Skip to main content

Resources · Compliance in Zypern

EU-KI-Verordnung in Zypern: Compliance für SaaS- & Tech-Unternehmen 2026

Ein praktischer Leitfaden 2026 für zyprische SaaS-Gründer zur Verordnung (EU) 2024/1689: Risikostufen, die Hochrisiko-Frist im August 2026, GPAI-Pflichten, Überschneidung mit der DSGVO und Sanktionen von bis zu 35 Mio. EUR.

Sergios Charalambous, Founder of Zeno — Cyprus and Athens Bar-admitted lawyer
Von Sergios CharalambousGeprüft 15 Min. Lesezeit

Founder von Zeno · in Zypern & Athen als Anwalt zugelassen · Gesellschafts- & Steuerrecht. Gemeinsam geprüft mit unabhängigen, in der zyprischen Anwaltskammer zugelassenen Advokaten und ICPAC-zugelassenen Wirtschaftsprüfern. Mindestens alle sechs Monate aktualisiert.

Inhaltsverzeichnis
  1. Überblick über die EU-KI-Verordnung
  2. Zeitplan der schrittweisen Anwendung
  3. Wer ist betroffen: Anbieter vs. Betreiber
  4. Die vier Risikostufen
  5. Pflichten für KI-Modelle mit allgemeinem Verwendungszweck
  6. Hochrisiko-KI-Systeme: die verschobene Frist
  7. Zuständige nationale Behörde Zyperns
  8. Zusammenspiel mit der DSGVO und dem DSA
  9. Sanktionen und Durchsetzung
  10. Praktischer Compliance-Leitfaden für zyprische SaaS
  11. Häufige Fehler von Gründern

Zypern hat sich still und leise zu einem der praktischeren Standorte der EU für SaaS- und KI-Gründer entwickelt: 15 % Körperschaftsteuer, eine OECD-konforme IP-Box und ein englischsprachiges Rechtssystem. Doch die EU-KI-Verordnung legt nun ein zweites Compliance-Regime über die DSGVO, und die Fristen sind nicht mehr abstrakt. Hochrisiko-KI-Systeme müssen einer Konformitätsbewertung unterzogen, dokumentiert, registriert und überwacht werden - oder vom Markt genommen werden. Die Hochrisiko-Frist war ursprünglich der 2. August 2026, doch das EU-Vereinfachungspaket 'Digital Omnibus' (vorläufig vereinbart im Mai 2026) verschiebt sie auf den 2. Dezember 2027 für eigenständige Systeme nach Anhang III, was Gründern Luft zum Atmen verschafft, aber keine Begnadigung.

Dieser Leitfaden erläutert, was die EU-KI-Verordnung von einem in Zypern ansässigen SaaS- oder Tech-Unternehmen tatsächlich verlangt, wie Zypern sie national umsetzt und welche praktischen Compliance-Schritte Gründer 2026 unternehmen sollten. Es handelt sich um allgemeine Informationen, nicht um Rechtsberatung; für eine systemspezifische Einstufung sollten Sie einen in der zyprischen Anwaltskammer zugelassenen Advokaten beauftragen, der mit dem EU-Technologierecht vertraut ist.

Überblick über die EU-KI-Verordnung

Die Verordnung über künstliche Intelligenz ist die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024, veröffentlicht im Amtsblatt am 12. Juli 2024 und in Kraft getreten am 1. August 2024.Regulation (EU) 2024/1689 (EU AI Act), OJ L of 12 July 2024, Article 113Es ist das weltweit erste umfassende horizontale KI-Gesetz und gilt unmittelbar in jedem Mitgliedstaat - für den grössten Teil ist keine nationale Umsetzung erforderlich, damit es greift, obwohl Zypern und andere Mitgliedstaaten dennoch zuständige Behörden benennen und das innerstaatliche Verfahrens- und Sanktionsrecht anpassen müssen.

Die Verordnung verfolgt einen risikobasierten Ansatz: Je höher das Risiko, das ein KI-System für Gesundheit, Sicherheit oder Grundrechte darstellt, desto strenger die Pflichten. Es gibt vier breite Stufen (inakzeptabel, hoch, begrenzt, minimal) sowie ein gesondertes vertikales Regime für KI-Modelle mit allgemeinem Verwendungszweck (GPAI), die nachgelagerten Anwendungen zugrunde liegen.

