Inhaltsverzeichnis
- Überblick über die EU-KI-Verordnung
- Zeitplan der schrittweisen Anwendung
- Wer ist betroffen: Anbieter vs. Betreiber
- Die vier Risikostufen
- Pflichten für KI-Modelle mit allgemeinem Verwendungszweck
- Hochrisiko-KI-Systeme: die verschobene Frist
- Zuständige nationale Behörde Zyperns
- Zusammenspiel mit der DSGVO und dem DSA
- Sanktionen und Durchsetzung
- Praktischer Compliance-Leitfaden für zyprische SaaS
- Häufige Fehler von Gründern
Zypern hat sich still und leise zu einem der praktischeren Standorte der EU für SaaS- und KI-Gründer entwickelt: 15 % Körperschaftsteuer, eine OECD-konforme IP-Box und ein englischsprachiges Rechtssystem. Doch die EU-KI-Verordnung legt nun ein zweites Compliance-Regime über die DSGVO, und die Fristen sind nicht mehr abstrakt. Hochrisiko-KI-Systeme müssen einer Konformitätsbewertung unterzogen, dokumentiert, registriert und überwacht werden - oder vom Markt genommen werden. Die Hochrisiko-Frist war ursprünglich der 2. August 2026, doch das EU-Vereinfachungspaket 'Digital Omnibus' (vorläufig vereinbart im Mai 2026) verschiebt sie auf den 2. Dezember 2027 für eigenständige Systeme nach Anhang III, was Gründern Luft zum Atmen verschafft, aber keine Begnadigung.
Dieser Leitfaden erläutert, was die EU-KI-Verordnung von einem in Zypern ansässigen SaaS- oder Tech-Unternehmen tatsächlich verlangt, wie Zypern sie national umsetzt und welche praktischen Compliance-Schritte Gründer 2026 unternehmen sollten. Es handelt sich um allgemeine Informationen, nicht um Rechtsberatung; für eine systemspezifische Einstufung sollten Sie einen in der zyprischen Anwaltskammer zugelassenen Advokaten beauftragen, der mit dem EU-Technologierecht vertraut ist.
Überblick über die EU-KI-Verordnung
Die Verordnung über künstliche Intelligenz ist die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024, veröffentlicht im Amtsblatt am 12. Juli 2024 und in Kraft getreten am 1. August 2024.Regulation (EU) 2024/1689 (EU AI Act), OJ L of 12 July 2024, Article 113Es ist das weltweit erste umfassende horizontale KI-Gesetz und gilt unmittelbar in jedem Mitgliedstaat - für den grössten Teil ist keine nationale Umsetzung erforderlich, damit es greift, obwohl Zypern und andere Mitgliedstaaten dennoch zuständige Behörden benennen und das innerstaatliche Verfahrens- und Sanktionsrecht anpassen müssen.
Die Verordnung verfolgt einen risikobasierten Ansatz: Je höher das Risiko, das ein KI-System für Gesundheit, Sicherheit oder Grundrechte darstellt, desto strenger die Pflichten. Es gibt vier breite Stufen (inakzeptabel, hoch, begrenzt, minimal) sowie ein gesondertes vertikales Regime für KI-Modelle mit allgemeinem Verwendungszweck (GPAI), die nachgelagerten Anwendungen zugrunde liegen.
