielt täuschend echte auch KI-generierte E-Mails, gefälschte Rechnungen oder vermeintliche Anweisungen von Vorgesetzten. Daher ist die Sensibilisierung von Mitarbeitenden ein wesentlicher Bestandteil der Sicherheitsstrategie. Schulungen und klare Verhaltensrichtlinien helfen, Risiken frühzeitig zu erkennen und Fehler zu vermeiden.
Daneben stellen eine ganze Reihe von Gesetzen wie der Cyber Resilience Act (CRA) oder die NIS2-Richtlinie (Wäsche 2025[51]) Anforderungen an die Unternehmen, um die Cybersicherheit und damit auch die effektive Souveränität zu stärken (Schöttle 2026[34]).
Fazit: Datensouveräne Cloud- und KI-Nutzung als strategische Aufgabe für KMU
Für KMU zeigt sich zunehmend, dass die Kontrolle über Unternehmensdaten nicht allein von der Wahl zwischen Cloud oder eigener Infrastruktur abhängt, sondern maßgeblich von der bewussten Gestaltung der Nutzung. Weder Cloud-Dienste noch KI-Anwendungen führen per se zum Verlust der Datenkontrolle. Entscheidend ist, wie sie eingesetzt, abgesichert und vertraglich begleitet werden. Verträge mit Cloud- und IT-Dienstleistern sind ein wesentliches Instrument zur Sicherung der eigenen Handlungsfähigkeit. Dabei ist besonders die Kernfrage der Exit-Strategien zu adressieren, d.h. es müssen klare Regelungen zur Datenlöschung, Datenrückgabe und zum Anbieterwechsel vereinbart werden.
Im Fall der Verarbeitung personenbezogener Daten liegt die Herausforderung in der Berücksichtigung datenschutzrechtlicher Rahmenbedingungen bei der Cloud-Nutzung. Der physische Speicherort von Daten ist nicht automatisch gleichbedeutend mit der anwendbaren Rechtsordnung. Daher empfiehlt es sich, bevorzugt Anbieter mit Sitz in der Europäischen Union zu wählen und gleichzeitig hybride Ansätze zu verfolgen. In lokalen KI-Anwendungen können personenbezogene Daten, sensible Unternehmensdaten oder Geschäftsgeheimnisse in kontrollierten Umgebungen verbleiben, während weniger kritische Anwendungen von der Skalierbarkeit der Cloud profitieren.
Ergänzend dazu ist Cybersicherheit ein unverzichtbarer Bestandteil der Datenkontrolle. Maßnahmen wie starke Passwörter, Zwei-Faktor-Authentifizierung sowie regelmäßige Backups nach der 3-2-1-Regel bilden die Grundlage. Ebenso entscheidend ist die Sensibilisierung von Mitarbeitenden, da viele Angriffe auf menschliche Schwachstellen abzielen.
Insgesamt ist Datensouveränität im Unternehmen kein statischer Zustand, sondern das Ergebnis strategischer Entscheidungen, technischer Maßnahmen und dem Befolgen klarer rechtlicher Rahmenbedingungen. KMU, die Cloud- und KI-Nutzung bewusst gestalten, Anbieter gezielt auswählen und ihre vertraglichen sowie organisatorischen Grundlagen frühzeitig definieren, können ihre Daten nicht nur schützen, sondern auch gezielt und wirtschaftlich nutzen – sie werden digital souverän.
Literaturverzeichnis
- Madiega, Tambiama (2020): Digital sovereignty for Europe. BRIEFING, EPRS Ideas Paper. Towards a more resilient EU. Online verfügbar unter https://www.europarl.europa.eu/RegData/etudes/BRIE/2020/651992/EPRS_BRI(2020)651992_EN.pdf.
- Tiedeke, Anna Sophia (2021): Die (notwendige) relativität digitaler Souveränität. Kritische Reflexionen zu einem zentralen und umstrittenen Konzept im digitalen Zeitalter. In: MMR, S. 624–628.
- Denga, Michael (2022): Digitale Souveränität durch Datenprivatrecht. In: GRUR, 1113-1120.
- BMDV; BMWK (Hg.) (2023): Fortschritt durch Datennutzung. Strategie für mehr und bessere Daten für neue, effektive und zukunftsweisende Datennutzung. Online verfügbar unter https://www.bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/2023/datenstrategie.html, zuletzt geprüft am 12.05.2026.
