Wählen Sie Ihre Region: Singapur & Asien-Pazifik Europa Lateinamerika
RESGUARD
solutions

DSGVO-Compliance in Zypern: Ein praxisorientierter Leitfaden

Gesetz 125(I)/2018, der Beauftragte für den Schutz personenbezogener Daten und was Ihr Unternehmen tun muss

Compliance Security Platform APAC
Startseite / Blog / Datenschutz
14. April 2026 Datenschutz 9 Min. Lesezeit

Zypern hat die Datenschutz-Grundverordnung (DSGVO) gemeinsam mit dem Rest der Europäischen Union übernommen, als sie im Mai 2018 unmittelbar anwendbar wurde. Um die Verordnung durch nationale Bestimmungen zu ergänzen, hat Zypern das Gesetz 125(I)/2018 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten erlassen. Unternehmen, die in Zypern tätig sind – einschließlich der großen Finanzdienstleistungs-, Schifffahrts-, Tourismus- und Technologiesektoren – müssen sowohl die DSGVO als auch dieses nationale Durchführungsgesetz einhalten.

Der Beauftragte für den Schutz personenbezogener Daten

Die Aufsichtsbehörde in Zypern ist der Beauftragte für den Schutz personenbezogener Daten (Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα), eine gemäß Gesetz 125(I)/2018 eingerichtete unabhängige Behörde. Das Büro des Beauftragten ist zuständig für die Überwachung und Durchsetzung der Compliance, die Bearbeitung von Beschwerden betroffener Personen, die Durchführung von Untersuchungen und die Herausgabe von Leitlinien für Organisationen.

Der Beauftragte ist befugt, Bußgelder entsprechend dem Strafrahmen der DSGVO zu verhängen: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes für Verstöße der unteren Stufe sowie bis zu 20 Mio. Euro oder 4 % für schwerere Verstöße. Organisationen, die eine Anfrage oder Prüfung des Beauftragten erhalten, sollten dies als erhebliches Compliance-Risiko behandeln und sofort rechtliche Beratung einholen.

Was Gesetz 125(I)/2018 zur DSGVO ergänzt

Während die DSGVO in allen EU-Mitgliedstaaten unmittelbar gilt, nutzt das Gesetz 125(I)/2018 die von der Verordnung zugelassenen nationalen Spielräume in mehreren wichtigen Bereichen:

  • Einwilligungsalter: Zypern legt das digitale Einwilligungsalter für Dienste der Informationsgesellschaft auf 14 Jahre fest, sodass für die Verarbeitung personenbezogener Daten von Kindern unter 14 Jahren eine elterliche Einwilligung erforderlich ist
  • Beschäftigtendaten: Das Gesetz schafft eine Rechtsgrundlage für die Verarbeitung von Mitarbeiterdaten, soweit dies für den Arbeitsvertrag, arbeitsrechtliche Verpflichtungen und betriebsmedizinische Anforderungen erforderlich ist
  • Besondere Datenkategorien: Das Gesetz legt die Bedingungen fest, unter denen sensible Daten (Gesundheits-, Genetik-, Biometrie-, Meinungs- und Glaubensdaten) im zypriotischen Kontext verarbeitet werden dürfen
  • Meinungsfreiheit: Besondere Bestimmungen gleichen Datenschutzrechte mit der Meinungsfreiheit und dem Journalismus ab
  • Öffentliches Interesse: Die Bedingungen für die Verarbeitung im öffentlichen Interesse sowie für Forschungs- und Archivierungszwecke werden geklärt

Wesentliche DSGVO-Pflichten für Unternehmen in Zypern

Zypriotische Unternehmen müssen alle DSGVO-Standardpflichten erfüllen. Die folgenden Bereiche werden bei Assessments am häufigsten als Lücken identifiziert:

Verzeichnis von Verarbeitungstätigkeiten

Jede Organisation mit 250 oder mehr Beschäftigten – sowie solche, die Daten verarbeiten, bei denen ein Risiko für betroffene Personen wahrscheinlich ist, besondere Datenkategorien oder Strafverfolgungsdaten verarbeiten – muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) führen. In der Praxis sollten auch kleinere Unternehmen in Zypern ein VVT als grundlegende Compliance-Maßnahme und zur Erleichterung von Antworten auf Behördenanfragen unterhalten.

Auftragsverarbeitungsverträge

Jede Organisation, die einen Dritten mit der Verarbeitung personenbezogener Daten in ihrem Auftrag beauftragt, muss einen schriftlichen Auftragsverarbeitungsvertrag (AVV) geschlossen haben. Dies gilt insbesondere für zypriotische Unternehmen, die Cloud-Dienste, Lohnbuchhaltungsanbieter, Marketingplattformen und IT-Outsourcing-Partner nutzen. Viele KMU in Zypern verfügen nicht über AVVs mit ihren Technologieanbietern – dies wird bei Untersuchungen des Beauftragten häufig festgestellt.

Rechte betroffener Personen

Organisationen müssen über dokumentierte Verfahren verfügen, um Anfragen betroffener Personen – einschließlich Auskunft, Berichtigung, Löschung, Einschränkung und Übertragbarkeit – innerhalb der vorgeschriebenen Frist von einem Monat zu beantworten. Die Nichteinhaltung der Frist ist eine häufige Ursache für Beschwerden beim Beauftragten.

Meldung von Datenpannen

Verletzungen personenbezogener Daten, die voraussichtlich ein Risiko für natürliche Personen darstellen, müssen dem Beauftragten innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden. Verletzungen mit hohem Risiko für Betroffene müssen diesen auch direkt mitgeteilt werden. Zypriotische Unternehmen sollten ein dokumentiertes Erkennungs- und Meldeverfahren für Datenpannen einrichten, bevor ein Vorfall eintritt.