Zeitplan der schrittweisen Anwendung
| Datum | Was gilt | Wen es zuerst trifft |
|---|---|---|
| 1. Aug. 2024 | Inkrafttreten (Artikel 113) | Alle - die Uhr läuft |
| 2. Feb. 2025 | Verbotene Praktiken (Art. 5) und KI-Kompetenz (Art. 4) | Jeder Anbieter oder Betreiber von in den Anwendungsbereich fallender KI |
| 2. Aug. 2025 | Vorschriften für GPAI-Modelle (Kapitel V), Governance, Sanktionsrahmen, Benennung der Behörden der Mitgliedstaaten | GPAI-Anbieter; Stellvertretendes Ministerium Zyperns |
| Hochrisiko-KI-Systeme (eigenständig, Anhang III) - die Hauptwelle. Verschoben im Rahmen des Digital Omnibus (vorläufig vereinbart im Mai 2026, förmliche Annahme ausstehend) | Die meisten SaaS- / HR-Tech- / Fintech-KI | |
| 2. Aug. 2027 | Vollständige Anwendung; bestehende GPAI-Modelle müssen konform sein | GPAI-Anbieter von vor August 2025 |
| 2. Aug. 2028 | In regulierte Produkte eingebettete Hochrisiko-KI (Anhang I) - verschobene Frist im Rahmen des Digital Omnibus | KI-Sicherheitskomponenten regulierter Produkte |
Article 113, Regulation (EU) 2024/1689 - Entry into force and date of applicationDie Hochrisiko-Frist ist die praktisch relevante für die meisten zyprischen SaaS-Gründer, denn dann greifen die Hochrisiko-Pflichten nach Anhang III. Das Vereinfachungspaket 'Digital Omnibus' der Europäischen Kommission, veröffentlicht am 19. November 2025, verschiebt diese Frist vom 2. August 2026 auf den 2. Dezember 2027 für eigenständige Systeme nach Anhang III und den 2. August 2028 für in regulierte Produkte eingebettete Hochrisiko-KI; Parlament und Rat haben im Mai 2026 eine vorläufige Einigung erzielt, die förmliche Annahme wird vor dem ursprünglichen Datum im August 2026 erwartet. Behandeln Sie die neuen Daten als nahezu endgültig, bestätigen Sie aber die förmliche Annahme, bevor Sie sich darauf verlassen.Council of the EU / European Parliament press release, 'Artificial intelligence: Council and Parliament agree to simplify and streamline rules', 7 May 2026
Wer ist betroffen: Anbieter vs. Betreiber
Die Verordnung unterscheidet zwischen mehreren Rollen. Die beiden, die für einen zyprischen SaaS-Gründer am wichtigsten sind, lauten:
- Anbieter - die natürliche oder juristische Person, die ein KI-System entwickelt (oder entwickeln lässt) und es unter ihrem eigenen Namen oder ihrer Marke auf dem EU-Markt in Verkehr bringt oder in Betrieb nimmt. Wenn Sie eine KI-Funktion in Ihrem SaaS ausliefern, sind Sie in der Regel der Anbieter dieses KI-Systems.
- Betreiber - die natürliche oder juristische Person, die ein KI-System unter ihrer Aufsicht verwendet, ausser bei Verwendung im Rahmen einer persönlichen, nichtberuflichen Tätigkeit. Wenn Sie ein KI-Tool eines Dritten verwenden, um für Ihre eigene Einstellung Bewerber zu prüfen, sind Sie der Betreiber (und die Pflichten für Betreiber von Hochrisiko-Systemen sind real, insbesondere im HR-Kontext).
Wichtig ist, dass die Verordnung extraterritoriale Wirkung hat: Sie erfasst Anbieter ausserhalb der EU, wenn die Ausgabe des KI-Systems innerhalb der EU verwendet wird. Ein zyprisches Unternehmen, das KI in die Schweiz oder das Vereinigte Königreich verkauft, wird dennoch erfasst, wenn letztlich EU-Nutzer die Ausgaben sehen.
