Das Research Institute bietet Unternehmen, NGOs und staatlichen Einrichtungen fachlich kompetente sowie effiziente und lösungsorientierte Beratung im Bereich Datenschutz, künstlicher Intelligenz und IT-Compliance. Ziel des Research Institute ist es, nach dem Leibniz’schen Grundsatz „theoria cum praxi“ wissenschaftliche Erkenntnisse in die Praxis umzusetzen sowie durch Erfahrungen aus der Praxis die eigene wissenschaftliche Tätigkeit zu bereichern. Darüber hinaus trägt die Beratungstätigkeit zur Finanzierung der wissenschaftlichen Tätigkeit bei. Eine Auswahl der bisherigen Auftraggeber des Research Institute ist unten angeführt.

Das Team des Research Institute besteht aus erfahrenen BeraterInnen, welche interdisziplinäre Fachkunde in den Bereichen Recht, Technik, Wirtschaft und Softwareentwicklung vereinen. Zahlreiche Publikationen, Vorträge und Forschungsprojekte zu Datenschutz und IT Sicherheit zeichnen uns aus. Die langjährige Erfahrung wird maßgeschneidert auf Ihr Unternehmen angewendet. Die individuelle Beratung steht dabei im Vordergrund.

Wir helfen Ihnen dabei Haftungsrisiken zu reduzieren, Imageschäden abzuwenden und Ihre Marktposition nachhaltig zu sichern. Das Research Institute bietet passgenaue technische Konzepte zur praktischen Umsetzung Ihrer Compliance-Prozesse. Durch unsere engmaschige Vernetzung in der österreichischen und europäischen Datenschutzbranche sind wir flexibel in der Lage, umfassende Lösungen bereitzustellen.

Warum das Research Institute?

✔ Technik- und rechtsgeleitete Beratung aus einer Hand

✔ Interdisziplinäres Team mit juristischer, technischer und ethischer Expertise

✔ Verantwortungssichere Beratung: Unterstützung, ohne die Eigenverantwortung der öffentlichen Stellen zu unterlaufen

✔ Kostenoptimierung: Synergien durch parallele Bearbeitung mehrerer Funktionen

✔ Wissenschaftlich fundiertes Know-how auf dem neuesten Stand von Recht und Technik

✔ Erfahren in großen und kleinen Projekten

✔ Individuelle Betreuung statt standardisierter Checklisten

Verlässlich. Praxisnah. Wissenschaftlich fundiert.

Wenn neue Datenverarbeitungen hohe Risiken für die Rechte und Freiheiten von Betroffenen mit sich bringen – z. B. durch Profiling, Überwachung oder den Einsatz sensibler Technologien – ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO gesetzlich verpflichtend.

Doch eine DSFA ist mehr als ein Pflichtexerzitz: Richtig gemacht, wird sie zum strategischen Instrument – für rechtliche Sicherheit, interne Steuerung und öffentliche Glaubwürdigkeit.

Unser Angebot: Der gesamte DSFA-Prozess aus einer Hand

Wir begleiten Organisationen und Unternehmen durch den vollständigen DSFA-Prozess – verständlich, wirksam und auf Wunsch auch öffentlichkeitswirksam.

Unsere Leistungen im Überblick:

  1. Prüfung der DSFA-Pflicht
    Abklärung, ob eine DSFA erforderlich ist (inkl. Check gängiger Blacklists & Risikofaktoren).
  2. Systematische Risikoanalyse
    Erhebung der geplanten Verarbeitung, Bewertung der Risiken für Betroffene – auf Basis technischer, sozialer und rechtlicher Kriterien.
  3. Maßnahmenentwicklung
    Vorschläge zur Risikominimierung und zur Einhaltung der Datenschutzgrundsätze (z. B. Datenminimierung, Sicherheit, Rechenschaft).
  4. Dokumentation & Entscheidungsvorlage
    Erstellung einer DSGVO-konformen, revisionssicheren Dokumentation für Verantwortliche, Datenschutzbeauftragte und ggf. Aufsichtsbehörden.
  5. Behördenkommunikation & Vorabkonsultation (optional)
    Unterstützung bei der Einbindung der Datenschutzbehörde gemäß Art. 36 DSGVO – falls trotz Maßnahmen ein hohes Risiko bleibt.
  6. Veröffentlichung (optional)
    Auf Wunsch bereiten wir eine öffentliche, verständliche Version der DSFA auf – z. B. für NGOs, Forschungsprojekte oder Tech-Plattformen, die mit Transparenz Vertrauen schaffen wollen.

