Wie die Salzburg AG mit einer neuen Crowdinvesting-Plattform die Energiewende vorantreibt

Maurizia Anderle-Hauke
Maurizia Anderle-Hauke
08.09.2020

Regulatory Sandbox gestartet: Die Voraussetzungen für eine Teilnahme

Seit 1. September können sich FinTechs in Österreich für die Regulatory Sandbox bewerben. Maurizia Anderle-Hauke von Deloitte Legal erläutert, was es dabei zu beachten gibt.
/artikel/regulatory-sandbox-gestartet-die-voraussetzungen-fur-eine-teilnahme
Artikel Link kopieren
✨ AI Summaries
Artikel speichern
Screenshot
Jetzt kommentieren
Maurizia Anderle-Hauke über Regulatory Sandboxes und die Sandbox
Maurizia Anderle-Hauke, Rechtsanwältin / Counsel bei Jank Weiler Operenyi/Deloitte Legal. (c) Deloitte

✨ AI Kontextualisierung

Mit 1.9.2020 ist die seit langem angekündigte Regulatory Sandbox der österreichischen Finanzmarktaufsicht (FMA) in Kraft getreten. Österreich reiht sich damit in die Liste anderer europäischer Staaten, wie etwa Großbritannien, die Niederlande oder Polen, ein, die bereits erfolgreich Regulatory Sandboxes eingeführt haben und positioniert sich damit weiter als attraktiver Standort für FinTechs.  Unternehmen soll es ermöglicht werden, neue und innovative Geschäftsmodelle der Finanzindustrie gemeinsam mit der Finanzmarktaufsicht zu prüfen und zu entwickeln. Dabei ist eine Art „geschützter Aufsichtsrahmen“ vorgesehen, sodass die neuen Geschäftsmodelle am Markt getestet werden können. Das Sandkastenprinzip sieht dabei aber keine Lockerung bestehender aufsichtsrechtlicher Bedingungen vor.

Die Sandbox steht nur jenen Unternehmen offen, die (Finanz-)Dienstleistungen in Bereichen erbringen wollen, die einer Beaufsichtigung durch die FMA unterliegen. Es sind also Geschäftsmodelle umfasst, die aller Wahrscheinlichkeit nach einer Beaufsichtigung durch die FMA bedürfen. Auch bereits konzessionierte Unternehmen fallen unter die Sandbox, wenn sie ein neues Geschäftsmodell testen wollen, welches am Markt noch nicht bekannt ist.

Voraussetzungen für die Regulatory Sandbox

Der Antrag zur Aufnahme in die Regulatory Sandbox erfolgt bei der FMA. Dabei gelten die folgenden Voraussetzungen, die kumulativ zu erfüllen sind:

