Wie die Salzburg AG mit einer neuen Crowdinvesting-Plattform die Energiewende vorantreibt

08.09.2020

Regulatory Sandbox gestartet: Die Voraussetzungen für eine Teilnahme

Seit 1. September können sich FinTechs in Österreich für die Regulatory Sandbox bewerben. Maurizia Anderle-Hauke von Deloitte Legal erläutert, was es dabei zu beachten gibt.

/artikel/regulatory-sandbox-gestartet-die-voraussetzungen-fur-eine-teilnahme

✨ AI Kontextualisierung

Mit 1.9.2020 ist die seit langem angekündigte Regulatory Sandbox der österreichischen Finanzmarktaufsicht (FMA) in Kraft getreten. Österreich reiht sich damit in die Liste anderer europäischer Staaten, wie etwa Großbritannien, die Niederlande oder Polen, ein, die bereits erfolgreich Regulatory Sandboxes eingeführt haben und positioniert sich damit weiter als attraktiver Standort für FinTechs. Unternehmen soll es ermöglicht werden, neue und innovative Geschäftsmodelle der Finanzindustrie gemeinsam mit der Finanzmarktaufsicht zu prüfen und zu entwickeln. Dabei ist eine Art „geschützter Aufsichtsrahmen“ vorgesehen, sodass die neuen Geschäftsmodelle am Markt getestet werden können. Das Sandkastenprinzip sieht dabei aber keine Lockerung bestehender aufsichtsrechtlicher Bedingungen vor.

Die Sandbox steht nur jenen Unternehmen offen, die (Finanz-)Dienstleistungen in Bereichen erbringen wollen, die einer Beaufsichtigung durch die FMA unterliegen. Es sind also Geschäftsmodelle umfasst, die aller Wahrscheinlichkeit nach einer Beaufsichtigung durch die FMA bedürfen. Auch bereits konzessionierte Unternehmen fallen unter die Sandbox, wenn sie ein neues Geschäftsmodell testen wollen, welches am Markt noch nicht bekannt ist.

Voraussetzungen für die Regulatory Sandbox

Der Antrag zur Aufnahme in die Regulatory Sandbox erfolgt bei der FMA. Dabei gelten die folgenden Voraussetzungen, die kumulativ zu erfüllen sind:

Neues innovatives Geschäftsmodell: Das zu erprobende Geschäftsmodell muss ein auf Informations- und Kommunikationstechnologie basierendes Geschäftsmodell sein, welches vor Aufnahme in die Regulatory Sandbox noch nicht betrieben wurde. Dies richtet sich gezielt an die Tätigkeiten von FinTechs. Der Begriff „Informations- und Kommunikationstechnologie“ ist laut dem Gesetzgeber als technologieneutral und weit zu verstehen und kann daher auch künstliche Intelligenz (bspw Machine Learning) und Distributed Ledger Technologien (insb Blockchain) erfassen. Unternehmen, deren zu testendes Geschäftsmodell noch nicht von der FMA konzessioniert, genehmigt, zugelassen oder registriert wurde, können in die Sandbox aufgenommen werden. Allerdings muss zu erwarten sein, dass eine Konzession, Genehmigung, Zulassung oder Registrierung durch die FMA erfolgen wird.
Tätigkeiten, die eine aufsichtsrechtliche Beurteilung zulassen (insb Konzessionspflichtigkeit des Geschäftsmodells): Die Sandbox muss es dem Antragsteller ermöglichen, dass allfällige offene aufsichtsrechtliche Fragen abgeklärt werden können. Es muss sich daher um ein Geschäftsmodell handeln, das mit sehr hoher Wahrscheinlichkeit einer Konzession, Genehmigung, Zulassung oder Registrierung durch die FMA bedarf. Die beabsichtigten Tätigkeiten, müssen eine aufsichtsrechtliche Beurteilung durch die FMA zulassen. Damit sind etwa Tätigkeiten deren Beurteilung der Europäischen Zentralbank (EZB), dem Einheitlichen Abwicklungsausschuss (SRB) oder der europäischen Bankenaufsichtsbehörde (EBA) vorbehalten sind idR von der Regulatory Sandbox ausgeschlossen. Zusätzlich dazu muss das zu erprobende Geschäftsmodell im volkswirtschaftlichen Interesse an einem innovativen Finanzplatz liegen, dabei ist die Prüfung des volkswirtschaftlichen Interesses umfassend zu verstehen. Daher dürfen solche neuen Geschäftsmodelle keine negativen Auswirkungen auf die Finanzmarktstabilität oder den Verbraucherschutz haben oder diese gefährden.
Technische Machbarkeit und Testreife: Stehen der Umsetzung des Geschäftsmodells technische Hindernisse im Weg, die vom Antragsteller nicht überwunden werden können, kann es nicht zur Sandbox zugelassen werden. Laut dem Gesetzgeber ist diese Einschränkung weit zu verstehen und umfasst auch Sachverhalte, die nur durch unverhältnismäßigen Aufwand technisch umgesetzt werden können. Mit Ausnahme der im Rahmen der Regulatory Sandbox abzuklärenden rechtlichen Fragen dürfen der Umsetzung des Geschäftsmodells keine sonstigen (grundlegenden) technischen oder rechtlichen Hindernisse entgegenstehen.
Beschleunigung der Marktreife: Der Antragsteller muss glaubhaft machen, dass die Aufnahme in die Regulatory Sandbox die Marktreife seines Geschäftsmodells beschleunigen wird. Das bedeutet, es muss durch die Teilnahme ein Vorteil für die Erreichung der Marktreife bestehen, der ohne Zugang zur Sandbox in dieser Form nicht oder nur durch erheblich höheren Aufwand erreicht werden könnte.
Abklärung offener Rechtsfragen/Konzessionierung: Die Regulatory Sandbox muss es ermöglichen, dass offene aufsichtsrechtlicher Fragen abgeklärt werden können. Davon ausgeschlossen sind daher solche, welche die FMA bereits mittels Bescheid uneingeschränkt gestattet oder beauskunftet hat oder die keine aufsichtsrechtlichen Sachverhalte erfüllen (bspw weil eine Gewerbeberechtigung ausreicht).