Für wen ist das besonders relevant?

  • Organisationen mit sensiblen oder großflächigen Datenverarbeitungen
  • Digitale Plattformen, Cloud-Dienste, Forschungsprojekte
  • Akteur:innen mit gesellschaftlicher Verantwortung oder öffentlichem Interesse
  • Unternehmen, die DSFA-Prozesse intern professionalisieren möchten

Unsere Referenzprojekte:

Die zunehmende Bedrohungslage im Cyberraum und die Anforderungen der NIS2-Richtlinie stellen Unternehmen und öffentliche Organisationen vor neue Herausforderungen – insbesondere auf Management-Ebene. Die Verantwortung für Cybersicherheit ist keine technische Aufgabe mehr, sondern eine strategische Führungsaufgabe.

Das Research Institute unterstützt Entscheidungsträger:innen im öffentlichen und privaten Sektor dabei, ihrer Sorgfaltspflicht gerecht zu werden, strategisch zu handeln und Haftungsrisiken aktiv zu steuern.

Managementverantwortung unter NIS2

Mit der Umsetzung der NIS2-Richtlinie (EU) 2022/2555 wird die persönliche Verantwortung der Geschäftsführung in kritischen Infrastrukturen, Unternehmen und öffentlichen Einrichtungen deutlich verschärft:

  • Pflicht zur aktiven Cybersicherheitsgovernance

  • Haftung bei Versäumnissen, z. B. durch unzureichende Risikovorsorge

  • Verpflichtung zur Durchführung von Risikobewertungen und zur Einführung angemessener technischer und organisatorischer Maßnahmen (TOMs)

  • Dokumentations- und Nachweispflichten gegenüber Behörden und Aufsichtsorganen

Unser Beratungsangebot ist darauf ausgerichtet, Führungskräfte in ihrer Verantwortung praxisnah, rechtskonform und strategisch fundiert zu begleiten.

Unsere Leistungen

Strategieberatung & Risikoanalyse

  • Entwicklung organisationsweiter Cybersicherheitsstrategien

  • Managementgerechte Risikoanalysen & -bewertungen

  • Reifegradanalysen nach NIS2-Standards

Compliance & Governance

  • Identifikation relevanter gesetzlicher Anforderungen (NIS2, DSGVO, KRITIS etc.)

  • Aufbau oder Weiterentwicklung von ISMS (Informationssicherheits-Managementsystemen)

  • Unterstützung bei der Vorbereitung auf Prüfungen & Audits

Awareness & Verantwortung

  • Strategische Schulungen für Geschäftsführung, IT-Leitung und Aufsichtsorgane

  • Szenarien-Workshops zu Haftung, Krisenkommunikation & Incident Response

  • Entwicklung organisationsspezifischer Leitlinien für die „Cyber-Governance“

Für wen ist unsere Beratung geeignet?

  • Geschäftsleitungen und Vorstände

  • Ministerien, Behörden, öffentliche Einrichtungen

  • Betreiber kritischer Infrastruktur (KRITIS)

  • Mittelstand und technologiegetriebene Unternehmen

  • Aufsichtsgremien und Beiräte

Die Entwicklung sicherer und rechtskonformer Identitätsmanagementsysteme erfordert eine fundierte datenschutzrechtliche Begleitung – insbesondere bei sensiblen Anwendungen wie der ID Austria oder der digitalen Ausweisplattform mit Funktionen wie digitaler Führerschein, Altersnachweis, Zulassungsschein oder digitalem Identitätsnachweis.

Das Research Institute ist Ihr verlässlicher Partner bei der Konzeption, Bewertung und Umsetzung datenschutzfreundlicher Lösungen im Bereich E-Government und eID-Systeme.

Unsere Leistungen im Überblick

Beratung & Begleitung von Datenschutz-Folgenabschätzungen (DSFA)
Wir begleiten Verantwortliche bei der Durchführung von Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO – strukturiert, transparent und dokumentationssicher.