- Europäische Kommission (2026b): Supervision of the designated very large online platforms and search engines under DSA. Online verfügbar unter https://digital-strategy.ec.europa.eu/en/policies/list-designated-vlops-and-vloses, zuletzt geprüft am 08.05.2026.
- Grün, Oliver (2024): Digitale Souveränität „Made in Germany“ – der IT-Mittelstand als Motor für selbstbestimmte Digitalisierung. In: MMR, S. 739–740.
- Veil, Winfried (2025): Wende in der Datenpolitik? In: ZGI, 81-82.
- Hennemann, Moritz (2025): XIV: Datenwirtschaft. 140. Einleitung zur Datenwirtschaft. C. Datensouveränität, Datenhoheit, Datenmacht. In: Christoph Herrmann, Marian Niestedt und Patrikatrik Abel (Hg.): EU-Außenwirtschafts- und Zollrecht. München: C.H. Beck, Rn. 13 ff.
- Veil, Winfried (2026a): DA Art. 1. In: Heinrich Amadeus Wolff, Stefan Brink und Antje v. Ungern-Sternberg: BeckOK Datenschutzrecht. DS-GVO, DA, DGA, BDSG. Datenschutz und Datennutzung, Stand: 01.02.2025. 55. Edition. München: C.H. Beck, Rn. 39–41.
- Alexander, Christian (2026): § 2. In: Helmut Köhler und Jörn Feddersen: Gesetz gegen den unlauteren Wettbewerb. Beck’sche Kurz-Kommentare. 44. Aufl.: C.H. Beck, Rn. 88d.
- Roßnagel, Alexander (2023): Digitale Souveränität im Datenschutz. Voraussetzungen für die Umsetzung datenschutzrechtlicher Anforderungen. In: MMR, S. 64–68.
- Assion, Simon; Willecke, Lukas (2023): Der EU Data Act. Die neuen Regelungen zu vernetzten Produkten und Diensten. In: MMR, 805-810.
- Veil, Winfried (2026b): DA Art. 1. In: Heinrich Amadeus Wolff, Stefan Brink und Antje v. Ungern-Sternberg: BeckOK Datenschutzrecht. DS-GVO, DA, DGA, BDSG. Datenschutz und Datennutzung. 55. Edition. München: C.H. Beck.
- Ziegler, Nicolas; Nagl, Sebastian (2023): Zugang zu Industriedaten für KMU. Gleichzeitig eine rechtliche und technische Analyse des Entwurfs des Data Acts als KMU-Instrument. In: ZfDR, S. 57–86.
- DSK (2024): Das Standard-Datenschutzmodell. Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewahrleistungsziele. Version 3.1. Hg. v. AK Technik der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Online verfügbar unter https://www.datenschutzkonferenz-online.de/media/ah/SDM-Methode-V31.pdf, zuletzt aktualisiert am 14.05.2024, zuletzt geprüft am 31.05.2026.
- EDSA (2023): Leitlinien 5/2021 über das Zusammenspiel zwischen der Anwendung des Artikels 3 und der Bestimmungen über internationale Übermittlungen nach Kapitel V DSGVO. Version 2.0. Online verfügbar unter https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052021-interplay-between-application-article-3_en, zuletzt geprüft am 12.05.2026.
- DSK (2023): Übermittlung personenbezogener Daten aus Europa an die USA. Anwendungshinweise zum Angemessenheitsbeschluss der Europäischen Kommission zum Datenschutzrahmen EU‐USA (EU‐US Data Privacy Framework) vom 10. Juli 2023. Hg. v. DSK. Online verfügbar unter https://www.datenschutzkonferenz-online.de/media/ah/230904_DSK_Ah_EU_US.pdf, zuletzt geprüft am 12.05.2026.
- Hessel, Stefan (2023): Der neue Angemessenheitsbeschluss für Datenübermittlungen in die USA. In: NJW, S. 2969–2973.
- EDSA (Hg.) (2021): Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten. Version 2.0. Online verfügbar unter https://www.edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_de.
- Dienst, Sebastian; Hartl, Korbinian; Vogel, Paul (2026): Internationale Datentransfers im neuen Datenrecht. Vergleich der Regelungen von Data Act, DGA und DS-GVO. In: ZD, 10-16.
- Schreiber, Kristina; Schoel, Philipp: Data Governance Act: Mehr Daten für Legal Tech-Anwendungen? In: LTZ, 3-8.