Zeitplan der schrittweisen Anwendung

DatumWas giltWen es zuerst trifft
1. Aug. 2024Inkrafttreten (Artikel 113)Alle - die Uhr läuft
2. Feb. 2025Verbotene Praktiken (Art. 5) und KI-Kompetenz (Art. 4)Jeder Anbieter oder Betreiber von in den Anwendungsbereich fallender KI
2. Aug. 2025Vorschriften für GPAI-Modelle (Kapitel V), Governance, Sanktionsrahmen, Benennung der Behörden der MitgliedstaatenGPAI-Anbieter; Stellvertretendes Ministerium Zyperns
2. Aug. 2026 → 2. Dez. 2027Hochrisiko-KI-Systeme (eigenständig, Anhang III) - die Hauptwelle. Verschoben im Rahmen des Digital Omnibus (vorläufig vereinbart im Mai 2026, förmliche Annahme ausstehend)Die meisten SaaS- / HR-Tech- / Fintech-KI
2. Aug. 2027Vollständige Anwendung; bestehende GPAI-Modelle müssen konform seinGPAI-Anbieter von vor August 2025
2. Aug. 2028In regulierte Produkte eingebettete Hochrisiko-KI (Anhang I) - verschobene Frist im Rahmen des Digital OmnibusKI-Sicherheitskomponenten regulierter Produkte

Article 113, Regulation (EU) 2024/1689 - Entry into force and date of applicationDie Hochrisiko-Frist ist die praktisch relevante für die meisten zyprischen SaaS-Gründer, denn dann greifen die Hochrisiko-Pflichten nach Anhang III. Das Vereinfachungspaket 'Digital Omnibus' der Europäischen Kommission, veröffentlicht am 19. November 2025, verschiebt diese Frist vom 2. August 2026 auf den 2. Dezember 2027 für eigenständige Systeme nach Anhang III und den 2. August 2028 für in regulierte Produkte eingebettete Hochrisiko-KI; Parlament und Rat haben im Mai 2026 eine vorläufige Einigung erzielt, die förmliche Annahme wird vor dem ursprünglichen Datum im August 2026 erwartet. Behandeln Sie die neuen Daten als nahezu endgültig, bestätigen Sie aber die förmliche Annahme, bevor Sie sich darauf verlassen.Council of the EU / European Parliament press release, 'Artificial intelligence: Council and Parliament agree to simplify and streamline rules', 7 May 2026

Wer ist betroffen: Anbieter vs. Betreiber

Die Verordnung unterscheidet zwischen mehreren Rollen. Die beiden, die für einen zyprischen SaaS-Gründer am wichtigsten sind, lauten:

  • Anbieter - die natürliche oder juristische Person, die ein KI-System entwickelt (oder entwickeln lässt) und es unter ihrem eigenen Namen oder ihrer Marke auf dem EU-Markt in Verkehr bringt oder in Betrieb nimmt. Wenn Sie eine KI-Funktion in Ihrem SaaS ausliefern, sind Sie in der Regel der Anbieter dieses KI-Systems.
  • Betreiber - die natürliche oder juristische Person, die ein KI-System unter ihrer Aufsicht verwendet, ausser bei Verwendung im Rahmen einer persönlichen, nichtberuflichen Tätigkeit. Wenn Sie ein KI-Tool eines Dritten verwenden, um für Ihre eigene Einstellung Bewerber zu prüfen, sind Sie der Betreiber (und die Pflichten für Betreiber von Hochrisiko-Systemen sind real, insbesondere im HR-Kontext).

Wichtig ist, dass die Verordnung extraterritoriale Wirkung hat: Sie erfasst Anbieter ausserhalb der EU, wenn die Ausgabe des KI-Systems innerhalb der EU verwendet wird. Ein zyprisches Unternehmen, das KI in die Schweiz oder das Vereinigte Königreich verkauft, wird dennoch erfasst, wenn letztlich EU-Nutzer die Ausgaben sehen.