Unsere Leistungen umfassen:

  • Aufnahme und Dokumentation datenschutzrechtlich relevanter Sachverhalte

  • Identifikation von Risiken für betroffene Personen

  • Durchführung interdisziplinärer Stakeholder-Workshops

  • Ableitung technischer und organisatorischer Maßnahmen (TOMs)

  • Erstellung konsolidierter DSFA-Berichte zur internen wie externen Kommunikation

  • Aktualisierung bestehender DSFAs bei Weiterentwicklung technischer System

Unsere Referenzprojekte:

Das sogenannte „Medienprivileg“ stellt eine datenschutzrechtliche Ausnahme für journalistische Tätigkeiten dar. Es ermöglicht Medienunternehmen, personenbezogene Daten zu journalistischen Zwecken zu verarbeiten, ohne die strengen Anforderungen der Datenschutz-Grundverordnung (DSGVO) vollständig einhalten zu müssen. Diese Ausnahme ist jedoch nicht uneingeschränkt: Der österreichische Verfassungsgerichtshof (VfGH) erklärte im Dezember 2022, dass die bisherige Regelung des § 9 Datenschutzgesetzes (DSG) verfassungswidrig sei. Medienunternehmen dürfen demnach nicht pauschal von Datenschutzbestimmungen ausgenommen werden. Eine sachgerechte Abwägung zwischen dem Schutz personenbezogener Daten und den Interessen der Medien ist erforderlich.

Mit Inkrafttreten der neuen Regelung am 1. Juli 2024 müssen Medienunternehmen, einschließlich großer Fernsehanstalten, ihre Datenschutzpraktiken anpassen. Die Neuregelung berücksichtigt die Bedeutung der Medienfreiheit und des Redaktionsgeheimnisses, verlangt jedoch auch die Einhaltung grundlegender Datenschutzprinzipien wie Transparenz, Zweckbindung und Datensicherheit.

Für große Fernsehanstalten bedeutet dies konkret:

  • Überprüfung der internen Datenschutzrichtlinien: Anpassung der bestehenden Prozesse, um den neuen Anforderungen gerecht zu werden.
  • Schulung des Personals: Sensibilisierung der Mitarbeiter für datenschutzrechtliche Fragestellungen im journalistischen Kontext.
  • Dokumentation und Nachweisführung: Erstellung von Verfahrensverzeichnissen und Durchführung von Datenschutz-Folgenabschätzungen, wo erforderlich.
  • Kooperation mit Datenschutzbehörden: Enger Austausch mit den zuständigen Aufsichtsbehörden, um rechtliche Unsicherheiten zu klären.

Das Research Institute bietet umfassende Beratung und Unterstützung bei der Umsetzung der neuen Datenschutzanforderungen. Mit unserer Expertise helfen wir Ihnen, die Balance zwischen journalistischer Freiheit und dem Schutz personenbezogener Daten zu wahren.

Mit dem Inkrafttreten des EU‑Digital Services Act (DSA) und dem österreichischen AMD‑G (Gesetz zur Umsetzung von Bund-Länder-Medienmaßnahmen) stehen Betreiber von Online-Plattformen und sehr großen Online-Plattformen vor umfassenden neuen Anforderungen:

  • Der DSA harmonisiert Regeln auf dem europäischen Binnenmarkt und legt insbesondere für große Plattformen (VLOP/VLOSE: Very Large Online (Search) Platforms) hohe Standards fest. Dazu gehören:

    • Verpflichtende Transparenz bei Moderation, Algorithmen und Werbung

    • Einrichtung von Schnittstellen zu Behörden und Anwälten

    • Risikoanalysen & Krisenreaktionsmechanismen cr-online.de+1land.nrw+1

  • Das österreichische AMD‑G ergänzt den DSA durch nationale Vorgaben – zum Beispiel Anpassungen bei Jugendschutz, Content-Filtern und nationalem Vollzug –, die Ihre Compliance-Strategie zusätzlich beeinflussen.

Unser Beratungsangebot: Strategisch, individuell, praxisnah

  1. DSA- & AMD‑G-Compliance-Audit
    Detaillierte Analyse Ihrer Plattform: Welche Rechtspflichten greifen – an Hand von Reichweite, Angebotsformen und Nutzerbasis?

  2. Transparenzstrategien & Algorithmus-Kommunikation
    Entwicklung transparenter Prozesse, damit Nutzer und Behörden nachvollziehen können, wie Inhalte bewertet, gelöscht oder priorisiert werden.

  3. Risikomanagement & Krisenvorsorge
    Erstellung und Implementierung von Risikoabschätzung, Krisenplänen und Meldestrukturen – inklusive Mechanismus zur schnellen Reaktion auf Systemrisiken .

