AI-Beratung

Das EU-AI-Gesetz in Zypern: Was Unternehmen vor August 2026 tatsächlich tun müssen

Vincent Wahidi
Vincent Wahidi · 7 Min. Lesezeit
Das EU-AI-Gesetz in Zypern: Was Unternehmen vor August 2026 tatsächlich tun müssen

Das EU-AI-Gesetz ist für zyprische Unternehmen kein abstraktes Brüsseler Problem. Das Land hat einen benannten nationalen Koordinator, eine Taskforce, die seit 2025 tagt, und eine öffentliche Zusage, bis August 2026 eine nationale AI-Regulierungs-Sandbox einzurichten, im selben Monat, in dem die Hochrisikopflichten und ihre Strafen in Kraft treten. Wenn Sie AI bauen, kaufen oder einsetzen, die Menschen berührt, ist dieses Datum nah genug, um jetzt danach zu planen, nicht später.

Wer tatsächlich betroffen ist, in einfachen Worten

Das Gesetz ordnet jedes AI-System in vier Risikostufen ein, und nur zwei davon erfordern echte Arbeit. Praktiken mit inakzeptablem Risiko, etwa staatliches Social-Scoring und manipulative Systeme, die Schaden anrichten, sind seit dem 2. Februar 2025 vollständig verboten. Software mit minimalem Risiko, die die meisten gewöhnlichen Unternehmenswerkzeuge abdeckt, bringt überhaupt keine neuen Pflichten mit sich.

Die Stufen, die zählen, liegen dazwischen. Systeme mit begrenztem Risiko, darunter die meisten Chatbots und Empfehlungswerkzeuge, tragen eine Transparenzpflicht: Informieren Sie die Nutzer, wenn sie mit einem Bot sprechen. Hochrisikosysteme tragen die schweren Pflichten, Dokumentation, Protokollierung, menschliche Aufsicht und eine Konformitätsbewertung vor der Inbetriebnahme, und genau dorthin fließt das Compliance-Budget. Ein System gilt als hochrisikoreich, wenn es eine Sicherheitskomponente eines bereits regulierten Produkts ist oder wenn es in einem der in Anhang III aufgeführten Bereiche tätig ist: Einstellung, Zugang zu Bildung, Kreditwürdigkeitsprüfung und wesentliche Finanzdienstleistungen, wesentliche öffentliche Dienste, Strafverfolgung, Migration oder Rechtspflege. Die Stufen und die Bußgeldstruktur haben wir ausführlicher in Das EU-AI-Gesetz: Was es tatsächlich für Unternehmen bedeutet, die AI versenden behandelt; dieser Beitrag konzentriert sich darauf, was ein zyprisches Unternehmen konkret tun muss.

Die zyprischen Institutionen, die das jetzt bearbeiten

Zypern hat einen nationalen Koordinator für das AI-Gesetz benannt: das Stellvertretende Ministerium für Forschung, Innovation und digitale Politik. Das ist die Stelle, an die sich ein zyprisches Unternehmen bei nationalen Umsetzungsfragen letztlich wenden wird, und diejenige, die man im Blick behalten sollte, wenn sich die Frist im August 2026 nähert und lokale Leitlinien erscheinen (Mondaq).

2025 wurde eine nationale AI-Taskforce eingerichtet, geleitet vom Chief Scientist Demetris Skourides, um den Ansatz des Landes über die Ministerien hinweg zu koordinieren. Zypern hat sich außerdem verpflichtet, bis August 2026 eine nationale AI-Regulierungs-Sandbox aufzubauen, eine beaufsichtigte Umgebung, in der Unternehmen, insbesondere kleinere ohne eigene Rechtsabteilung, ein AI-System vor dem vollständigen Aufbau gegen die Anforderungen des Gesetzes testen können (Chambers and Co; Global Legal Insights, Cyprus AI chapter). Nichts davon ändert das zugrunde liegende EU-Recht, aber es bedeutet, dass ein zyprisches Unternehmen einen konkreten lokalen Koordinator und mit der Zeit einen Sandbox-Weg hat, um Compliance zu testen, statt im luftleeren Raum zu raten.

Eine praktische Compliance-Abfolge

Verzichten Sie auf den Compliance-Ordner-Ansatz. Durchlaufen Sie stattdessen diese Abfolge, in dieser Reihenfolge, denn jeder Schritt baut auf dem vorherigen auf.