Die vier Risikostufen

StufeBeispieleKernpflichten
Inakzeptabel (verboten)Social Scoring durch Behörden, ungezieltes Auslesen von Gesichtsbildern, Emotionserkennung am Arbeitsplatz / in Schulen, bestimmte biometrische Echtzeit-IdentifizierungVollständiges Verbot (Art. 5)
Hohes RisikoHR-/Recruiting-KI, Kreditwürdigkeitsprüfung, Benotung im Bildungswesen, kritische Infrastruktur, biometrische Identifizierung, KI-Sicherheitskomponenten regulierter ProdukteRisikomanagement, Daten-Governance, technische Dokumentation, Protokollierung, menschliche Aufsicht, Transparenz, CE-Kennzeichnung, Registrierung in der EU-Datenbank
Begrenztes RisikoChatbots, Emotions-/biometrische Kategorisierung (soweit nicht verboten), KI-generierte Inhalte / DeepfakesTransparenz: Nutzern mitteilen, dass sie mit KI interagieren; synthetische Medien kennzeichnen
Minimales RisikoSpamfilter, einfache Empfehlungssysteme, die meisten internen ProduktivitätstoolsKeine verpflichtenden Pflichten über KI-Kompetenz und freiwillige Kodizes hinaus

Pflichten für KI-Modelle mit allgemeinem Verwendungszweck

Kapitel V führt ein gesondertes Regime für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) ein - Basismodelle, die auf breiten Daten trainiert werden und für eine Vielzahl nachgelagerter Aufgaben angepasst werden können. Diese Pflichten gelten seit dem 2. August 2025.Articles 51-56, Regulation (EU) 2024/1689 - General-Purpose AI Models

Anbieter von GPAI-Modellen müssen:

  • Eine aktuelle technische Dokumentation des Modells führen (Anhang XI).
  • Nachgelagerten Integratoren die Informationen bereitstellen, die zur Einhaltung der Verordnung erforderlich sind (Anhang XII).
  • Eine Strategie zur Einhaltung des EU-Urheberrechts umsetzen, einschliesslich des Opt-outs für Text- und Data-Mining nach Artikel 4 Absatz 3 der Richtlinie über das Urheberrecht im digitalen Binnenmarkt.
  • Eine hinreichend detaillierte Zusammenfassung der Inhalte der Trainingsdaten veröffentlichen.

Modelle, die ein systemisches Risiko darstellen (derzeit solche, die mit einer kumulierten Rechenleistung von mehr als 10^25 FLOPs trainiert wurden, sowie von der Kommission benannte Modelle), unterliegen zusätzlichen Pflichten: Modellbewertungen, Angriffstests, Bewertung systemischer Risiken, Meldung von Vorfällen und Cybersicherheitsschutz nach Artikel 55. Die meisten zyprischen SaaS-Gründer sind eher Nutzer von GPAI als Anbieter, doch in dem Moment, in dem Sie ein Modell feinabstimmen und unter Ihrer eigenen Marke erneut veröffentlichen, ändert sich die Bewertung.

Hochrisiko-KI-Systeme: die verschobene Frist

Für die meisten zyprischen SaaS-Unternehmen ist die aktuelle Frage, ob etwas, das sie ausliefern, nach Anhang III hochriskant ist. Die Einstufungsliste umfasst acht Bereiche: Biometrie; kritische Infrastruktur; allgemeine und berufliche Bildung; Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit; Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen und Leistungen (einschliesslich Kreditwürdigkeitsprüfung); Strafverfolgung; Migration, Asyl und Grenzkontrolle; sowie Rechtspflege und demokratische Prozesse.Annex III, Regulation (EU) 2024/1689

Ist ein System hochriskant, muss der Anbieter:

  • Ein Risikomanagementsystem über den gesamten Lebenszyklus einrichten, dokumentieren und pflegen (Artikel 9).
  • Daten-Governance-Massnahmen auf Trainings-, Validierungs- und Testdatensätze anwenden (Artikel 10).
  • Eine technische Dokumentation erstellen und aktuell halten (Artikel 11, Anhang IV).
  • Das System so gestalten, dass eine automatische Aufzeichnung / Protokollierung möglich ist (Artikel 12).
  • Den Betreibern Transparenz und Betriebsanleitungen bereitstellen (Artikel 13).
  • Eine wirksame menschliche Aufsicht ermöglichen (Artikel 14).
  • Die Anforderungen an Genauigkeit, Robustheit und Cybersicherheit erfüllen (Artikel 15).
  • Ein Qualitätsmanagementsystem einrichten (Artikel 17).
  • Eine Konformitätsbewertung durchführen, eine EU-Konformitätserklärung erstellen und die CE-Kennzeichnung anbringen (Artikel 43, 47-48).
  • Das System in der EU-Datenbank registrieren, bevor es in Verkehr gebracht wird (Artikel 49).