  4. Moderation & Content-Governance
    Aufbau fairer, nachvollziehbarer Moderationsrichtlinien mit genau dokumentierten Abläufen für Löschanfragen, Appeals und Notfallreaktion.

  5. Advertising & politische Werbung
    Sicherstellung gesetzeskonformer Kennzeichnung — besonders relevant für Plattformen mit Werbung, die politische Meinungsbildung beeinflussen.

  6. Behörden- & Governance-Reporting
    Unterstützung bei der internen und externen Berichterstattung – etwa bei DSA-Transparenzreport, Risiko-Updates oder nationalen Prüfungen durch Medienbehörden.

  7. Schulung & Awareness
    Workshops für technische, juristische und redaktionelle Teams zur Sensibilisierung für regulatorische Fallstricke und praktische Compliance-Methoden.

Für wen ist unsere Unterstützung besonders wertvoll?

  • Betreiber sehr großer Online-Plattformen (VLOP/VLOSE)

  • Kommunikationsdienste mit europäischer Reichweite

  • Plattformen mit erhöhtem Risiko durch politische Werbung, jugendrelevante Inhalte, oder systemische Risiken

  • Unternehmen, die ihr DSA-Audit strategisch mit österreichischem Recht verknüpfen möchten

Externer Datenschutzbeauftragter & Datenschutz-Consulting

Als erfahrene Experten für Datenschutz und Informationssicherheit bieten wir Ihnen gemeinsam mit unserem anwaltlichen Partner umfassende Unterstützung bei der Einhaltung der DSGVO und anderer datenschutzrechtlicher Vorgaben. Wir helfen Ihnen dabei, Ihre Datenschutzprozesse rechtssicher, effizient und zukunftsorientiert zu gestalten.

Externer Datenschutzbeauftragter gemäß DSGVO
Gemeinsam mit unserem anwaltlichen Partner übernehmen die Funktion des externen Datenschutzbeauftragten für Ihr Unternehmen oder Ihre Organisation – zuverlässig, unabhängig und mit tiefgehendem Fachwissen. Unsere Leistungen umfassen unter anderem:

  • Stellung eines externen DSB nach Art. 37 DSGVO

  • Beratung zu allen datenschutzrechtlichen Fragestellungen

  • Unterstützung bei der Datenschutz-Folgenabschätzung (DSFA)

  • Schulung Ihrer Mitarbeitenden

  • Erstellung und Prüfung datenschutzrelevanter Dokumente

  • Kommunikation mit Aufsichtsbehörden

Individuelle Datenschutzberatung
Nicht jedes Unternehmen benötigt einen Datenschutzbeauftragten – aber jedes Unternehmen profitiert von datenschutzrechtlicher Expertise. Wir beraten Sie bei:

  • Aufbau und Optimierung Ihres Datenschutzmanagements

  • Umsetzung technischer und organisatorischer Maßnahmen (TOMs)

  • Datenschutz in Forschung und Entwicklung

  • Datenschutzkonformer Einsatz von KI, Cloud-Diensten & Co.

  • Prüfung und Optimierung von Einwilligungsprozessen

Cloudlösungen bieten Skalierbarkeit, Flexibilität und Effizienz – aber auch datenschutzrechtliche Herausforderungen. Bei der Auswahl und Einführung von Cloud-Diensten müssen Organisationen sicherstellen, dass personenbezogene Daten rechtskonform verarbeitet werden – auch im Hinblick auf Drittstaatentransfers, Zugriffsmöglichkeiten, Verschlüsselung oder gemeinsame Verantwortlichkeiten.

Gerade öffentliche Einrichtungen, NGOs, Bildungsinstitutionen und technologiegetriebene Unternehmen stehen hier unter besonderer Beobachtung.

Unser Angebot: Datenschutzsichere Cloud-Beschaffung – von Anfang an

Wir unterstützen Organisationen entlang des gesamten Beschaffungsprozesses – von der Auswahl bis zur vertraglichen und technischen Umsetzung – mit Fokus auf Datenschutz, IT-Sicherheit und regulatorischer Klarheit.