Die Rolle des Beirats in der Sandbox

Bei der Entscheidung zur Aufnahme in die Sandbox wird die FMA durch einen beim Bundesministerium für Finanzen (BMF) eingerichteten Regulatory Sandbox Beirat unterstützt. Dieser Beirat hat die Aufnahmevoraussetzungen zu prüfen, das Ergebnis dieser Prüfung in Form einer Stellungnahme festzuhalten und der FMA zu übermitteln. Die FMA weist dann den Antragsteller zur Teilnahme an der Sandbox mit Bescheid zu.

Beschränkte Konzession: Gründe für eine mögliche Beendigung

Die Regulatory Sandbox ist de facto eine beschränkte Konzession. Da im Rahmen der Sandbox ein Geschäftsmodell-Test unter Marktbedingungen erfolgt, kann die FMA Teilnehmern, die für ihr Geschäftsmodell eine Berechtigung benötigen, eine beschränkte Berechtigung mit Bescheid erteilen. Diese hat längstens bis zum Ende der Teilnahme an der Sandbox Gültigkeit, kann von der FMA aber jederzeit entzogen werden, wenn dies aufgrund öffentlichen Interesses erforderlich ist.

Auch die Beendigung der Teilnahme an der Sandbox kann jederzeit sowohl von Amts wegen als auch auf Antrag des Teilnehmers erfolgen. Eine Beendigung kann dann verfügt werden, wenn die Voraussetzungen zur Teilnahme wegfallen oder wenn anzunehmen ist, dass der angestrebte Zweck der Teilnahme an der Sandbox nicht erreicht werden kann. Die maximale Teilnahmedauer an der Regulatory Sandbox ist entsprechend den Erfordernissen des Geschäftsmodells durch die FMA auf höchstens zwei Jahre zu befristen.

Über die Autorin

Maurizia Anderle-Hauke ist Rechtsanwältin / Counsel bei Jank Weiler Operenyi/Deloitte Legal.

Deine ungelesenen Artikel:

die Redaktion

17.06.2026

Airgapnet: OÖ-Cybersecurity-Startup erhält Millionen-Investment

Mit einer patentierten Technologie für physisch getrennte Netzwerkverbindungen will Airgapnet die IT-Sicherheit von Unternehmen neu denken. Das oberösterreichische Startup startet direkt mit einem siebenstelligen Investment in die Skalierung seines Geschäfts.

/artikel/airgapnet-ooe-cybersecurity-startup-erhaelt-millionen-investment

die Redaktion

17.06.2026

Airgapnet: OÖ-Cybersecurity-Startup erhält Millionen-Investment

/artikel/airgapnet-ooe-cybersecurity-startup-erhaelt-millionen-investment

Mit der Gründung der Airgapnet GmbH entstand in Oberösterreich ein neues Cybersecurity-Startup mit dem Ziel, Unternehmen vor Cyberangriffen zu schützen, die selbst modernste Sicherheitslösungen umgehen können.