Auch Betreiber von Hochrisiko-KI haben Pflichten: menschliche Aufsicht, Überwachung, Aufzeichnung und - für Behörden und bestimmte private Betreiber - eine Grundrechte-Folgenabschätzung nach Artikel 27.

Zuständige nationale Behörde Zyperns

Jeder Mitgliedstaat musste nach Artikel 70 bis zum 2. August 2025 mindestens eine notifizierende Behörde und mindestens eine Marktüberwachungsbehörde benennen.Article 70, Regulation (EU) 2024/1689 - Designation of national competent authoritiesZypern hat diese Frist eingehalten. Das Stellvertretende Ministerium für Forschung, Innovation und Digitalpolitik leitet die nationale Koordinierung der KI-Politik, während Marktüberwachungs-, Notifizierungs- und sektorale Funktionen auf bestehende Regulierungsbehörden verteilt sind - darunter die Abteilung für elektronische Kommunikation, sektorale Produktsicherheitsbehörden und das Büro des Beauftragten für den Schutz personenbezogener Daten, soweit KI personenbezogene Daten verarbeitet. Zypern hat ausserdem eine einzige Anlaufstelle für Angelegenheiten der KI-Verordnung benannt, wie es Artikel 70 Absatz 2 verlangt.

Für in Zypern ansässige Gründer bedeutet dies: Anfragen, Beschwerden und Meldungen von Vorfällen werden über zyprische Regulierungsbehörden geleitet, nicht direkt nach Brüssel, und zyprische Sanktionsentscheidungen werden im Einklang mit dem nationalen Umsetzungsrahmen durchgesetzt. Siehe unsere umfassenderen Hinweise zur wirtschaftlichen Substanz in Zypern für die parallele Frage, wo ein zyprisches Unternehmen tatsächlich verwaltet und kontrolliert wird.

Zusammenspiel mit der DSGVO und dem DSA

Die KI-Verordnung ist unabhängig von - und kumulativ zu - der DSGVO (Verordnung (EU) 2016/679) und dem Gesetz über digitale Dienste (Verordnung (EU) 2022/2065). Drei Überschneidungen sind am wichtigsten:

  • Personenbezogene Eingabe- und Ausgabedaten. Wenn Ihre KI personenbezogene Daten verarbeitet (Lebensläufe, biometrische Daten, Verhaltenssignale), gilt die DSGVO in vollem Umfang - Rechtsgrundlage, Transparenz, Datenminimierung, DSFA nach Artikel 35, wenn die Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat.
  • Automatisierte Entscheidungsfindung. Artikel 22 DSGVO regelt weiterhin ausschliesslich automatisierte Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung. Die KI-Verordnung fügt produktsicherheitsähnliche Pflichten hinzu; die DSGVO fügt Individualrechtspflichten hinzu. Beide gelten.
  • Online-Plattformen. Wenn Ihre KI-Funktion in einer durch den DSA regulierten Plattform sitzt, können Sie ausserdem DSA-Pflichten zu rechtswidrigen Inhalten, zur Transparenz von Empfehlungssystemen und (für VLOPs / VLOSEs) zu Bewertungen systemischer Risiken unterliegen.

Gründer müssen ausserdem die Regeln zur Mindeststeuer nach Pillar Two und zur Verrechnungspreisgestaltung in Zypern im Auge behalten - denn KI-Gruppen umfassen oft grenzüberschreitende F&E, IP-Lizenzierung und konzerninterne Dienstleistungen, die alle für die Steuerbehörde sehr gut sichtbar sind.