- Gummersbach, Lina; Chan, Noemi Aguirre; Molnár-Gábor, Fruzsina (2026): Vertrauenswürdige Datentreuhänder? Datenschutzrechtliche Anforderungen für die neuen Akteure in der Netzwerkmedizin auf dem Prüfstand. In: ZfDR, 103-129.
- Meyer, Sebastian (2025): § 51. Internationales Datenschutzrecht. In: Michael Martinek, Franz-Jörg Semler und Eckhard Flohr (Hg.): Handbuch Vertriebsrecht. 5. Aufl.: C.H. Beck; Helbing Lichtenhahn.
- Powell, Phill; Smalley, Ian (2024): Was ist ein Hyperscale-Rechenzentrum? Hg. v. IBM Think. Online verfügbar unter https://www.ibm.com/de-de/think/topics/hyperscale-data-center.
- Europäische Kommission (2026a): COM(2026) 502 final. 2026/0138 (COD). Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL establishing a framework of measures for strengthening Europe’s cloud and AI ecosystem (Cloud and AI Development Act). Brüssel.
- Singh, Sonali Uttam; Namin, Akbar Siami (2025): A survey on chatbots and large language models: Testing and evaluation techniques. In: Natural Language Processing Journal 10, S. 100128. DOI: 10.1016/j.nlp.2025.100128.
- Schneider, Udo (2025): Viele KI-Risiken sind Datenschutzrisiken. Hg. v. SpringerProfessional, zuletzt geprüft am 15.06.2026.
- Mykytyn, Pavlo: Cloud-KI versus lokale-KI: Leistung und Datenkontrolle. Hg. v. MDZ Spreeland. Online verfügbar unter https://www.digitalzentrum-spreeland.de/Kuenstliche-Intelligenz/KI-Blog/Cloud-KI-versus-lokale-KI-Leistung-und-Datenkontrolle-.html, zuletzt geprüft am 04.06.2026.
- MDZC (2026): Geschäftsgeheimnisschutz im KI-Zeitalter. Online verfügbar unter https://digitalzentrum-chemnitz.de/wissen/geschaeftsgeheimnisschutz-im-ki-zeitalter/, zuletzt aktualisiert am 09.04.2026, zuletzt geprüft am 09.04.2026.
- Rätze, Michael (2026): Auftragsverarbeitung nach Art. 28 DSGVO. Hg. v. MDZC. Online verfügbar unter https://digitalzentrum-chemnitz.de/wissen/auftragsverarbeitung-nach-dsgvo/, zuletzt aktualisiert am 09.04.2026.
- Tacke, Ines (2025): KI, Cloud & Datenschutz – wer ist verantwortlich? Online verfügbar unter https://digitalzentrum-chemnitz.de/wissen/ki-cloud-datenschutz-wer-ist-verantwortlich/, zuletzt aktualisiert am 09.04.2026.
- Lang, Thorsten; Scheufen, Marc; Engels, Barbara (2026): Digitale Souveränität von KMU. Begleitforschung Mittelstand-Digital. Hg. v. Institut der deutschen Wirtschaft Köln e.V., Institut der deutschen Wirtschaft Köln Consult GmbH und Ramboll Management Consulting GmbH. Online verfügbar unter https://www.iwkoeln.de/studien/thorsten-lang-marc-scheufen-barbara-engels-digitale-souveraenitaet-von-kmu-begleitforschung-mittelstand-digital.html.
- Denga, Michael (2026): Datensouveränität und Data Cloud. Binnenmarktregulierung zwischen Kontraktualisierung und Subventionierung. In: MMR, S. 91–97.
- Schöttle, Hendrik (2026): Digitale Souveränität durch Open Source. Rechtliche Handlungsspielräume in einer vernetzten Welt. In: MMR, S. 178–183.
- Rauscher, Alexander (2026): Die Qual der Wahl – Ein Leitfaden zur Auswahl von Large Language Models (LLM) für KMU. Nachgelesen. Hg. v. MDZC. Online verfügbar unter https://digitalzentrum-chemnitz.de/wissen/leitfaden-zur-auswahl-von-large-language-models-fuer-kmu/, zuletzt geprüft am 31.05.2026.