  • Neues innovatives Geschäftsmodell: Das zu erprobende Geschäftsmodell muss ein auf Informations- und Kommunikationstechnologie basierendes Geschäftsmodell sein, welches vor Aufnahme in die Regulatory Sandbox noch nicht betrieben wurde. Dies richtet sich gezielt an die Tätigkeiten von FinTechs. Der Begriff “Informations- und Kommunikationstechnologie” ist laut dem Gesetzgeber als technologieneutral und weit zu verstehen und kann daher auch künstliche Intelligenz (bspw Machine Learning) und Distributed Ledger Technologien (insb Blockchain) erfassen. Unternehmen, deren zu testendes Geschäftsmodell noch nicht von der FMA konzessioniert, genehmigt, zugelassen oder registriert wurde, können in die Sandbox aufgenommen werden. Allerdings muss zu erwarten sein, dass eine Konzession, Genehmigung, Zulassung oder Registrierung durch die FMA erfolgen wird.
  • Tätigkeiten, die eine aufsichtsrechtliche Beurteilung zulassen (insb Konzessionspflichtigkeit des Geschäftsmodells): Die Sandbox muss es dem Antragsteller ermöglichen, dass allfällige offene aufsichtsrechtliche Fragen abgeklärt werden können. Es muss sich daher um ein Geschäftsmodell handeln, das mit sehr hoher Wahrscheinlichkeit einer Konzession, Genehmigung, Zulassung oder Registrierung durch die FMA bedarf. Die beabsichtigten Tätigkeiten, müssen eine aufsichtsrechtliche Beurteilung durch die FMA zulassen. Damit sind etwa Tätigkeiten deren Beurteilung der Europäischen Zentralbank (EZB), dem Einheitlichen Abwicklungsausschuss (SRB) oder der europäischen Bankenaufsichtsbehörde (EBA) vorbehalten sind idR von der Regulatory Sandbox ausgeschlossen. Zusätzlich dazu muss das zu erprobende Geschäftsmodell im volkswirtschaftlichen Interesse an einem innovativen Finanzplatz liegen, dabei ist die Prüfung des volkswirtschaftlichen Interesses umfassend zu verstehen. Daher dürfen solche neuen Geschäftsmodelle keine negativen Auswirkungen auf die Finanzmarktstabilität oder den Verbraucherschutz haben oder diese gefährden.
  • Technische Machbarkeit und Testreife: Stehen der Umsetzung des Geschäftsmodells technische Hindernisse im Weg, die vom Antragsteller nicht überwunden werden können, kann es nicht zur Sandbox zugelassen werden. Laut dem Gesetzgeber ist diese Einschränkung weit zu verstehen und umfasst auch Sachverhalte, die nur durch unverhältnismäßigen Aufwand technisch umgesetzt werden können. Mit Ausnahme der im Rahmen der Regulatory Sandbox abzuklärenden rechtlichen Fragen dürfen der Umsetzung des Geschäftsmodells keine sonstigen (grundlegenden) technischen oder rechtlichen Hindernisse entgegenstehen.
  • Beschleunigung der Marktreife: Der Antragsteller muss glaubhaft machen, dass die Aufnahme in die Regulatory Sandbox die Marktreife seines Geschäftsmodells beschleunigen wird. Das bedeutet, es muss durch die Teilnahme ein Vorteil für die Erreichung der Marktreife bestehen, der ohne Zugang zur Sandbox in dieser Form nicht oder nur durch erheblich höheren Aufwand erreicht werden könnte.
  • Abklärung offener Rechtsfragen/Konzessionierung: Die Regulatory Sandbox muss es ermöglichen, dass offene aufsichtsrechtlicher Fragen abgeklärt werden können. Davon ausgeschlossen sind daher solche, welche die FMA bereits mittels Bescheid uneingeschränkt gestattet oder beauskunftet hat oder die keine aufsichtsrechtlichen Sachverhalte erfüllen (bspw weil eine Gewerbeberechtigung ausreicht).

Die Rolle des Beirats in der Sandbox

Bei der Entscheidung zur Aufnahme in die Sandbox wird die FMA durch einen beim Bundesministerium für Finanzen (BMF) eingerichteten Regulatory Sandbox Beirat unterstützt. Dieser Beirat hat die Aufnahmevoraussetzungen zu prüfen, das Ergebnis dieser Prüfung in Form einer Stellungnahme festzuhalten und der FMA zu übermitteln. Die FMA weist dann den Antragsteller zur Teilnahme an der Sandbox mit Bescheid zu.

Beschränkte Konzession: Gründe für eine mögliche Beendigung

Die Regulatory Sandbox ist de facto eine beschränkte Konzession. Da im Rahmen der Sandbox ein Geschäftsmodell-Test unter Marktbedingungen erfolgt, kann die FMA Teilnehmern, die für ihr Geschäftsmodell eine Berechtigung benötigen, eine beschränkte Berechtigung mit Bescheid erteilen. Diese hat längstens bis zum Ende der Teilnahme an der Sandbox Gültigkeit, kann von der FMA aber jederzeit entzogen werden, wenn dies aufgrund öffentlichen Interesses erforderlich ist.

Auch die Beendigung der Teilnahme an der Sandbox kann jederzeit sowohl von Amts wegen als auch auf Antrag des Teilnehmers erfolgen. Eine Beendigung kann dann verfügt werden, wenn die Voraussetzungen zur Teilnahme wegfallen oder wenn anzunehmen ist, dass der angestrebte Zweck der Teilnahme an der Sandbox nicht erreicht werden kann. Die maximale Teilnahmedauer an der Regulatory Sandbox ist entsprechend den Erfordernissen des Geschäftsmodells durch die FMA auf höchstens zwei Jahre zu befristen.

Über die Autorin

Maurizia Anderle-Hauke ist Rechtsanwältin / Counsel bei Jank Weiler Operenyi/Deloitte Legal.