Die vier Risikostufen
| Stufe | Beispiele | Kernpflichten |
|---|---|---|
| Inakzeptabel (verboten) | Social Scoring durch Behörden, ungezieltes Auslesen von Gesichtsbildern, Emotionserkennung am Arbeitsplatz / in Schulen, bestimmte biometrische Echtzeit-Identifizierung | Vollständiges Verbot (Art. 5) |
| Hohes Risiko | HR-/Recruiting-KI, Kreditwürdigkeitsprüfung, Benotung im Bildungswesen, kritische Infrastruktur, biometrische Identifizierung, KI-Sicherheitskomponenten regulierter Produkte | Risikomanagement, Daten-Governance, technische Dokumentation, Protokollierung, menschliche Aufsicht, Transparenz, CE-Kennzeichnung, Registrierung in der EU-Datenbank |
| Begrenztes Risiko | Chatbots, Emotions-/biometrische Kategorisierung (soweit nicht verboten), KI-generierte Inhalte / Deepfakes | Transparenz: Nutzern mitteilen, dass sie mit KI interagieren; synthetische Medien kennzeichnen |
| Minimales Risiko | Spamfilter, einfache Empfehlungssysteme, die meisten internen Produktivitätstools | Keine verpflichtenden Pflichten über KI-Kompetenz und freiwillige Kodizes hinaus |
Pflichten für KI-Modelle mit allgemeinem Verwendungszweck
Kapitel V führt ein gesondertes Regime für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) ein - Basismodelle, die auf breiten Daten trainiert werden und für eine Vielzahl nachgelagerter Aufgaben angepasst werden können. Diese Pflichten gelten seit dem 2. August 2025.Articles 51-56, Regulation (EU) 2024/1689 - General-Purpose AI Models
Anbieter von GPAI-Modellen müssen:
- Eine aktuelle technische Dokumentation des Modells führen (Anhang XI).
- Nachgelagerten Integratoren die Informationen bereitstellen, die zur Einhaltung der Verordnung erforderlich sind (Anhang XII).
- Eine Strategie zur Einhaltung des EU-Urheberrechts umsetzen, einschliesslich des Opt-outs für Text- und Data-Mining nach Artikel 4 Absatz 3 der Richtlinie über das Urheberrecht im digitalen Binnenmarkt.
- Eine hinreichend detaillierte Zusammenfassung der Inhalte der Trainingsdaten veröffentlichen.
Modelle, die ein systemisches Risiko darstellen (derzeit solche, die mit einer kumulierten Rechenleistung von mehr als 10^25 FLOPs trainiert wurden, sowie von der Kommission benannte Modelle), unterliegen zusätzlichen Pflichten: Modellbewertungen, Angriffstests, Bewertung systemischer Risiken, Meldung von Vorfällen und Cybersicherheitsschutz nach Artikel 55. Die meisten zyprischen SaaS-Gründer sind eher Nutzer von GPAI als Anbieter, doch in dem Moment, in dem Sie ein Modell feinabstimmen und unter Ihrer eigenen Marke erneut veröffentlichen, ändert sich die Bewertung.
Hochrisiko-KI-Systeme: die verschobene Frist
Für die meisten zyprischen SaaS-Unternehmen ist die aktuelle Frage, ob etwas, das sie ausliefern, nach Anhang III hochriskant ist. Die Einstufungsliste umfasst acht Bereiche: Biometrie; kritische Infrastruktur; allgemeine und berufliche Bildung; Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit; Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen und Leistungen (einschliesslich Kreditwürdigkeitsprüfung); Strafverfolgung; Migration, Asyl und Grenzkontrolle; sowie Rechtspflege und demokratische Prozesse.Annex III, Regulation (EU) 2024/1689
Ist ein System hochriskant, muss der Anbieter:
- Ein Risikomanagementsystem über den gesamten Lebenszyklus einrichten, dokumentieren und pflegen (Artikel 9).
- Daten-Governance-Massnahmen auf Trainings-, Validierungs- und Testdatensätze anwenden (Artikel 10).
- Eine technische Dokumentation erstellen und aktuell halten (Artikel 11, Anhang IV).
- Das System so gestalten, dass eine automatische Aufzeichnung / Protokollierung möglich ist (Artikel 12).
- Den Betreibern Transparenz und Betriebsanleitungen bereitstellen (Artikel 13).