Unsere Leistungen:

  1. Anforderungsdefinition & Vorprüfung
    Bewertung, ob die geplante Nutzung eine Verarbeitung personenbezogener Daten beinhaltet – und in welchem Umfang datenschutzrechtliche Vorgaben greifen.
  2. Risikobewertung & Anbieterscreening
    Analyse typischer Risikofaktoren wie Datenzugriffe durch Drittstaaten (z. B. USA), unklare Verantwortlichkeiten oder fehlende Verschlüsselung.
    Unterstützung bei der datenschutzkonformen Auswahl geeigneter Anbieter (AWS, Google, Microsoft, europäische Alternativen etc.).
  3. Vertragsgestaltung & AV-Vereinbarungen
    Prüfung und Verhandlung von Auftragsverarbeitungsverträgen, Standardvertragsklauseln und technischen Garantien – inklusive Kontrollrechten und Exit-Strategien.
  4. Technisch-organisatorische Maßnahmen (TOMs)
    Beratung zu Verschlüsselung, Zugriffskontrolle, Löschkonzepten und anderen zentralen Datenschutzanforderungen.
  5. Datenschutz-Folgenabschätzung (DSFA) – falls erforderlich
    Durchführung oder Begleitung einer DSFA gemäß Art. 35 DSGVO bei hohem Risiko – z. B. bei sensiblen Daten, KI-Nutzung oder großflächiger Verarbeitung.
  6. Begleitung der Einführung & Kommunikation
    Schulung relevanter Teams, Begleitung bei Datenschutz-Folgenabschätzungen, Unterstützung bei interner und externer Kommunikation

Die Datenschutz-Grundverordnung (DSGVO) stellt Organisationen vor vielfältige rechtliche und organisatorische Herausforderungen. Unser interdisziplinäres Team unterstützt Sie dabei, Ihre Datenschutzprozesse systematisch zu prüfen, Risiken zu identifizieren und Maßnahmen zur nachhaltigen Verbesserung umzusetzen.

Unser Angebot:

  • Durchführung strukturierter DSGVO-Audits auf technischer, organisatorischer und rechtlicher Ebene

  • Analyse der bestehenden Datenschutzmaßnahmen und Abgleich mit geltenden gesetzlichen Anforderungen

  • Erstellung von Auditberichten mit konkreten Empfehlungen zur Optimierung

  • Begleitung bei der Umsetzung empfohlener Maßnahmen und Vorbereitung auf behördliche Prüfungen

  • Friendly Audit in Vorbereitung für ein externes Audit

Für wen ist unser DSGVO-Audit geeignet?

  • Unternehmen und Organisationen jeder Größe

  • Öffentliche Stellen

  • Forschungseinrichtungen und NGOs mit datenschutzrelevanten Tätigkeiten

Ihre Vorteile:

  • Klarheit über den aktuellen Datenschutzstatus

  • Minimierung von Haftungsrisiken

  • Erhöhung der Datensicherheit und des Vertrauens bei Kunden, Partnern und Mitarbeitenden

Die Umsetzung von Datenschutz darf kein nachträglicher Schritt sein – sie muss von Anfang an mitgedacht werden. Unser Consulting-Team unterstützt Sie bei der technischen und konzeptionellen Integration von Datenschutzanforderungen in Ihre IT-Systeme, Produkte und Prozesse.

Unser Leistungsangebot:

  • Beratung zu Privacy by Design & by Default gemäß DSGVO Art. 25

  • Technische Risikoanalysen und Begleitung bei Datenschutz-Folgenabschätzungen (DSFA)

  • Evaluierung und Auswahl datenschutzfreundlicher Technologien

  • Konzeption und Review von Systemarchitekturen unter Berücksichtigung von Datensparsamkeit, Zweckbindung und Zugriffskontrolle

  • Workshops und Schulungen zu technischer Umsetzung von Datenschutzanforderungen für Entwickler:innen und IT-Teams

Zielgruppen:

  • Software- und Systementwickler:innen

  • IT-Abteilungen und Datenschutzbeauftragte

  • Unternehmen und Forschungseinrichtungen mit datengetriebenen Projekten

Ihre Vorteile:

  • Frühzeitige Identifikation und Minimierung datenschutzrechtlicher Risiken

  • Stärkung der IT-Sicherheit und Compliance

  • Effizientere Projektentwicklung durch präventive Beratung

  • Mehr Vertrauen bei Nutzer:innen und Partnern durch „Privacy First“-Strategien

Sie entwickeln ein digitales Produkt oder planen eine neue IT-Infrastruktur?
Wir helfen Ihnen dabei, Datenschutz von Anfang an richtig umzusetzen.

Unsere Auftraggeber

Anfragen via Web-Formular