Sektoren mit erhöhtem Risiko in Zypern

Bestimmte Sektoren in Zypern sind aufgrund des Umfangs und der Sensibilität der von ihnen verarbeiteten Daten einem erhöhten Datenschutzrisiko ausgesetzt:

  • Finanzdienstleistungen und Investmentfirmen: Von CySEC regulierte Unternehmen verarbeiten erhebliche Mengen an Kunden- und Identitätsdaten. DSGVO-Pflichten überlagern sich mit MiFID-II- und AML-Dokumentationsanforderungen
  • Gesundheitsversorger: Gesundheitsdaten sind eine besondere Kategorie, die eine ausdrückliche Einwilligung oder eine andere qualifizierende Bedingung erfordern. Privatkliniken und Krankenhäuser in Zypern müssen entsprechend robusten Schutz implementieren
  • Tourismus und Gastgewerbe: Hotels, Reisebüros und Fluggesellschaften erfassen umfangreiche personenbezogene Daten. Grenzüberschreitende Datentransfers und Treueprogrammdaten werfen spezifische Compliance-Fragen auf
  • Rechts- und Beratungsdienstleistungen: Rechtsanwälte, Wirtschaftsprüfer und Auditoren in Zypern verarbeiten sensible Kundendaten und müssen ihre Verarbeitungstätigkeiten sorgfältig bewerten
  • Technologie und Fintech-Startups: Zypern verfügt über einen wachsenden Technologiesektor in Limassol und Nikosia. Produktorientierte Unternehmen müssen Privacy by Design von Beginn an einbetten

Grenzüberschreitende Datentransfers aus Zypern

Zypriotische Unternehmen übertragen personenbezogene Daten häufig in Drittländer, insbesondere im Kontext von Finanzdienstleistungen, Schifffahrtsbetrieb und IT-Outsourcing. Solche Transfers sind nur zulässig, wenn ein angemessenes Schutzniveau gewährleistet ist – durch einen EU-Angemessenheitsbeschluss, Standardvertragsklauseln (SCC), verbindliche unternehmensinterne Datenschutzvorschriften oder einen anderen genehmigten Mechanismus. Organisationen sollten alle grenzüberschreitenden Datenströme kartieren und für jeden einen geeigneten Transfermechanismus bestätigen.

Praktische Maßnahmen für Unternehmen in Zypern

  1. Daten-Mapping durchführen: Identifizieren Sie jede Kategorie verarbeiteter personenbezogener Daten, den Zweck, die Rechtsgrundlage, die Aufbewahrungsfrist und etwaige Weitergabe an Dritte
  2. Datenschutzhinweise prüfen und aktualisieren: Hinweise müssen prägnant, transparent und in für Betroffene verständlicher Sprache verfasst sein
  3. Lieferantenverträge prüfen: Stellen Sie sicher, dass AVVs mit allen Auftragsverarbeitern, einschließlich Cloud-Plattformen und SaaS-Anbietern, vorhanden sind
  4. Verfahren für Betroffenenanfragen einführen: Verantwortlichkeiten zuweisen, ein Verfolgungssystem einrichten und sicherstellen, dass Antworten innerhalb eines Monats erteilt werden
  5. Datenpannen-Reaktionsplan erstellen: Rollen, Eskalationswege und den 72-Stunden-Meldeworkflow festlegen
  6. Personal schulen: Alle Mitarbeiter, die personenbezogene Daten verarbeiten, sollten regelmäßig eine Datenschutz-Sensibilisierungsschulung erhalten
  7. DSB-Pflicht prüfen: Bestimmen Sie, ob Ihre Verarbeitungstätigkeiten einen Datenschutzbeauftragten erfordern, und erwägen Sie externe DSB-Dienstleistungen, wenn eine Vollzeitstelle nicht machbar ist

Fazit

DSGVO-Compliance in Zypern erfordert, dass Organisationen sowohl die Verordnung selbst als auch die nationalen Bestimmungen des Gesetzes 125(I)/2018 berücksichtigen. Der Beauftragte für den Schutz personenbezogener Daten hat Bereitschaft gezeigt, Beschwerden zu untersuchen und Verfahren gegen nicht konforme Organisationen einzuleiten. Ein strukturiertes Compliance-Programm – unterstützt durch ordnungsgemäße Dokumentation, geschultes Personal und die richtige Technologie – ist der wirksamste Weg, dieses Risiko zu managen und dauerhaftes Vertrauen bei Kunden und Partnern aufzubauen.

Zypern DSGVO Datenschutz Gesetz 125(I)/2018 Beauftragter

Weiterlesen

Verwandte Artikel

NIS2-Compliance in Zypern

Was zypriotische Unternehmen über die NIS2-Richtlinie wissen müssen.

ISO 27001 für zypriotische Unternehmen

Ein Fahrplan zur ISO-27001-Zertifizierung auf dem zypriotischen Markt.

DSGVO-Leitfaden

Ein umfassender Überblick über DSGVO-Grundsätze, Rechte und Compliance-Schritte.

Bleiben Sie Informiert

Entdecken Sie Unsere Compliance-Lösungen

Durchstöbern Sie alle unsere Cyber-Compliance-Ressourcen oder erfahren Sie, wie unsere Plattform und Expertendienste Ihrer Organisation helfen können, Compliance zu erreichen und aufrechtzuerhalten.

Alle Artikel Kontakt
Kontaktformular