- Eine wirksame menschliche Aufsicht ermöglichen (Artikel 14).
- Die Anforderungen an Genauigkeit, Robustheit und Cybersicherheit erfüllen (Artikel 15).
- Ein Qualitätsmanagementsystem einrichten (Artikel 17).
- Eine Konformitätsbewertung durchführen, eine EU-Konformitätserklärung erstellen und die CE-Kennzeichnung anbringen (Artikel 43, 47-48).
- Das System in der EU-Datenbank registrieren, bevor es in Verkehr gebracht wird (Artikel 49).
Auch Betreiber von Hochrisiko-KI haben Pflichten: menschliche Aufsicht, Überwachung, Aufzeichnung und - für Behörden und bestimmte private Betreiber - eine Grundrechte-Folgenabschätzung nach Artikel 27.
Zuständige nationale Behörde Zyperns
Jeder Mitgliedstaat musste nach Artikel 70 bis zum 2. August 2025 mindestens eine notifizierende Behörde und mindestens eine Marktüberwachungsbehörde benennen.Article 70, Regulation (EU) 2024/1689 - Designation of national competent authoritiesZypern hat diese Frist eingehalten. Das Stellvertretende Ministerium für Forschung, Innovation und Digitalpolitik leitet die nationale Koordinierung der KI-Politik, während Marktüberwachungs-, Notifizierungs- und sektorale Funktionen auf bestehende Regulierungsbehörden verteilt sind - darunter die Abteilung für elektronische Kommunikation, sektorale Produktsicherheitsbehörden und das Büro des Beauftragten für den Schutz personenbezogener Daten, soweit KI personenbezogene Daten verarbeitet. Zypern hat ausserdem eine einzige Anlaufstelle für Angelegenheiten der KI-Verordnung benannt, wie es Artikel 70 Absatz 2 verlangt.
Für in Zypern ansässige Gründer bedeutet dies: Anfragen, Beschwerden und Meldungen von Vorfällen werden über zyprische Regulierungsbehörden geleitet, nicht direkt nach Brüssel, und zyprische Sanktionsentscheidungen werden im Einklang mit dem nationalen Umsetzungsrahmen durchgesetzt. Siehe unsere umfassenderen Hinweise zur wirtschaftlichen Substanz in Zypern für die parallele Frage, wo ein zyprisches Unternehmen tatsächlich verwaltet und kontrolliert wird.
Zusammenspiel mit der DSGVO und dem DSA
Die KI-Verordnung ist unabhängig von - und kumulativ zu - der DSGVO (Verordnung (EU) 2016/679) und dem Gesetz über digitale Dienste (Verordnung (EU) 2022/2065). Drei Überschneidungen sind am wichtigsten:
- Personenbezogene Eingabe- und Ausgabedaten. Wenn Ihre KI personenbezogene Daten verarbeitet (Lebensläufe, biometrische Daten, Verhaltenssignale), gilt die DSGVO in vollem Umfang - Rechtsgrundlage, Transparenz, Datenminimierung, DSFA nach Artikel 35, wenn die Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat.
- Automatisierte Entscheidungsfindung. Artikel 22 DSGVO regelt weiterhin ausschliesslich automatisierte Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung. Die KI-Verordnung fügt produktsicherheitsähnliche Pflichten hinzu; die DSGVO fügt Individualrechtspflichten hinzu. Beide gelten.
- Online-Plattformen. Wenn Ihre KI-Funktion in einer durch den DSA regulierten Plattform sitzt, können Sie ausserdem DSA-Pflichten zu rechtswidrigen Inhalten, zur Transparenz von Empfehlungssystemen und (für VLOPs / VLOSEs) zu Bewertungen systemischer Risiken unterliegen.