Ganzen Artikel aufklappen
Deine ungelesenen Artikel:
Astrid Wenz
Astrid Wenz
Katharina Zangerl
Katharina Zangerl
26.06.2024

Deepfakes als Gefahr für Startups?

Deepfakes werden schneller, günstiger und weiter verbreitet. Welche Gefahren entstehen aus dieser Technik für Startups und welche Maßnahmen können gesetzt werden?
/artikel/deepfakes-als-gefahr-fuer-startups
Artikel Link kopieren
Astrid Wenz
Astrid Wenz
Katharina Zangerl
Katharina Zangerl
26.06.2024

Deepfakes als Gefahr für Startups?

Deepfakes werden schneller, günstiger und weiter verbreitet. Welche Gefahren entstehen aus dieser Technik für Startups und welche Maßnahmen können gesetzt werden?
/artikel/deepfakes-als-gefahr-fuer-startups
Artikel Link kopieren
Computerbildschirm zeigt auf der linken Seite des Bildschirms das Gesicht eines Mannes mit einer Mütze zu sehen, auf das ein geometrisches Netz projiziert ist. Rechts im Bild ist ein unscharfer Ausschnitt einer anderen Person zu erkennen.
(c) Adobe Stock (c) terovesalainen

Wie gefährlich sind Deepfakes? Die Technik, die es für überzeugende Deepfake-Videos braucht, wird immer besser. Brutkasten hat sich umgehört, wie die Gefahrenlage in Österreich aussieht und Startups und größere Unternehmen sich vor Betrug schützen können.

KI im Videocall

Auf den Kacheln im Video-Call sind Kolleg:innen zu sehen, die sich virtuell wöchentlich, aber noch nie in echt begegnet sind. Der Kollege aus der IT-Abteilung kündigt ein System-Update an. Damit das durchgeführt werden kann, werden die Anwesenden gebeten, das Update durch Klicken auf den Link im soeben versendeten Mail zu bestätigen. Klingt plausibel, wird gemacht. Dass es sich dabei um einen Phishing-Link handelt, stellt sich erst später heraus. So einfach können Unternehmen Opfer von Live-Deepfakes werden. 

Deepfakes machen es möglich, Gesichtszüge, Mimik und Stimme einer Person in Echtzeit zu generieren. Roland Pucher, Leiter des Cybersecurity Innovation Labs bei PwC Österreich, schätzt, man brauche von einer Person nur fünf Minuten Videomaterial und lediglich zwei Minuten Audiomaterial als Trainingsdaten für die KI. Einem schnellen, unkritischen Blick während einem Online-Meeting hält diese KI-generierte Persona für kurze Zeit stand.

Betrug ist nicht teuer

Hier sieht Pucher einen der größten Anwendungsbereiche für Deepfakes in Unternehmen. Videokonferenzen sind mittlerweile alltäglich, auch stark verpixelte Videos oder abgehackter Ton sind keine Seltenheit. Das macht es Betrüger:innen noch leichter. Pucher schätzt, dass man heute bereits mit einem Setup um knapp 10.000 Euro ein relativ überzeugendes Deepfake herstellen kann. Der erhoffte Gewinn der Betrüger:innen muss ein Vielfaches davon sein, damit sich das rentiert.

Mehr Cyberkriminalität

Durch Deepfakes eröffnen sich neue Gefahren für die Sicherheit von Unternehmen. Vor allem die konstante technische Weiterentwicklung macht es der Cybersecurity schwer. 2023 wurden laut dem Cybercrime Report des Bundesinnenministerium 65.864 Anzeigen verzeichnet. Das sind um 11 Prozent mehr als 2022 und damit setzt sich der Trend der steigenden Internetkriminalität weiter fort. 

asdf
© brutkasten I Daten Cybercrime Report 2023 BMI

Hier sind allerdings nur angezeigte Delikte erfasst, die Dunkelziffer in diesem Bereich dürfte weitaus höher sein. Wie es im Cybercrime Report heißt, scheuen viele Betroffene “die Anzeige bei der nächsten Polizeidienststelle, teils aus Scham, Angst vor Reputationsverlust oder weil angenommen wird, dass der Fall ohnehin nicht verfolgt werden könnte”. 