Sanktionen und Durchsetzung

Artikel 99 legt ein dreistufiges Sanktionsregime fest.Article 99, Regulation (EU) 2024/1689 - Penalties

StufeVerstossHöchstbussgeld
1Verbotene Praktiken (Artikel 5)Bis zu 35.000.000 EUR oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist
2Die meisten anderen Pflichtverstösse (Hochrisiko, GPAI, Transparenz, Pflichten notifizierter Stellen)Bis zu 15.000.000 EUR oder 3 % des Umsatzes
3Übermittlung unrichtiger, unvollständiger oder irreführender Angaben an BehördenBis zu 7.500.000 EUR oder 1 % des Umsatzes

Für KMU und Start-ups ist das Bussgeld der niedrigere der absolute Betrag und der Prozentwert - eine in Artikel 99 Absatz 6 verankerte Verhältnismässigkeitsschutzklausel. Die nationalen Behörden (in Zypern die benannten Marktüberwachungsstellen) verhängen die Bussgelder nach innerstaatlichem Verfahrensrecht.

Praktischer Compliance-Leitfaden für zyprische SaaS

  1. Erfassen Sie jedes KI-System. Behandeln Sie alles, was die Definition nach Artikel 3 Absatz 1 erfüllt, als in den Anwendungsbereich fallend, bis Sie das Gegenteil nachweisen. Beziehen Sie eingebettete Anbieter-KI ein (z. B. Analyse-SDKs).
  2. Stufen Sie die Risikostufe pro System ein. Dokumentieren Sie die Analyse - insbesondere die Gründe, warum etwas nichthochriskant nach Anhang III ist. Dieses Memo ist das Erste, wonach Regulierungsbehörden fragen werden.
  3. Führen Sie die KI-Kompetenz ein. Artikel 4 ist seit Februar 2025 in Kraft. Gründer, Ingenieure und Mitarbeiter mit Kundenkontakt benötigen eine grundlegende, ihrer Rolle angemessene KI-Kompetenz. Führen Sie ein kurzes Schulungsprotokoll.
  4. Erstellen Sie die Hochrisiko-Akte frühzeitig. Wenn etwas hochriskant ist oder sein könnte, beginnen Sie jetzt mit der Dokumentation nach den Artikeln 9-15 - nicht in der Woche vor der Frist. Die Verschiebung durch den Digital Omnibus auf Dezember 2027 verschafft Zeit, aber Konformitätsbewertung, Abgleich mit harmonisierten Normen und Registrierung in der EU-Datenbank sind keine Aufgaben für einen Tag.
  5. Erfüllen Sie die Transparenzpflichten bei Systemen mit begrenztem Risiko. Chatbots müssen den KI-Status offenlegen; KI-generierte Inhalte müssen gekennzeichnet werden; Deepfakes unterliegen ihren eigenen Offenlegungspflichten nach Artikel 50.
  6. Bringen Sie es mit der DSGVO in Einklang. DSFAs für Hochrisiko-Verarbeitungen, die Logik von Artikel 22, Aufbewahrungsfristen und Auskunftsrechte müssen alle mit Ihrer Dokumentation nach der KI-Verordnung übereinstimmen.
  7. Achten Sie auf das schleichende Abrutschen in den GPAI-Anbieterstatus. Wenn Sie ein offenes Modell feinabstimmen und ausliefern, prüfen Sie, ob Sie zum GPAI-Anbieter geworden sind (Pflichten nach Anhang XII).
  8. Stimmen Sie sich mit der zyprischen Steuergestaltung ab. Ein konformer KI-Stack lässt sich naturgemäss mit der zyprischen IP-Box für Einkünfte aus Software-Urheberrechten kombinieren, sofern die F&E- und Entscheidungssubstanz tatsächlich in Zypern liegt.