Gründer müssen ausserdem die Regeln zur Mindeststeuer nach Pillar Two und zur Verrechnungspreisgestaltung in Zypern im Auge behalten - denn KI-Gruppen umfassen oft grenzüberschreitende F&E, IP-Lizenzierung und konzerninterne Dienstleistungen, die alle für die Steuerbehörde sehr gut sichtbar sind.
Sanktionen und Durchsetzung
Artikel 99 legt ein dreistufiges Sanktionsregime fest.Article 99, Regulation (EU) 2024/1689 - Penalties
| Stufe | Verstoss | Höchstbussgeld |
|---|---|---|
| 1 | Verbotene Praktiken (Artikel 5) | Bis zu 35.000.000 EUR oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist |
| 2 | Die meisten anderen Pflichtverstösse (Hochrisiko, GPAI, Transparenz, Pflichten notifizierter Stellen) | Bis zu 15.000.000 EUR oder 3 % des Umsatzes |
| 3 | Übermittlung unrichtiger, unvollständiger oder irreführender Angaben an Behörden | Bis zu 7.500.000 EUR oder 1 % des Umsatzes |
Für KMU und Start-ups ist das Bussgeld der niedrigere der absolute Betrag und der Prozentwert - eine in Artikel 99 Absatz 6 verankerte Verhältnismässigkeitsschutzklausel. Die nationalen Behörden (in Zypern die benannten Marktüberwachungsstellen) verhängen die Bussgelder nach innerstaatlichem Verfahrensrecht.
Praktischer Compliance-Leitfaden für zyprische SaaS
- Erfassen Sie jedes KI-System. Behandeln Sie alles, was die Definition nach Artikel 3 Absatz 1 erfüllt, als in den Anwendungsbereich fallend, bis Sie das Gegenteil nachweisen. Beziehen Sie eingebettete Anbieter-KI ein (z. B. Analyse-SDKs).
- Stufen Sie die Risikostufe pro System ein. Dokumentieren Sie die Analyse - insbesondere die Gründe, warum etwas nichthochriskant nach Anhang III ist. Dieses Memo ist das Erste, wonach Regulierungsbehörden fragen werden.
- Führen Sie die KI-Kompetenz ein. Artikel 4 ist seit Februar 2025 in Kraft. Gründer, Ingenieure und Mitarbeiter mit Kundenkontakt benötigen eine grundlegende, ihrer Rolle angemessene KI-Kompetenz. Führen Sie ein kurzes Schulungsprotokoll.
- Erstellen Sie die Hochrisiko-Akte frühzeitig. Wenn etwas hochriskant ist oder sein könnte, beginnen Sie jetzt mit der Dokumentation nach den Artikeln 9-15 - nicht in der Woche vor der Frist. Die Verschiebung durch den Digital Omnibus auf Dezember 2027 verschafft Zeit, aber Konformitätsbewertung, Abgleich mit harmonisierten Normen und Registrierung in der EU-Datenbank sind keine Aufgaben für einen Tag.
- Erfüllen Sie die Transparenzpflichten bei Systemen mit begrenztem Risiko. Chatbots müssen den KI-Status offenlegen; KI-generierte Inhalte müssen gekennzeichnet werden; Deepfakes unterliegen ihren eigenen Offenlegungspflichten nach Artikel 50.
- Bringen Sie es mit der DSGVO in Einklang. DSFAs für Hochrisiko-Verarbeitungen, die Logik von Artikel 22, Aufbewahrungsfristen und Auskunftsrechte müssen alle mit Ihrer Dokumentation nach der KI-Verordnung übereinstimmen.
- Achten Sie auf das schleichende Abrutschen in den GPAI-Anbieterstatus. Wenn Sie ein offenes Modell feinabstimmen und ausliefern, prüfen Sie, ob Sie zum GPAI-Anbieter geworden sind (Pflichten nach Anhang XII).
- Stimmen Sie sich mit der zyprischen Steuergestaltung ab. Ein konformer KI-Stack lässt sich naturgemäss mit der zyprischen IP-Box für Einkünfte aus Software-Urheberrechten kombinieren, sofern die F&E- und Entscheidungssubstanz tatsächlich in Zypern liegt.