Der oben beschriebene Phishing-Link-Fall könnte unter den Straftatbestand der Datenfälschung fallen. Im letzten Jahr wurde dieses Delikt 729 Mal zur Anzeige gebracht – wobei auch hier von einer weitaus größeren Dunkelziffer ausgegangen werden kann. Nur 183 der Fälle konnten bislang aufgeklärt werden. Allgemein scheint die Aufklärung die Behörden vor immer größere Probleme zu stellen: Die Aufklärungsquote hat sich im Vergleich zum vergangenen Jahr mehr als halbiert, nur in 25 Prozent der Fälle wurden die Schuldigen gefunden.

Ausgeklügelte Technik braucht es meist nicht

Sind Live-Deepfakes nun eine Bedrohung für österreichische Startups? Roland Pucher von PwC Österreich sieht die Gefahr auf jeden Fall gegeben. Mit seinem Team macht er regelmäßig Schulungen bei Unternehmen, um auf die Gefahr von Deepfakes aufmerksam zu machen. Er erkennt hier eine Lücke in der Awareness, was die Bedrohung und den aktuellen technischen Stand der Deepfakes betrifft.

Gleichzeitig weist Pucher darauf hin, dass für gängige Betrugsversuche gar keine so ausgeklügelte Technik notwendig ist. “Die gute alte Phishing-Email” genüge in den meisten Fällen, um sich Zugang in Unternehmensinterna zu beschaffen. Gerade in größeren Unternehmen sei es immer noch relativ einfach, sich zum Beispiel als Mitarbeiter:in der IT auszugeben und so an Passwörter zu gelangen. Das testen Pucher und seine Kolleg:innen regelmäßig.

Für Unternehmen bedeuten diese neuen Gefahren vor allem eines: Sicherheitsschulungen sollten um die Themen Audio und Video erweitert werden. Cyber-Kompetenz muss ausgebaut werden, Sicherheitslücken geschlossen werden. Das wird auch im Cybercrime Report des Innenministeriums als zentrale Aufgabe von Unternehmen gesehen.

Tricks gegen Deepfakes

Was sind nun also Maßnahmen, die Unternehmen setzen können? Bei E-Mails von unbekannten Absender:innen seien viele von uns bereits darauf trainiert, skeptisch zu sein, glaubt Roland Pucher. Dieselbe Skepsis brauche es aber bei allen Kommunikationsformen. Lieber einmal zu oft eine Info gegenchecken, als auf einen Betrug hereinfallen. Sollte es doch einmal dazu kommen, sollte unbedingt eine Anzeige erstattet werden. Cybercrime kann übrigens bei jeder Polizeidienststelle gemeldet werden.

Ein einfacher Trick, um zum Beispiel Live-Deepfakes von Gesichtern schnell zu erkennen ähnelt übrigens einer Alkoholkontrolle: Den Finger auf die Nase halten. Damit wird das Bild unterbrochen und ein Deepfake könnte als solches enttarnt werden. Und sollte die Person doch echt sein, hat man auf diesem Weg zumindest ein Meeting aufgelockert. 

Weiterlesen
Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag

weitere Newsletter

AI Summaries

zurück zum Artikel

Regulatory Sandbox gestartet: Die Voraussetzungen für eine Teilnahme

AI Kontextualisierung

Welche gesellschaftspolitischen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …
zurück zum Artikel

Regulatory Sandbox gestartet: Die Voraussetzungen für eine Teilnahme

AI Kontextualisierung

Welche wirtschaftlichen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …
zurück zum Artikel

Regulatory Sandbox gestartet: Die Voraussetzungen für eine Teilnahme

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Innovationsmanager:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …
zurück zum Artikel

Regulatory Sandbox gestartet: Die Voraussetzungen für eine Teilnahme

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Investor:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …
zurück zum Artikel

Regulatory Sandbox gestartet: Die Voraussetzungen für eine Teilnahme

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Politiker:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …
zurück zum Artikel

Regulatory Sandbox gestartet: Die Voraussetzungen für eine Teilnahme

AI Kontextualisierung

Was könnte das Bigger Picture von den Inhalten dieses Artikels sein?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …
zurück zum Artikel

Regulatory Sandbox gestartet: Die Voraussetzungen für eine Teilnahme

AI Kontextualisierung

Wer sind die relevantesten Personen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …
zurück zum Artikel

Regulatory Sandbox gestartet: Die Voraussetzungen für eine Teilnahme

AI Kontextualisierung

Wer sind die relevantesten Organisationen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …
zurück zum Artikel

Regulatory Sandbox gestartet: Die Voraussetzungen für eine Teilnahme