Häufige Fehler von Gründern

  1. Anzunehmen, dass "wir umhüllen nur die OpenAI-API" bedeutet, ausserhalb des Anwendungsbereichs zu sein. Eine GPAI in einen Hochrisiko-Anwendungsfall nach Anhang III einzubetten (z. B. Lebenslauf-Screening), macht Sie dennoch zum Anbieter eines Hochrisiko-Systems.
  2. Die KI-Kompetenzpflicht zu überspringen. Sie ist der kostengünstigste Punkt, der einzuhalten ist, und der am leichtesten für eine Regulierungsbehörde erkennbare, wenn er fehlt.
  3. Sie wie die DSGVO mit neuem Branding zu behandeln. Die KI-Verordnung ist im Ton ein Produktsicherheitsregime. CE-Kennzeichnung, Konformitätsbewertung und Registrierung in der EU-Datenbank sind Konzepte, die von Medizinprodukten und Maschinen entlehnt sind, nicht vom Datenschutz.
  4. Die betreiberseitigen Pflichten zu vergessen, wenn Sie KI auch intern nutzen. Die Nutzung eines externen HR-KI-Tools zur Prüfung von Bewerbern macht Sie zum Betreiber eines Hochrisiko-Systems, mit eigenen Pflichten zur Protokollierung und zur menschlichen Aufsicht.
  5. Die Transparenz bei synthetischen Medien zu ignorieren.KI-generierte oder manipulierte Bilder, Audio- und Videodateien müssen in der Regel nach Artikel 50 gekennzeichnet werden, unabhängig von der Risikostufe.
  6. Die Substanz abdriften zu lassen. Sowohl die zyprischen Steuervorteile als auch die Governance nach der KI-Verordnung beruhen auf realen Entscheidungen, die in Zypern von qualifizierten Personen getroffen werden. Siehe unseren Leitfaden zur Strukturierung einer zyprischen Holdinggesellschaft für das umfassendere Substanzbild.