  1. Inventarisieren Sie jedes AI-System, das Sie bauen oder kaufen. Erfassen Sie die offensichtlichen (einen Chatbot, ein Bewertungswerkzeug) und die leisen: Funktionen, die ein Anbieter in Ihr CRM, Ihre Buchhaltungsplattform oder Ihre HR-Software eingebaut hat und die jetzt eine automatisierte Empfehlung abgeben. Sie können nicht klassifizieren, was Sie nicht aufgelistet haben. Gehen Sie Abteilung für Abteilung durch, statt sich auf die eigene Liste der IT zu verlassen, denn das neue Personalisierungswerkzeug des Marketingteams oder die neue Rechnungsabgleichfunktion der Finanzabteilung wird intern selten als „AI" gekennzeichnet, auch wenn es dem Gesetz egal ist, wie Ihr Team es nennt.
  2. Ordnen Sie jedes System einer Risikostufe zu. Nehmen Sie es mit Anhang III genau. Wenn ein System mitentscheidet, wer eingestellt wird, wer einen Kredit bekommt oder wer eine Leistung erhält, behandeln Sie es als hochrisikoreich, bis Sie das Gegenteil zeigen können. Ist der Zweck eines Systems wirklich mehrdeutig, holen Sie eine schriftliche Einschätzung ein, statt zu raten; die Kosten einer kurzen rechtlichen Prüfung sind gering gegenüber den Kosten einer falschen Einschätzung.
  3. Dokumentieren Sie, was Sie finden. Bei allem Hochrisikoreichen bedeutet das technische Dokumentation, Daten-Governance-Aufzeichnungen, die zeigen, was die Trainings- und Eingabedaten sind und woher sie stammen, sowie Protokollierung, mit der Sie nachvollziehen können, wie eine Entscheidung zustande kam. Schreiben Sie das während des Bauens auf, nicht erst, wenn eine Behörde danach fragt. Eine Dokumentation nachträglich an ein System anzuflanschen, das seit einem Jahr live ist, ist langsamer und ungenauer als die Erinnerung eines Kollegen daran, wie es gebaut wurde.
  4. Bauen Sie menschliche Aufsicht ein. Eine benannte Person muss in der Lage sein, das System zu verstehen, zu übersteuern und zu stoppen. Das muss eine echte, ins Produkt eingebaute Fähigkeit sein, kein am Ende hinzugefügtes Kästchen zum Ankreuzen. Wenn Ihr Team nicht in einfachen Worten beschreiben kann, wie jemand tatsächlich eingreifen würde, wenn das System falschliegt, ist die Aufsicht noch nicht real.
  5. Benennen Sie eine verantwortliche Person. Jedes Hochrisikosystem braucht eine Person, die dafür geradesteht. Compliance ohne Verantwortlichen passiert nicht; sie verläuft im Sand, bis ein Audit oder ein Vorfall die Frage erzwingt. Diese Person muss keine Juristin sein; sie muss diejenige sein, die tatsächlich bemerken würde, wenn sich das System falsch zu verhalten beginnt.
  6. Bereiten Sie Konformitätsbewertung und Registrierung vor. Ein Hochrisikosystem braucht vor dem Livegang eine Konformitätsbewertung und einen Eintrag in der EU-Datenbank. Bauen Sie den Zeitplan dafür jetzt in Ihre Projektplanung ein, statt ihn als Formalität für die letzte Woche zu behandeln; bei einem System, das bereits produktiv läuft, planen Sie die Bewertung als eigenständiges Arbeitspaket, nicht als nachträglichen Zusatz zum nächsten Feature-Release.

Was zyprische KMU in diesem Quartal tun sollten

Die meisten zyprischen Unternehmen betreiben keine hochrisikoreiche AI, und der ehrliche erste Schritt ist, das zu bestätigen, nicht anzunehmen. Ein zyprisches KMU sollte in diesem Quartal:

  • Den obigen Inventarisierungsschritt gründlich durchführen, einschließlich AI-Funktionen, die in bereits bezahlter Drittanbieter-Software eingebettet sind.
  • Die Geschäftsbedingungen jedes AI-Anbieters lesen, auf den Sie sich stützen. Dessen Pflichten nach dem Gesetz heben Ihre eigenen als Betreiber nicht auf.
  • Leitlinien des Stellvertretenden Ministeriums für Forschung, Innovation und digitale Politik als nationalem Koordinator im Blick behalten, ebenso die Eröffnung der Sandbox, da sie sich teilweise an Unternehmen Ihrer Größe richtet.
  • Den 2. August 2026 als verbindliche Arbeitsfrist für alles behandeln, was in die Hochrisikostufe fällt, und die Dokumentation jetzt beginnen, solange das System noch klein und die Nachrüstung günstig ist.

Für Unternehmen ohne Hochrisiko-Berührungspunkte ist das ein leichtes Quartalspensum. Für jene mit einem System, das Einstellung, Kredit oder einen regulierten Sektor berührt, ist es echte Arbeit, und ein früher Start macht den Unterschied zwischen einer Dokumentationsübung und einer Hetzjagd.

Wo Engineering und Beratung helfen

Ihre Systeme den Risikostufen des Gesetzes zuzuordnen, die Dokumentation aufzubauen, die ein Hochrisikosystem braucht, und einen funktionierenden Weg für menschliche Aufsicht direkt ins Produkt einzubauen, genau das ist die Art Arbeit, die unsere Praxis für AI-Beratung in Zypern leistet. Das von Anfang an einzubauen ist leichter, als es nachträglich an ein bereits laufendes System anzuflanschen.