- Jung, Sven (2025): Index digitale Souveränität. Die deutsche Wirtschaft zwischen Selbstbestimmung und Abhängigkeit. Hg. v. adesso SE und Handelsblatt GmbH. Online verfügbar unter https://www.adesso.de/de/impulse/digitale-souveraenitaet/souveraenitaetsindex/index.jsp, zuletzt aktualisiert am 09.04.2026.
- Redaktion ZD (2025): Forsa-Umfrage: Cloud-Dienste und Digitale Souveränität. In: ZD-Aktuell, S. 1467.
- Zikesch, Philipp; Sörup, Thorsten; Adrian, Maximilian (2026): Datenverarbeitungsdienst – ein Begriff sucht seine Bedeutung. Definition nach Systematik, Zielsetzung und Übertragbarkeit auf Service -Modelle. In: MMR, 171-178.
- Siglmüller, Jonas; Żdanowiecki, Konrad (2025): Datenverarbeitungsdienste unter dem Data Act – alles Cloud, oder was? Teil III zur Data Act-Umsetzung vor dem Omnibus-Paket. In: RDi, 504-512.
- Sattler, Andreas (2024): Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing. Was die zwingenden Vorgaben des Data Act für die künftigen nicht-verbindlichen Standardvertragsklauseln der EU-Kommission bedeuten. In: CR, S. 213–223.
- Romero Mateos, Lucía; Zenner, Lyn Luisa: LLMs vs. SLMs: Welche Sprachmodelle eignen sich für KMU? Hg. v. MDZH. Online verfügbar unter abrufbar unter: https://digitalzentrum-hamburg.de/leitfaden/llms-vs-slms-sprachmodelle/, zuletzt geprüft am 31.05.2026.
- DSK (2025): Orientierungshilfe zu datenschutzrechtlichen Besonderheiten generativer KI-Systeme mit RAG-Methode. Version 1.0. Online verfügbar unter https://www.datenschutzkonferenz-online.de/media/oh/DSK_OH_RAG.pdf, zuletzt aktualisiert am Oktober 2025.
- Tacke, Ines (2026): RAG datenschutzrechtlich geprüft. Hg. v. MDZ Chemnitz. Online verfügbar unter https://digitalzentrum-chemnitz.de/wissen/rag-datenschutzrechtlich-geprueft/, zuletzt geprüft am 04.06.2026.
- Vaziri, Daryoush Daniel (2026): Open-Source Large Language Models: Der aktuelle Stand in Wissenschaft und Praxis. In: MDZ Fokus Mensch und Denkschmiede (Hg.): Digitale Souveränität als Basis für sichere KI-Anwendungen. Kurzlehrbuch, S. 9–11.
- Außendorf, Maik; Evran, Talha (2024): Digitale Souveränität. Was es braucht, um unabhängig, eigenständig und stark zu sein. In: KIR, S. 116–117.
- Ruoff, Christian (2016): Mehr Schutz vor Cyberkriminalität durch geschickte Backup-Strategie. In: DSB, 108-109.
- Richter, Benjamin (2025): Cybersicherheit für KMU. In: Andreas Kohne und Dan Bauer (Hg.): Die Mittelstandstransformation. Wissen, Impulse und Handlungsempfehlungen für den überfälligen Wandel. Wiesbaden: Springer Fachmedien Wiesbaden; Imprint Springer Gabler, S. 419–439. Online verfügbar unter https://link.springer.com/chapter/10.1007/978-3-658-48184-1_16#Sec11.
- Spieker, Stefan; Eichstädt, Timm (2024): Authentifizierung. In: Timm Eichstädt und Stefan Spieker (Hg.): 52 Stunden Informatik. Was jeder über Informatik wissen sollte. 2. Auflage. Wiesbaden, Heidelberg: Springer Vieweg (Lehrbuch), S. 93–98.
- BSI: Sichere Passwörter erstellen. Online verfügbar unter https://www.bsi.bund.de/dok/6596574, zuletzt geprüft am 05.06.2026.
- Weber, Kristin (2024): Mensch und Informationssicherheit. Verhalten verstehen, Awareness fördern, Human Hacking verstehen. München: Carl Hanser.
- Wäsche, Mike (2025): NIS-2-Richtlinie – was Unternehmen wissen müssen. Nachgelesen. Hg. v. MDZC. Online verfügbar unter https://digitalzentrum-chemnitz.de/wissen/nis-2-richtlinie-was-unternehmen-wissen-muessen/, zuletzt geprüft am 31.05.2026.