Häufige Fehler von Gründern
- Anzunehmen, dass "wir umhüllen nur die OpenAI-API" bedeutet, ausserhalb des Anwendungsbereichs zu sein. Eine GPAI in einen Hochrisiko-Anwendungsfall nach Anhang III einzubetten (z. B. Lebenslauf-Screening), macht Sie dennoch zum Anbieter eines Hochrisiko-Systems.
- Die KI-Kompetenzpflicht zu überspringen. Sie ist der kostengünstigste Punkt, der einzuhalten ist, und der am leichtesten für eine Regulierungsbehörde erkennbare, wenn er fehlt.
- Sie wie die DSGVO mit neuem Branding zu behandeln. Die KI-Verordnung ist im Ton ein Produktsicherheitsregime. CE-Kennzeichnung, Konformitätsbewertung und Registrierung in der EU-Datenbank sind Konzepte, die von Medizinprodukten und Maschinen entlehnt sind, nicht vom Datenschutz.
- Die betreiberseitigen Pflichten zu vergessen, wenn Sie KI auch intern nutzen. Die Nutzung eines externen HR-KI-Tools zur Prüfung von Bewerbern macht Sie zum Betreiber eines Hochrisiko-Systems, mit eigenen Pflichten zur Protokollierung und zur menschlichen Aufsicht.
- Die Transparenz bei synthetischen Medien zu ignorieren.KI-generierte oder manipulierte Bilder, Audio- und Videodateien müssen in der Regel nach Artikel 50 gekennzeichnet werden, unabhängig von der Risikostufe.
- Die Substanz abdriften zu lassen. Sowohl die zyprischen Steuervorteile als auch die Governance nach der KI-Verordnung beruhen auf realen Entscheidungen, die in Zypern von qualifizierten Personen getroffen werden. Siehe unseren Leitfaden zur Strukturierung einer zyprischen Holdinggesellschaft für das umfassendere Substanzbild.
Häufig gestellte Fragen
Gilt die EU-KI-Verordnung für mein zyprisches SaaS-Unternehmen?
Ab wann greift die KI-Verordnung tatsächlich?
Ist mein SaaS-Chatbot ein 'Hochrisiko'-System?
Wie hoch sind die Bussgelder bei Verstössen?
Wer ist die zuständige nationale Behörde Zyperns für die KI-Verordnung?
Wie überschneidet sich die KI-Verordnung mit der DSGVO?
Muss ich mein Hochrisiko-KI-System irgendwo registrieren?
Was ist mit KI-Modellen mit allgemeinem Verwendungszweck wie Llama oder GPT?
About the author

Sergios Charalambous
Founder · Zeno
Cyprus & Athens Bar-admitted lawyer specialising in corporate and tax law. Founder of Zeno. Cyprus Bar & Athens Bar admitted. LL.B., two LL.M.s (Distinction) from the National and Kapodistrian University of Athens, plus a Professional Diploma in Tax Law (Distinction). All articles are reviewed jointly with independent Cyprus Bar–licensed advocates and ICPAC–licensed accountants.
Disclaimer: This article provides general information on Cyprus law and tax practice as of the update date shown above. It is not legal or tax advice and should not be relied upon for specific transactions. Cyprus tax rules change from time to time; we review and update every article at least every six months. For advice on your situation, please book a free 30-minute call with Sergios via Zeno.
Sie brauchen eine massgeschneiderte Beratung?
Buchen Sie ein kostenloses 30-minütiges Gespräch. Zeno koordiniert unabhängige, in Zypern zugelassene Advokaten und ICPAC-zugelassene Wirtschaftsprüfer und sendet innerhalb von 24 Stunden einen schriftlichen Leistungsumfang.
Kostenloses Gespräch buchen