Häufig gestellte Fragen

Gilt die EU-KI-Verordnung für mein zyprisches SaaS-Unternehmen?
Wenn Ihr SaaS-Produkt ein KI-System auf dem EU-Markt in Verkehr bringt oder dessen Ausgabe innerhalb der EU verwendet wird, gilt die KI-Verordnung unabhängig davon, wo Ihr Unternehmen eingetragen ist. Ein in Zypern steuerlich ansässiges Unternehmen, das KI-Funktionen für EU-Kunden entwickelt, fällt eindeutig in den Anwendungsbereich - sowohl als 'Anbieter' (wenn Sie das KI-System entwickeln) als auch potenziell als 'Betreiber' (wenn Sie es ausserdem nutzen).
Ab wann greift die KI-Verordnung tatsächlich?
Die Verordnung (EU) 2024/1689 ist am 1. August 2024 in Kraft getreten. Die Vorschriften zu verbotenen Praktiken und die Pflichten zur KI-Kompetenz gelten seit dem 2. Februar 2025; die Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) und der Rahmen der nationalen Behörden seit dem 2. August 2025; die vollständige Anwendung ist für den 2. August 2027 vorgesehen (mit einer langen Übergangsfrist für bestehende GPAI-Modelle). Die ursprüngliche Frist vom 2. August 2026 für Hochrisiko-KI-Systeme wird im Rahmen des EU-Vereinfachungspakets 'Digital Omnibus' - im Mai 2026 von Parlament und Rat vorläufig vereinbart - auf den 2. Dezember 2027 für eigenständige Systeme nach Anhang III und auf den 2. August 2028 für in regulierte Produkte eingebettete Hochrisiko-KI verschoben. Der Omnibus war Mitte 2026 noch nicht förmlich angenommen und im Amtsblatt veröffentlicht, prüfen Sie daher die endgültigen Daten, bevor Sie sich darauf verlassen.
Ist mein SaaS-Chatbot ein 'Hochrisiko'-System?
Die meisten Verbraucher-Chatbots sind nicht hochriskant. Es handelt sich um Systeme mit 'begrenztem Risiko', die hauptsächlich Transparenzpflichten unterliegen (Nutzer müssen wissen, dass sie mit KI interagieren). Die Hochrisiko-Einstufung nach Anhang III ist KI vorbehalten, die in den Bereichen Beschäftigung, Bildung, kritische Infrastruktur, Kreditwürdigkeitsprüfung, biometrische Identifizierung, Strafverfolgung, Migration und bestimmten produktsicherheitsrelevanten Kontexten eingesetzt wird. Ein Hochrisiko-System fälschlicherweise als begrenztes Risiko einzustufen, ist der teuerste Fehler, den Gründer machen.
Wie hoch sind die Bussgelder bei Verstössen?
Drei Stufen nach Artikel 99. Verbotene Praktiken: bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Andere Pflichtverstösse (Hochrisiko-Verstösse, GPAI-Verstösse): bis zu 15 Mio. EUR oder 3 %. Irreführende Angaben gegenüber Behörden: bis zu 7,5 Mio. EUR oder 1 %. Für KMU und Start-ups gilt jeweils der niedrigere der beiden Beträge.
Wer ist die zuständige nationale Behörde Zyperns für die KI-Verordnung?
Zypern hat seine zuständigen nationalen Behörden durch Beschluss des Ministerrats am 22. Januar 2025 benannt, deutlich vor der Frist vom 2. August 2025. Das Stellvertretende Ministerium für Forschung, Innovation und Digitalpolitik koordiniert die nationale Umsetzung und vertritt Zypern im Europäischen Ausschuss für künstliche Intelligenz, wobei der Beauftragte für elektronische Kommunikation als Marktüberwachungsbehörde für mehrere Hochrisiko-Kategorien nach Anhang III benannt wurde. Das Büro des Beauftragten für den Schutz personenbezogener Daten behält sein DSGVO-Mandat, soweit KI personenbezogene Daten verarbeitet.
Wie überschneidet sich die KI-Verordnung mit der DSGVO?
Sie gelten unabhängig voneinander und kumulativ. Die KI-Verordnung regelt KI-Systeme und deren Lebenszyklus; die DSGVO regelt die Verarbeitung personenbezogener Daten. Eine KI-Funktion kann beide auslösen: die DSGVO für die personenbezogenen Eingabe- und Ausgabedaten, die KI-Verordnung für das Modell und seinen Einsatzkontext. In der Regel benötigen Sie eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO zusätzlich zur Konformitätsbewertung nach der KI-Verordnung für Hochrisiko-Systeme.
Muss ich mein Hochrisiko-KI-System irgendwo registrieren?
Ja. In Anhang III aufgeführte Hochrisiko-KI-Systeme müssen nach Artikel 49 grundsätzlich in der EU-Datenbank für Hochrisiko-KI-Systeme registriert werden, bevor sie in Verkehr gebracht oder in Betrieb genommen werden. Anbieter und bestimmte Betreiber (insbesondere Behörden) haben Registrierungspflichten. Dies gilt zusätzlich zur CE-Kennzeichnung und zur Konformitätsbewertung.
Was ist mit KI-Modellen mit allgemeinem Verwendungszweck wie Llama oder GPT?
Wenn Sie ein GPAI-Modell feinabstimmen oder wesentlich verändern und es veröffentlichen, können Sie selbst zum 'Anbieter' eines GPAI-Modells werden, mit den damit verbundenen Pflichten zu Transparenz, Urheberrecht und Dokumentation nach Artikel 53 (und Artikel 55, wenn das Modell ein systemisches Risiko aufweist). Die meisten zyprischen SaaS-Gründer nutzen GPAI-APIs, ohne in den Anbieterstatus zu wechseln, aber die Grenze ist vom Einzelfall abhängig.

About the author

Sergios Charalambous, Founder of Zeno — Cyprus and Athens Bar-admitted lawyer

Sergios Charalambous

Founder · Zeno

Cyprus & Athens Bar-admitted lawyer specialising in corporate and tax law. Founder of Zeno. Cyprus Bar & Athens Bar admitted. LL.B., two LL.M.s (Distinction) from the National and Kapodistrian University of Athens, plus a Professional Diploma in Tax Law (Distinction). All articles are reviewed jointly with independent Cyprus Bar–licensed advocates and ICPAC–licensed accountants.

· Cyprus Bar Association· Athens Bar Association· Updated: Juni 2026

Disclaimer: This article provides general information on Cyprus law and tax practice as of the update date shown above. It is not legal or tax advice and should not be relied upon for specific transactions. Cyprus tax rules change from time to time; we review and update every article at least every six months. For advice on your situation, please book a free 30-minute call with Sergios via Zeno.

Sie brauchen eine massgeschneiderte Beratung?

Buchen Sie ein kostenloses 30-minütiges Gespräch. Zeno koordiniert unabhängige, in Zypern zugelassene Advokaten und ICPAC-zugelassene Wirtschaftsprüfer und sendet innerhalb von 24 Stunden einen schriftlichen Leistungsumfang.

Kostenloses Gespräch buchen