Warum ein kleiner lokaler Markt nicht weniger Risiko bedeutet

Es ist verlockend anzunehmen, dass ein kleines zyprisches Unternehmen, weit weg von Brüssel und ohne bekannten Namen, außerhalb der eigentlichen Aufmerksamkeit des Gesetzes steht. Das ist eine falsche Lesart davon, wie die Pflichten greifen. Das Gesetz richtet sich danach, was ein System tut, nicht danach, wie groß das Unternehmen ist, das es betreibt. Eine zehnköpfige Firma in Limassol, die ein Recruiting-Werkzeug eines Drittanbieters zur Lebenslaufprüfung einsetzt, betreibt ein Hochrisikosystem genauso wie ein multinationaler Konzern und trägt die Betreiberpflichten unabhängig von der Mitarbeiterzahl. Die geringe Größe Zyperns wirkt auch in die andere Richtung: Ein nationaler Koordinator, eine Taskforce und eine kommende Sandbox bedeuten, dass lokale Leitlinien hier greifbarer sind als in einem größeren Mitgliedstaat, in dem ein kleines Unternehmen kaum Gehör finden würde. Nutzen Sie diesen Zugang, statt anzunehmen, das Gesetz gelte für Sie nicht.

Der Imbiss

Zypern wartet nicht darauf, dass Brüssel Anweisungen ohne lokale Ebene herunterreicht. Es gibt einen benannten Koordinator, eine Taskforce und eine Sandbox-Zusage, alle auf dasselbe Datum im August 2026 ausgerichtet wie der Rest der EU. Inventarisieren Sie, was Sie betreiben, klassifizieren Sie es ehrlich gegen Anhang III, und dokumentieren Sie die Systeme, die in die Hochrisikostufe fallen. Für die meisten Unternehmen ist das ein überschaubares Arbeitspaket. Für jene, bei denen das nicht der Fall ist, gilt: Je früher es beginnt, desto weniger kostet es.

Vincent Wahidi

Autor

Vincent Wahidi is the director of Encelyte, a computer engineer who builds production AI, automation, and custom software for enterprises across Cyprus and the wider region. He writes the strategy, cost and decision-maker pieces himself; the practical how-to guides are curated under the five mission-cat bylines below.

Häufig gestellte Fragen

Ist mein Chatbot nach dem AI-Gesetz hochrisikoreich?

In der Regel nicht. Ein Chatbot, der Produktfragen beantwortet oder Support-Tickets bearbeitet, fällt in die Stufe des begrenzten Risikos, bei der die einzige Pflicht darin besteht, die Nutzer darüber zu informieren, dass sie mit einem Bot sprechen. Derselbe Chatbot wird hochrisikoreich, wenn er umfunktioniert wird, um Stellenbewerber zu überprüfen, die Kreditwürdigkeit einzuschätzen oder eine Entscheidung in einem der in Anhang III aufgeführten Bereiche zu treffen. Prüfen Sie, was das System entscheidet, nicht, wie es genannt wird.

Welche Frist gilt für das EU-AI-Gesetz in Zypern tatsächlich?

Verbotene Praktiken sind seit dem 2. Februar 2025 untersagt, und die Pflichten für AI-Modelle mit allgemeinem Verwendungszweck gelten seit dem 2. August 2025. Das Datum, das für die meisten zyprischen Unternehmen zählt, ist der 2. August 2026, wenn die Hochrisikopflichten und die dazugehörigen Strafen in Kraft treten. Hochrisiko-AI, die in bereits regulierte Produkte eingebettet ist (Medizinprodukte, Maschinen), hat bis zum 2. August 2027 Zeit.

Welche Strafen drohen bei Nichteinhaltung?

Der Einsatz eines verbotenen AI-Systems kann bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes kosten, je nachdem, welcher Betrag höher ist. Ein Verstoß gegen die Hochrisikopflichten kann bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes betragen. Die Weitergabe falscher oder irreführender Informationen an Regulierungsbehörden kann bis zu 7,5 Millionen Euro oder 1 Prozent betragen. Das sind Obergrenzen, die sich am Verstoß bemessen, keine Pauschale.

Muss ich eigens einen AI-Compliance-Beauftragten einstellen?

Nicht zwingend eine Neueinstellung, aber Sie brauchen für jedes Hochrisikosystem eine benannte verantwortliche Person, die für dessen Dokumentation, Überwachung und menschliche Aufsicht geradesteht. Bei einem kleinen oder mittleren zyprischen Unternehmen übernimmt diese Rolle oft eine bestehende Führungskraft aus Betrieb, Recht oder Technik, keine neue Abteilung.

Als Nächstes lesen

Staatliche Förderungen für Digitalisierung und AI in Zypern: der Leitfaden 2026

Haben Sie ein Problem, das es zu lösen lohnt?

Sagen Sie uns, was Sie bauen oder reparieren. Wir antworten innerhalb eines Werktags mit einem klaren nächsten Schritt.