Skip to main content

Resources · Zypern Compliance

DSGVO-Compliance für zyprische Unternehmen 2026: DSB, Meldung von Verletzungen & EU-Durchsetzung

Ein praxisnahes, auf 2026 aktualisiertes Betriebshandbuch für die DSGVO-Compliance innerhalb eines in Zypern gegründeten Unternehmens: Rechtsgrundlage, DSB-Auslöser, die 72-Stunden-Meldepflicht, VVT, DSFA, internationale Übermittlungen, Überschneidung mit NIS2 und die Durchsetzungsbilanz des zyprischen Kommissars.

Sergios Charalambous, Founder of Zeno — Cyprus and Athens Bar-admitted lawyer
Von Sergios CharalambousGeprüft 17 Min. Lesezeit

Founder von Zeno · in Zypern & Athen als Anwalt zugelassen · Gesellschafts- & Steuerrecht. Gemeinsam geprüft mit unabhängigen, in der zyprischen Anwaltskammer zugelassenen Advokaten und ICPAC-zugelassenen Wirtschaftsprüfern. Mindestens alle sechs Monate aktualisiert.

Inhaltsverzeichnis
  1. Warum die DSGVO für ein zyprisches Unternehmen wichtig ist
  2. Der Rechtsrahmen: DSGVO + N.125(I)/2018
  3. Verantwortlicher vs. Auftragsverarbeiter: was sind Sie?
  4. Die sechs Kernpflichten
  5. Wann brauchen Sie einen DSB?
  6. VVT, DSFA und das Verzeichnis nach Artikel 30
  7. Die 72-Stunden-Meldepflicht bei Verletzungen
  8. Internationale Übermittlungen nach Schrems II
  9. Cookies, Marketing und die ePrivacy-Ebene
  10. NIS2 und die Cybersicherheits-Ebene
  11. Durchsetzungsbilanz des zyprischen Kommissars
  12. Gründer-Checkliste: von null bis konform

Die DSGVO ist keine einmalige Papierübung, die man einmal abstempelt und dann vergisst. Für ein in Zypern gegründetes Unternehmen — selbst eines, dessen Kunden alle ausserhalb der EU sitzen — ist sie eine lebendige Pflicht ab dem ersten Tag, überwacht vom Büro des Kommissars für den Schutz personenbezogener Daten, mit Bussgeldern, die 4 % des weltweiten Umsatzes erreichen, und einer 72-Stunden-Uhr, die in dem Moment zu laufen beginnt, in dem jemand in Ihrem Team bemerkt, dass ein Laptop verschwunden ist. Dieser Leitfaden für 2026 führt durch das Recht, wie es in Zypern tatsächlich vor Ort gilt: wer einen DSB braucht, wie ein glaubwürdiges VVT aussieht, wie man mit Verletzungen und Übermittlungen umgeht, wo die neue NIS2-Cybersicherheitsebene hineinpasst, und wofür der zyprische Kommissar tatsächlich Bussgelder verhängt hat.

Der Artikel richtet sich an Gründer, Operations-Verantwortliche und Inhouse-Juristen zyprischer SaaS-, Fintech-, E-Commerce- und Dienstleistungsunternehmen. Er ist kein Ersatz für einen bei der zyprischen Anwaltskammer zugelassenen Advokaten oder einen ICPAC-zugelassenen Wirtschaftsprüfer — Zeno koordiniert diese unabhängigen Spezialisten, wenn namentliche Rechtsberatung erforderlich ist.

Warum die DSGVO für ein zyprisches Unternehmen wichtig ist

Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, „DSGVO“) gilt in Zypern seit dem 25. Mai 2018 unmittelbar. Zypern musste den materiellen Gehalt der DSGVO nicht umsetzen — als EU-Verordnung hat sie unmittelbare Wirkung — hat aber ein Umsetzungsgesetz erlassen, das Gesetz N.125(I)/2018, um die nationalen Öffnungsklauseln zu regeln und die Aufsichtsbehörde zu bestimmen. Die Aufsichtsbehörde ist das Büro des Kommissars für den Schutz personenbezogener Daten (der „Kommissar“), eine unabhängige verfassungsmässige Stelle mit Sitz in Nikosia.GDPR, Regulation (EU) 2016/679

Drei Dinge machen die DSGVO 2026 für zyprische Unternehmen besonders tragend:

  • Zypern ist ein EU-Rechtsraum. Der Grund, warum ein zyprisches Unternehmen attraktiv ist — EU-Passporting, Zugang zu EU-Banken, EU-Kundenverträge — ist derselbe Grund, weshalb das EU-Datenschutzrecht über jedem Geschäftsvorgang liegt.
  • Grenzüberschreitende B2B-Verträge verlangen sie. Fast jedes Beschaffungsformular von Unternehmen verlangt heute eine Verantwortlicher/Auftragsverarbeiter-Erklärung, einen DSB-Kontakt, eine Liste der Unterauftragsverarbeiter, einen SCC-Anhang und die Beantwortung eines Sicherheitsfragebogens. Ohne diese Unterlagen können Sie keine EU-Unternehmensverträge gewinnen.
  • Der zyprische Kommissar ist aktiv. Zypern hat seit 2018 jedes Jahr Durchsetzungsentscheidungen erlassen, darunter das aufsehenerregende Bussgeld von 925.000 € gegen das Überwachungsunternehmen WS WiSpear Systems Ltd im November 2021 sowie routinemässige Entscheidungen zu Cookies, Mitarbeiterüberwachung und Verletzungsmeldungen.

Drei Ebenen wirken parallel:

  1. DSGVO (Verordnung (EU) 2016/679). Der Kern. Unmittelbar anwendbar. Enthält alle materiellen Rechte und Pflichten.
  2. Zyprisches Gesetz N.125(I)/2018. Das Gesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Es legt das Alter der digitalen Einwilligung auf 14 fest, regelt die Verarbeitung im Beschäftigungskontext (Artikel 27), die Verarbeitung zu journalistischen und akademischen Zwecken (Artikel 29) sowie die Befugnisse und das Verfahren des Kommissars. Es fügt zyprusspezifische Verwaltungsbussgelder und Straftatbestände neben den DSGVO-Bussgeldern hinzu.Protection of Natural Persons Law N.125(I)/2018
  3. Die ePrivacy-Richtlinie (2002/58/EG) in der in Zypern durch das Gesetz zur Regulierung der elektronischen Kommunikation und Postdienste umgesetzten Fassung. Sie regelt Cookies, elektronisches Marketing und Verkehrsdaten.

Es können auch sektorspezifische Ebenen gelten: PSD2 für Zahlungen, MiFID II / EMIR für Wertpapierfirmen, der EU AI Act (in stufenweiser Anwendung bis 2026), der Digital Services Act für Online-Plattformen und NIS2 für die Cybersicherheit. Krypto-Unternehmen sollten auch unseren Leitfaden zur zyprischen CASP-/MiCA-Lizenz lesen — MiCA bringt eigene Kundendatenpflichten zusätzlich zur DSGVO mit sich.

Verantwortlicher vs. Auftragsverarbeiter: was sind Sie?

Fast jede DSGVO-Frage beginnt mit dieser Einordnung, denn die Pflichten unterscheiden sich.

RolleDefinition (Art. 4)Typische zyprische BeispieleWesentliche Pflichten
VerantwortlicherBestimmt die Zwecke und Mittel der Verarbeitung.SaaS-Unternehmen, das seine eigenen Kundenkonten verarbeitet; E-Commerce-Shop, der Kundenbestellungen hält; Arbeitgeber, der Personalakten hält.Rechtsgrundlage, Transparenz, DSFA, Verletzungsmeldung, DSB-Beurteilung, VVT, Übermittlungsmechanismus.
AuftragsverarbeiterVerarbeitet im Auftrag eines Verantwortlichen auf dokumentierte Weisung.Zyprischer Hosting-Anbieter, White-Label-SaaS, ausgelagerte Buchhaltung, Lohnbüro.Auftragsverarbeitungsvertrag nach Artikel 28 mit dem Verantwortlichen, Sicherheit, Kontrolle der Unterauftragsverarbeiter, eigenes VVT, Unterstützung des Verantwortlichen bei Betroffenenanfragen und Verletzungen.
Gemeinsam VerantwortlicheZwei oder mehr Verantwortliche legen gemeinsam Zwecke und Mittel fest.Co-Branding-Marketingkampagnen; Analytik-Partnerschaften; manche Plattform-/Verkäufer-Konstellationen.Vereinbarung über gemeinsame Verantwortlichkeit nach Artikel 26, deren wesentlicher Inhalt den betroffenen Personen zur Verfügung gestellt wird.

Ein zyprisches SaaS-Unternehmen ist fast immer Verantwortlicher für seine eigenen Mitarbeiter- und Interessentendaten und Auftragsverarbeiter für die Kundendaten, die seine Nutzer in die Plattform einspielen. Beide Rollen müssen dokumentiert werden.

Die sechs Kernpflichten

Reduziert man die Verordnung auf das Wesentliche, hat ein Verantwortlicher sechs operative Pflichten, die jedes Quartal zu erfüllen sind:

  1. Rechtsgrundlage & Transparenz. Bestimmen Sie für jede Verarbeitungstätigkeit eine Rechtsgrundlage nach Artikel 6 (Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe, berechtigte Interessen). Dokumentieren Sie sie. Veröffentlichen Sie eine Datenschutzerklärung, die den Artikeln 13/14 entspricht.
  2. Datenminimierung & Speicherbegrenzung. Erheben Sie nur, was Sie brauchen. Definieren und erzwingen Sie Aufbewahrungsfristen. Löschen Sie planmässig.
  3. Sicherheit. Artikel 32 — geeignete technische und organisatorische Massnahmen: Verschlüsselung, Zugriffskontrolle, MFA, Protokollierung, getestete Backups, Notfallpläne für Vorfälle.
  4. Sorgfaltsprüfung von Anbietern. Auftragsverarbeitungs- vertrag nach Artikel 28 mit jedem Auftragsverarbeiter; Liste der Unterauftragsverarbeiter; regelmässige Sicherheitsfragebögen.
  5. Betroffenenrechte. Verfahren zur Bearbeitung von Anfragen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch, mit einer Antwortfrist von einem Monat (bei komplexen Anfragen um zwei Monate verlängerbar).
  6. Rechenschaftspflicht. VVT, DSFA wo erforderlich, Schulungsnachweise, interne Richtlinien, Verletzungsregister. Sie müssen die Einhaltung nachweisen können, nicht nur behaupten (Artikel 5 Absatz 2).

Wann brauchen Sie einen DSB?

Artikel 37 DSGVO macht einen Datenschutzbeauftragten in drei Fällen verpflichtend:

  • Sie sind eine Behörde oder öffentliche Stelle (mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln).
  • Ihre Kerntätigkeiten bestehen in einer umfangreichen regelmässigen und systematischen Überwachung betroffener Personen.
  • Ihre Kerntätigkeiten bestehen in einer umfangreichen Verarbeitung besonderer Kategorien von Daten (Artikel 9) oder von Daten über strafrechtliche Verurteilungen (Artikel 10).

„Kerntätigkeiten“ schliessen die nachgeordnete Personal- oder Finanzverarbeitung aus. „Umfangreich“ ist qualitativ zu bestimmen (Volumen, geografische Reichweite, Dauer, Anzahl der betroffenen Personen) — die Leitlinien der Artikel-29-Gruppe / des EDSA nennen Faktoren statt Schwellenwerte.

Auch wenn nicht verpflichtend, ist die Benennung einer Datenschutz-Verantwortlichkeit (manchmal freiwillig als „DSB“ bezeichnet, manchmal als „Datenschutzkoordinator“, um das gesetzliche Regime der Artikel 38–39 zu vermeiden) für jedes zyprische Unternehmen im Enterprise-B2B-Bereich übliche Marktpraxis.

VVT, DSFA und das Verzeichnis nach Artikel 30

VVT (Artikel 30)

Das Verzeichnis von Verarbeitungstätigkeiten ist das mit Abstand wichtigste Dokument, das der Kommissar bei einer Prüfung verlangen wird. Es muss pro Verarbeitungstätigkeit auflisten:

  • Name und Kontaktdaten des Verantwortlichen (und ggf. des DSB).
  • Zwecke der Verarbeitung.
  • Kategorien betroffener Personen und personenbezogener Daten.
  • Kategorien von Empfängern (einschliesslich Unterauftragsverarbeiter und Empfänger in Drittländern).
  • Internationale Übermittlungen und die verwendeten Garantien.
  • Aufbewahrungsfristen.
  • Allgemeine Beschreibung der Sicherheitsmassnahmen (Artikel 32).

Die Ausnahme nach Artikel 30 Absatz 5 für Einrichtungen mit weniger als 250 Beschäftigten ist eng: Sie gilt nicht, wenn die Verarbeitung nicht nur gelegentlich erfolgt, besondere Kategorien von Daten umfasst oder die Rechte der betroffenen Personen gefährdet. Fast kein real operierendes Unternehmen erfüllt alle drei Ausnahmebedingungen, sodass das VVT in der Praxis universell ist.

DSFA (Artikel 35)

Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn die Verarbeitung „voraussichtlich ein hohes Risiko“ für die betroffenen Personen birgt. Artikel 35 Absatz 3 nennt drei automatische Auslöser (systematische und umfassende automatisierte Entscheidungsfindung mit Rechtswirkung; umfangreiche Verarbeitung besonderer Kategorien von Daten; systematische Überwachung öffentlich zugänglicher Bereiche). Der zyprische Kommissar hat zudem eine nationale Liste von Verarbeitungsvorgängen veröffentlicht, die stets eine DSFA erfordern — darunter umfangreiche biometrische Identifizierung, Mitarbeiterüberwachung über gewöhnliche Zugriffsprotokolle hinaus und umfassende KI-Profilierung.

Die 72-Stunden-Meldepflicht bei Verletzungen

Artikel 33 verpflichtet den Verantwortlichen, dem zyprischen Kommissar jede Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden, nachdem ihm diese bekannt geworden ist, zu melden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Erfolgt die Meldung später als nach 72 Stunden, muss die Meldung die Verzögerung begründen.Article 33, GDPR Regulation (EU) 2016/679

Wenn die Verletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, verlangt Artikel 34 zudem, dass der Verantwortliche die betroffenen Personen unverzüglich in klarer und einfacher Sprache benachrichtigt. Auftragsverarbeiter benachrichtigen ihre Verantwortlichen unverzüglich — typischerweise mit einem vertraglichen SLA von 24–48 Stunden im Auftragsverarbeitungsvertrag.

Führen Sie ein schriftliches Verletzungsregister (Artikel 33 Absatz 5) über jede Verletzung des Schutzes personenbezogener Daten, einschliesslich derjenigen, die Sie als nicht meldepflichtig eingestuft haben. Der Kommissar verlangt bei der Prüfung Einsicht, und das Fehlen eines solchen Registers ist selbst ein Compliance-Befund.

Internationale Übermittlungen nach Schrems II

Kapitel V (Artikel 44–50) regelt die Übermittlung personenbezogener Daten ausserhalb des EWR. Nach dem Schrems-II-Urteil des EuGH (C-311/18, Juli 2020) reichen SCC allein nicht mehr aus, wenn das Recht des Bestimmungslands öffentlichen Stellen unverhältnismässige Überwachungsbefugnisse einräumt — ein Transfer Impact Assessment (TIA) und, wo nötig, zusätzliche Massnahmen (Verschlüsselung, Pseudonymisierung, vertragliche Beschränkungen, kein Klartextzugriff) sind erforderlich.

Das Werkzeug für 2026:

  • Angemessenheitsbeschlüsse. Übermittlungen in Länder mit einem Angemessenheitsbeschluss (Vereinigtes Königreich, Schweiz, Israel, Japan, Südkorea, Neuseeland, Kanada kommerziell, Andorra, Argentinien, Färöer, Guernsey, Isle of Man, Jersey, Uruguay) erfordern keinen weiteren Mechanismus.
  • EU-US Data Privacy Framework (DPF). Angenommen am 10. Juli 2023. Erlaubt Übermittlungen an DPF-zertifizierte US-Importeure wie in einen angemessenen Rechtsraum. Überprüfen Sie die Zertifizierung des Importeurs auf der Liste dataprivacyframework.gov, bevor Sie sich darauf stützen.
  • Standardvertragsklauseln (SCC von 2021). Die modularen SCC der Kommission, von beiden Parteien unterzeichnet, mit dem passenden Modul (1 C2C, 2 C2P, 3 P2P, 4 P2C) und ausgefüllten Anhängen I–III. Ergänzen Sie ein TIA, das das innerstaatliche Recht des Importeurs abdeckt (FISA 702, EO 12333 für die USA; ähnliche Überwachungsrahmen für andere Bestimmungsländer).
  • Verbindliche interne Datenschutzvorschriften (BCR).Konzerninterner Mechanismus — aufwendig, von einer federführenden Aufsichtsbehörde genehmigt, lohnenswert für globale Gruppen mit häufigen konzerninternen Übermittlungen.
  • Ausnahmen nach Artikel 49. Ausdrückliche Einwilligung, Vertragserforderlichkeit, wichtige Gründe des öffentlichen Interesses. Eng, als letztes Mittel.

Dokumentieren Sie den gewählten Mechanismus pro Übermittlung im VVT, fügen Sie die SCC und das TIA der Anbieterakte bei und aktualisieren Sie das TIA mindestens jährlich oder bei wesentlicher Änderung.

Cookies, Marketing und die ePrivacy-Ebene

Die ePrivacy-Richtlinie (2002/58/EG) in der in Zypern durch das Gesetz zur Regulierung der elektronischen Kommunikation und Postdienste umgesetzten Fassung regelt Cookies, ähnliche Tracking-Technologien und elektronisches Direktmarketing. Die Regeln liegen über der DSGVO, nicht an ihrer Stelle.ePrivacy Directive 2002/58/EC

  • Nicht notwendige Cookies brauchen vorherige Einwilligung. Analytik, Marketing, Social-Media-Pixel, Ad-Tech, Fingerprinting. Unbedingt erforderliche Cookies (Sitzung, Sicherheit, Lastausgleich) nicht.
  • Alles ablehnen muss genauso prominent sein wie alles akzeptieren. Der Bericht der EDSA-Cookie-Banner-Taskforce (Januar 2023) und die Leitlinien des zyprischen Kommissars bestätigen dies beide.
  • Keine vorangekreuzten Kästchen, keine gebündelte Einwilligung, keine Einwilligung durch Scrollen.
  • Granulare Kontrolle. Die Einwilligung sollte kategorienweise erfolgen; ein einziges „OK“ für alle nicht notwendigen Kategorien wird angefochten.
  • Cookie-Audit. Der zyprische Kommissar hat Sweep-Prüfungen zyprischer Websites durchgeführt und Bussgelder für nicht konforme Banner verhängt — typische Strafen 5.000–15.000 €.

Für E-Mail- und SMS-Marketing wird das Soft-Opt-in für Bestandskunden (ähnlich dem britischen PECR-Regime) anerkannt, aber B2C-Kaltakquise erfordert eine vorherige Opt-in-Einwilligung. B2B-Marketing an Unternehmens-E-Mail-Adressen kann sich auf berechtigte Interessen mit einer klaren Opt-out-Möglichkeit stützen, vorbehaltlich lokaler Nuancen.

NIS2 und die Cybersicherheits-Ebene

Die Richtlinie (EU) 2022/2555 („NIS2“) ersetzt die ursprüngliche NIS-Richtlinie und erweitert die Zahl der EU-Unternehmen, die einem formellen Regime für Cybersicherheit und Vorfallmeldung unterliegen, drastisch. Zypern hat NIS2 durch das Gesetz über die Sicherheit von Netz- und Informationssystemen (Änderungsgesetz) 60(I)/2025, veröffentlicht am 25. April 2025, umgesetzt, das das ursprüngliche Gesetz 89(I)/2020 ändert. Die zuständige zyprische Behörde ist die Digital Security Authority (DSA), die unter dem Kommissar für Kommunikation tätig ist.NIS2 Directive (EU) 2022/2555; Cyprus Law 60(I)/2025 amending Law 89(I)/2020

NIS2 gilt für mittlere und grosse Einrichtungen in:

  • Wesentliche Einrichtungen — Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, digitale Infrastruktur (TLD-Registrierungsstellen, DNS, Cloud-Anbieter, Rechenzentren, CDNs, Vertrauensdienste), IKT-Dienstleistungsmanagement, öffentliche Verwaltung, Raumfahrt.
  • Wichtige Einrichtungen — Post, Abfall, Chemikalien, Lebensmittel, verarbeitendes Gewerbe (Medizinprodukte, Computer, Elektronik, Maschinen, Kraftfahrzeuge), digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke), Forschung.

Viele zyprische SaaS-Unternehmen fallen in die Kategorie der „wichtigen Einrichtung“ (Online-Marktplatz, Cloud-Computing, Managed Services). Zu den NIS2-Pflichten gehören:

  • Risikomanagementmassnahmen (Artikel 21) zu Richtlinien, Behandlung von Vorfällen, Geschäftskontinuität, Lieferkette, Schwachstellenbehandlung, Verschlüsselung, MFA.
  • Frühwarnmeldung eines Vorfalls innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb von 1 Monat.
  • Verantwortlichkeit des Leitungsorgans — Geschäftsführer können persönlich für Verstösse haftbar gemacht werden.
  • Registrierung bei der zuständigen Behörde.

Die Überschneidung von DSGVO und NIS2 ist beabsichtigt, aber nur teilweise: Ein Sicherheitsvorfall, der personenbezogene Daten betrifft, löst beide Uhren aus (Artikel 33 DSGVO und das 24/72-Stunden-Regime von NIS2). Erstellen Sie ein einziges Incident-Response-Runbook, das beide Meldungen speist.

Durchsetzungsbilanz des zyprischen Kommissars

Das Büro des Kommissars veröffentlicht Jahresberichte und Einzelentscheidungen. Wiederkehrende Themen seit 2018:

  • Höchstes öffentlich bekanntes Bussgeld: 925.000 € gegen das Überwachungsunternehmen WS WiSpear Systems Ltd im November 2021 (der Larnaca-Fall des „Spionage-Vans“) wegen der rechtswidrigen Erhebung von MAC- und IMSI-Gerätekennungen ohne Einwilligung, unter Verstoss gegen die Grundsätze der Rechtmässigkeit, der Verarbeitung nach Treu und Glauben und der Transparenz (Artikel 5) — eines der höchsten DSGVO-Bussgelder, das der zyprische Kommissar bislang verhängt hat.Office of the Commissioner for Personal Data Protection, decision on WS WiSpear Systems Ltd (November 2021)
  • Cookie-Banner-Sweeps: wiederkehrende Entscheidungen im Bereich von 5.000–20.000 € gegen Websites mit irreführenden Cookie-Bannern (kein Alles-ablehnen, vorangekreuzte Kästchen, vage Zwecke).
  • Mitarbeiterüberwachung: Videoüberwachung ohne verhältnismässige Rechtfertigung, Audioaufzeichnung von Mitarbeitergesprächen ohne Rechtsgrundlage, übermässige Geolokalisierungsverfolgung von Firmenfahrzeugen — Bussgelder und Anordnungen zur Durchsetzung.
  • Versäumnisse beim Auskunftsrecht: Versäumnis, innerhalb der Monatsfrist zu antworten, oder Bereitstellung geschwärzter/unvollständiger Antworten.
  • Versäumnisse bei der Verletzungsmeldung: Meldung ausserhalb der 72-Stunden-Frist ohne Begründung; Versäumnis, betroffene Personen zu benachrichtigen, wenn die Schwelle für Artikel 34 erreicht war.

Gründer-Checkliste: von null bis konform

Praktische Reihenfolge für ein neu gegründetes zyprisches Unternehmen mit echtem Geschäftsbetrieb. Kombinieren Sie dies mit dem umfassenderen Gründungsablauf in unserem Leitfaden zur Unternehmensgründung in Zypern und den personalbezogenen Fragen in Ihren ersten Mitarbeiter in Zypern einstellen.

  1. Erfassen Sie Ihre Daten. Kunden, Mitarbeiter, Interessenten, Lieferanten, Website-Besucher. Listen Sie Systeme auf (CRM, Abrechnung, HRIS, Helpdesk, Analytik) und wo jedes System Daten geografisch speichert.
  2. Ordnen Sie die Rollen pro System ein. Verantwortlicher, Auftragsverarbeiter oder gemeinsam. Dies bestimmt die nachgelagerte Dokumentation.
  3. Bestimmen Sie die Rechtsgrundlage pro Verarbeitungstätigkeit. Verlassen Sie sich nicht standardmässig auf die Einwilligung — sie ist die schwächste Grundlage und am leichtesten anzufechten. Vertrag oder berechtigte Interessen passen im B2B-Bereich meist besser.
  4. Erstellen Sie das VVT. Eine Tabelle reicht für den Anfang. Halten Sie es lebendig.
  5. Veröffentlichen Sie eine Datenschutzerklärung, die die Artikel 13/14 abdeckt. Einfache Sprache, bei Bedarf gestaffelt.
  6. Schliessen Sie Auftragsverarbeitungsverträge nach Artikel 28 mit jedem Auftragsverarbeiter ab. Bestehen Sie auf EU-Standard-Vertragsbedingungen; lehnen Sie anbieterspezifische Entwürfe ab, die die Kontrolle der Unterauftragsverarbeiter verwässern.
  7. Entscheiden Sie über einen DSB (oder dokumentieren Sie, warum keiner erforderlich ist). Halten Sie die Beurteilung in jedem Fall schriftlich fest.
  8. Richten Sie ein Incident-Response-Runbook ein. Ein einziger Bereitschaftsdienst, der die Fristen nach Artikel 33 DSGVO und die 24/72-Stunden-Fristen von NIS2 abdeckt.
  9. Konfigurieren Sie die Übermittlungen. SCC + TIA in der Akte für jedes nicht angemessene Bestimmungsland; DPF-Zertifizierung für US-Vertragspartner überprüft.
  10. Cookie-Einwilligung. Gleichrang von Alles-ablehnen, granulare Kategorien, Einwilligung mit Zeitstempel und Version protokolliert.
  11. Schulen Sie. Eine kurze, jährliche, aufgezeichnete Sitzung für alle Mitarbeiter mit rollenspezifischen Ergänzungen für Technik, Vertrieb und Personal.
  12. Prüfen Sie jährlich erneut. Spielen Sie das Verletzungs-Runbook im Tabletop durch, aktualisieren Sie das TIA, gehen Sie das VVT erneut durch. Fallen Ihre Sektoren in den Anwendungsbereich von NIS2, legen Sie die NIS2-Massnahmen obendrauf.

Häufig gestellte Fragen

Gilt die DSGVO für ein zyprisches Unternehmen, das nur Kunden ausserhalb der EU hat?
Wenn das Unternehmen in Zypern niedergelassen ist und personenbezogene Daten im Rahmen dieser Niederlassung verarbeitet, gilt die DSGVO unabhängig davon, wo sich die betroffenen Personen befinden (Artikel 3 Absatz 1 — der Niederlassungstest). Ein zyprisches Unternehmen, das ausschliesslich Daten von US-Kunden auf in Zypern gehosteten Servern verarbeitet, fällt vollständig in den Anwendungsbereich. Der extraterritoriale Artikel 3 Absatz 2 ist nur dann relevant, wenn ein Nicht-EU-Unternehmen gezielt EU-Ansässige anspricht.
Wann ist ein Datenschutzbeauftragter (DSB) nach Artikel 37 verpflichtend?
Drei Auslöser: (a) eine Behörde oder öffentliche Stelle; (b) Kerntätigkeiten, die in einer umfangreichen regelmässigen und systematischen Überwachung betroffener Personen bestehen (analytiklastiges SaaS, Ad-Tech, Standort-Apps); oder (c) Kerntätigkeiten, die in einer umfangreichen Verarbeitung besonderer Kategorien von Daten bestehen (Gesundheit, biometrisch, strafrechtlich usw.). Die meisten gewöhnlichen B2B-SaaS-Unternehmen sind NICHT verpflichtet, einen DSB zu benennen, aber eine freiwillige Benennung ist oft ratsam und muss dann denselben Unabhängigkeitsregeln genügen.
Was ist die 72-Stunden-Meldepflicht bei Verletzungen?
Nach Artikel 33 muss ein Verantwortlicher die Aufsichtsbehörde (in Zypern das Büro des Kommissars für den Schutz personenbezogener Daten) innerhalb von 72 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, über diese unterrichten, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die betroffenen Personen. Wenn die Verletzung voraussichtlich zu einem hohen Risiko führt, verlangt Artikel 34, dass Sie auch die betroffenen Personen unverzüglich benachrichtigen. Auftragsverarbeiter müssen ihren Verantwortlichen unverzüglich unterrichten.
Ist N.125(I)/2018 von der DSGVO getrennt, und was fügt es hinzu?
Die DSGVO (Verordnung (EU) 2016/679) ist in Zypern unmittelbar anwendbar. N.125(I)/2018 (das Gesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) ist das zyprische Umsetzungsgesetz. Es regelt nationale Öffnungsklauseln: das Alter der digitalen Einwilligung (14 in Zypern), die Verarbeitung im Beschäftigungskontext, die Verarbeitung zu journalistischen und akademischen Zwecken, die Rolle und Befugnisse des Kommissars sowie straf- und verwaltungsrechtliche Sanktionen zusätzlich zu den DSGVO-Bussgeldern.
Kann ich 2026 noch personenbezogene Daten an einen in den USA ansässigen Anbieter übermitteln?
Ja, aber nur mit einem gültigen Übermittlungsmechanismus. Seit dem 10. Juli 2023 bietet das EU-US Data Privacy Framework (DPF) eine Angemessenheitsgrundlage für Übermittlungen an DPF-zertifizierte US-Importeure. Für nicht zertifizierte Importeure sind nach wie vor Standardvertragsklauseln (SCC) zuzüglich eines dokumentierten Transfer Impact Assessment (TIA) erforderlich. Die Schrems-II-Rechtsprechung gilt weiterhin — ein TIA muss das US-Überwachungsrecht (FISA 702, EO 12333) und etwaige zusätzliche Massnahmen (Verschlüsselung, Pseudonymisierung, vertragliche Beschränkungen) berücksichtigen.
Brauche ich in Zypern ein separates Cookie-Banner-Gesetz?
Die Cookie-Einwilligung wird durch die ePrivacy-Richtlinie 2002/58/EG geregelt, die in Zypern durch das Gesetz zur Regulierung der elektronischen Kommunikation und Postdienste umgesetzt wurde. Nicht notwendige Cookies und ähnliche Tracking-Technologien erfordern eine vorherige, freiwillige, spezifische, informierte und unmissverständliche Einwilligung — derselbe Massstab wie bei der DSGVO-Einwilligung. Alles ablehnen muss genauso einfach sein wie alles akzeptieren (EDSA-Leitlinien 03/2022). Der Kommissar hat spezifische Leitlinien zu Cookies herausgegeben und Website-Überprüfungen durchgeführt.
Und NIS2? Ist das von der DSGVO getrennt?
Ja. Bei NIS2 (Richtlinie (EU) 2022/2555) geht es um die Sicherheit von Netz- und Informationssystemen und die Meldung von Vorfällen, nicht um den Datenschutz. Zypern hat NIS2 durch das Gesetz über die Sicherheit von Netz- und Informationssystemen (Änderungsgesetz) 60(I)/2025 (veröffentlicht am 25. April 2025) umgesetzt, das das ursprüngliche Gesetz 89(I)/2020 ändert. NIS2 gilt für mittlere und grosse Einrichtungen in wesentlichen und wichtigen Sektoren (digitale Infrastruktur, IKT-Dienstleistungsmanagement, Online-Plattformen usw.) und überschneidet sich mit den Sicherheitspflichten nach Artikel 32 DSGVO, geht aber darüber hinaus. Viele SaaS-Unternehmen fallen in die Kategorie der „wichtigen Einrichtung“.
Wie hoch sind die maximalen DSGVO-Bussgelder, und hat der zyprische Kommissar welche verhängt?
DSGVO-Bussgelder erreichen für die schwersten Verstösse den höheren der Beträge von 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Artikel 83 Absatz 5) und 10 Mio. € oder 2 % für weniger schwere Verstösse (Artikel 83 Absatz 4). Das Büro des Kommissars für den Schutz personenbezogener Daten in Zypern hat zahlreiche Entscheidungen erlassen: Das höchste öffentlich bekannte Verwaltungsbussgeld betrug 925.000 € gegen das Überwachungsunternehmen WS WiSpear Systems Ltd im November 2021 (der Larnaca-Fall des „Spionage-Vans“) wegen der rechtswidrigen Erhebung von MAC- und IMSI-Kennungen ohne Einwilligung; routinemässige Bussgelder für Verstösse bei Cookie-Bannern und Verletzungsmeldungen liegen im Bereich von 5.000–80.000 €.
Wer braucht eigentlich ein Verzeichnis von Verarbeitungstätigkeiten (VVT)?
Artikel 30 verlangt ein VVT von jedem Verantwortlichen oder Auftragsverarbeiter mit 250 oder mehr Beschäftigten, oder, unabhängig von der Grösse, wenn die Verarbeitung nicht nur gelegentlich erfolgt, besondere Kategorien von Daten umfasst oder voraussichtlich ein Risiko für die betroffenen Personen birgt. In der Praxis führt fast jedes zyprische SaaS-, Fintech-, E-Commerce- oder personalverarbeitende Unternehmen ein VVT — die Ausnahme „nicht gelegentlich“ erfasst die regelmässige Geschäftsverarbeitung. Der Kommissar fragt beim ersten Prüfbesuch nach dem VVT.

About the author

Sergios Charalambous, Founder of Zeno — Cyprus and Athens Bar-admitted lawyer

Sergios Charalambous

Founder · Zeno

Cyprus & Athens Bar-admitted lawyer specialising in corporate and tax law. Founder of Zeno. Cyprus Bar & Athens Bar admitted. LL.B., two LL.M.s (Distinction) from the National and Kapodistrian University of Athens, plus a Professional Diploma in Tax Law (Distinction). All articles are reviewed jointly with independent Cyprus Bar–licensed advocates and ICPAC–licensed accountants.

· Cyprus Bar Association· Athens Bar Association· Updated: Juni 2026

Disclaimer: This article provides general information on Cyprus law and tax practice as of the update date shown above. It is not legal or tax advice and should not be relied upon for specific transactions. Cyprus tax rules change from time to time; we review and update every article at least every six months. For advice on your situation, please book a free 30-minute call with Sergios via Zeno.

Sie brauchen eine massgeschneiderte Beratung?

Buchen Sie ein kostenloses 30-minütiges Gespräch. Zeno koordiniert unabhängige, in Zypern zugelassene Advokaten und ICPAC-zugelassene Wirtschaftsprüfer und sendet innerhalb von 24 Stunden einen schriftlichen Leistungsumfang.

Kostenloses Gespräch buchen