Airgapnet: Mit Gründung gleich Kapital

Gegründet wurde es von Markus Roth, Sergey Shelenkov, Florian Mihalits und Peter Ziehesberger, die langjährige Erfahrung aus den Bereichen IT-Sicherheit, Netzwerktechnik, Elektronikentwicklung, Softwareentwicklung und Unternehmensführung mit sich bringen.

Zeitgleich mit der Unternehmensgründung konnte Airgapnet sich ein siebenstelliges Investment sichern. Das Kapital wird in die Skalierung der Produktion, den Ausbau der Produktentwicklung, den Aufbau internationaler Vertriebspartnerschaften sowie die Weiterentwicklung der patentierten Technologie investiert. Angaben zum Investor wurden auf Wunsch der beteiligten Parteien nicht veröffentlicht.

Physische Trennung von Netzwerkverbindungen

Das Neuhofener Unternehmen baut auf einer patentierten Technologie auf, die einen anderen Ansatz verfolgt als klassische Cybersecurity-Lösungen, heißt es. Während Firewalls, Endpoint-Protection und andere Sicherheitsprodukte versuchen, Angriffe zu erkennen und zu filtern, setzt Airgapnet auf die physische Trennung von Netzwerkverbindungen.

Künstliche Intelligenz ermöglicht es heutzutage Angreifern, Schwachstellen automatisiert zu analysieren, Angriffe zu personalisieren und Sicherheitsmechanismen effizienter zu umgehen. Besonders kritisch seien sogenannte Zero-Day-Exploits. Dabei handelt es sich um bislang unbekannte Sicherheitslücken, z. B. in Firewalls, für die noch keine Sicherheitsupdates oder Schutzmaßnahmen existieren. Wenn eine solche Schwachstelle entdeckt wird, hätten Unternehmen oft keine Möglichkeit, sich unmittelbar zu schützen: „Die Anzahl neuer Schwachstellen steigt rasant. Gleichzeitig verkürzt KI die Zeit zwischen dem Finden einer Schwachstelle und ihrer aktiven Ausnutzung drastisch. Unternehmen stehen dadurch vor einer völlig neuen Herausforderung“, erklärt Mitgründer und Geschäftsführer Markus Roth. Auch der zukünftige Einsatz von Quantencomputern verlangt bereits im Vorfeld die Erstellung neuer Sicherheitskonzepte.

Das Firewall-Problem

Eine Firewall sei letztlich ein intelligenter Filter, so die Founder weiter. Sie entscheidet anhand von Regeln, welche Datenpakete passieren dürfen und welche nicht. Doch jede Firewall basiert auf Software und Regeln. Fehlerhafte Konfigurationen, unbekannte Schwachstellen, kompromittierte Zugangsdaten oder Zero-Day-Exploits können dazu führen, dass Angreifer diese Schutzschicht überwinden.

„Selbst die besten Firewalls bieten daher niemals einen 100-prozentigen Schutz über einen beliebigen Zeitraum hinweg. Genau deshalb verfolgen viele Sicherheitsexperten sowie militärische Einrichtungen seit Jahren das Prinzip des sogenannten Air-Gappings, also der physischen Trennung kritischer Systeme“, liest man in der Aussendung.

In diesem Sinne trennen die von Airgapnet entwickelten Systeme Netzwerkverbindungen physisch voneinander und verbinden sie nur dann, wenn sie tatsächlich benötigt werden. Das Unternehmen bezeichnet diesen Ansatz als „Online when needed“ statt „Always online“. Dadurch würde vor allem die Angriffsfläche reduziert.

Airgapnet mit neuer Ebene

Die Technologie wurde insbesondere für Unternehmen entwickelt, für die IT-Sicherheit wesentlich ist, um damit unter anderem Backup-Systeme, industrielle Steuerungen, Fernwartungszugänge und Internetzugänge zu schützen. Die Gründer sehen sich dabei als Teil einer neuen Generation europäischer Cybersecurity-Unternehmen, die auf technologische Unabhängigkeit, physische Sicherheit und praktikable Lösungen setzen.

© Airgapnet – Sergey Shelenkov, Mitgründer und Geschäftsführer.

„Die Cybersecurity-Branche konzentriert sich seit Jahrzehnten darauf, Angriffe zu erkennen. Wir ergänzen diesen Ansatz um eine weitere Ebene: Wenn eine Verbindung nicht existiert, ist ein Angriff auf sie chancenlos“, erklärt Sergey Shelenkov, Mitgründer und Geschäftsführer. „Genau diese Einfachheit macht unsere Technologie so wirkungsvoll.“

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag