Sanktioner i AI-forordningen: op til 35 millioner euro i bøde

Sanktionerne i AI-forordningen kan nå 35 mio. euro eller 7 % af den globale omsætning. Detaljeret oversigt over bøder efter overtrædelsestype og sammenligning med GDPR.

Et sanktionsregime uden fortilfælde

Den europæiske forordning om kunstig intelligens (forordning 2024/1689) indfører et af de strengeste sanktionssystemer i europæisk digital ret. Med bøder på op til 35 millioner euro eller 7 % af den globale omsætning sender AI-forordningen et klart signal: manglende compliance inden for AI er ikke en abstrakt risiko, det er en alvorlig finansiel risiko.

Artikel 99 — Règlement (UE) 2024/1689
Medlemsstaterne fastsætter reglerne for sanktioner og andre håndhævelsesforanstaltninger, som også kan omfatte advarsler og ikke-økonomiske foranstaltninger, der finder anvendelse på overtrædelser af denne forordning fra operatørernes side, og træffer alle nødvendige foranstaltninger for at sikre, at de gennemføres korrekt og effektivt […].

De tre bødeniveauer

Artikel 99 i forordningen definerer tre sanktionsniveauer efter overtrædelsens alvor.

Niveau 1 — Forbudte praksisser: 35 mio. euro eller 7 % af global omsætning

Det højeste sanktionsniveau gælder for overtrædelser af Artikel 5 (forbudte praksisser):

Social scoring
Subliminal manipulation eller vildledende teknikker
Udnyttelse af personers sårbarheder
Biometrisk identifikation i realtid på offentlige steder (med undtagelser)
Følelsesgenkendelse på arbejdspladser og i uddannelse
Opbygning af ansigtsgenkendelses-databaser via scraping

Bøden kan nå 35 millioner euro eller 7 % af virksomhedens årlige globale omsætning, det højeste beløb gælder.

For en virksomhed med en omsætning på 500 millioner euro repræsenterer det potentielt 35 millioner euro i bøde. For en global koncern med 10 milliarder euro i omsætning kan den teoretiske bøde nå 700 millioner euro.

Niveau 2 — Manglende compliance for højrisikosystemer: 15 mio. euro eller 3 % af global omsætning

Det andet niveau sanktionerer overtrædelser af forpligtelser knyttet til højrisiko-AI-systemer og generelle AI-modeller:

Manglende overholdelse af risikostyringskrav (Artikel 9)
Mangelfuld datastyring (Artikel 10)
Fravær af teknisk dokumentation (Artikel 11)
Manglende gennemsigtighed over for brugere (Artikel 13)
Utilstrækkelig menneskelig kontrol (Artikel 14)
Manglende compliance for generelle AI-modeller (Artikel 51 til 56)
Manglende overholdelse af kravet om AI-kompetence (Artikel 4)

Det sidste punkt er afgørende: manglende uddannelse af medarbejdere i AI hører under dette niveau. En virksomhed, der ikke har truffet nogen foranstaltninger for at sikre et tilstrækkeligt AI-kompetenceniveau for sit personale, risikerer bøder på op til 15 millioner euro eller 3 % af den globale omsætning.

Niveau 3 — Ukorrekte oplysninger: 7,5 mio. euro eller 1,5 % af global omsætning

Det tredje niveau gælder, når en virksomhed giver unøjagtige, ufuldstændige eller vildledende oplysninger til kompetente myndigheder eller notificerede organer:

Falske overensstemmelseserklæringer
Forfalskede eller ufuldstændige tekniske dokumenter
Unøjagtige svar på informationsanmodninger fra myndigheder
Tilbageholdelse af hændelser eller fejlfunktioner

Bøden kan nå 7,5 millioner euro eller 1,5 % af den årlige globale omsætning.

Dansk perspektiv: For en aktør som Danske Bank (ca 120 milliarder DKK i indtægter) ville det højeste sanktionsniveau betyde bøder på op til 8,4 milliarder DKK. Offentlige institutioner som ATP og SKAT, der udvikler AI-baseret sagsbehandling, er ligeledes i risikozonen.

For at måle alvoren i AI-forordningens regime er sammenligningen med GDPR belysende:

Kriterium	GDPR	AI-forordningen
Maksimal bøde (fast beløb)	20 mio. euro	35 mio. euro
Maksimal bøde (% af omsætning)	4 % af global omsætning	7 % af global omsætning
Antal niveauer	2	3
Gældende siden	Maj 2018	Progressivt (2025-2027)
Tilsynsmyndighed	Databeskyttelsesmyndigheder	Nationale myndigheder + EU’s AI-kontor

EU-lovgiveren har bevidst fastsat AI-forordningens sanktioner over GDPR’s. Budskabet er klart: risiciene ved ukontrolleret AI betragtes som mindst lige så alvorlige som risiciene ved databeskyttelse — og virksomheder vil blive sanktioneret tilsvarende.

Til orientering er GDPR-sanktionerne ikke forblevet teoretiske. I 2023 modtog Meta en bøde på 1,2 milliarder euro fra den irske myndighed. Amazon havde fået 746 millioner euro i bøde i 2021 i Luxembourg. De europæiske myndigheder har bevist, at de ikke tøver med at anvende de maksimale sanktioner over for store virksomheder.

Særordninger for SMV’er

Forordningen foreskriver en tilpasset behandling af små virksomheder. Artikel 99(6) præciserer, at bøderne skal være “effektive, proportionale og afskrækkende”. For SMV’er og startups skal myndighederne tage hensyn til virksomhedens økonomiske levedygtighed.

Konkret:

Procentandelene af omsætningen gælder på samme måde, men de faste beløb (35 mio., 15 mio., 7,5 mio. euro) udgør et absolut loft
Myndighederne skal tage hensyn til virksomhedens størrelse, overtrædelsens alvor, om den er forsætlig eller ej, og de foranstaltninger, der er truffet for at begrænse skaden
Reguleringsmæssige sandkasser (Artikel 57) tilbyder en ramme, hvor SMV’er kan teste deres AI-systemer under reelle forhold med myndighedsvejledning

Hvem kontrollerer og sanktionerer?

Nationale kompetente myndigheder

Hver medlemsstat skal udpege én eller flere nationale kompetente myndigheder med ansvar for markedsovervågning og håndhævelse af forordningen. I Danmark forventes dette ansvar at blive fordelt mellem flere aktører:

Datatilsynet — allerede kompetent inden for databeskyttelse med en naturlig ekspertise i AI-systemer, der behandler personoplysninger, og forventes at spille en central rolle i tilsynet med AI-forordningen
Erhvervsstyrelsen eller en ny dedikeret myndighed — for aspekter relateret til AI-modeller og infrastruktur
Eksisterende sektormyndigheder (Finanstilsynet for finans og banker som Danske Bank og Nordea, Sundhedsstyrelsen for sundhed) — for højrisiko-AI-systemer inden for deres respektive områder

Det Europæiske AI-kontor (AI Office)

Oprettet inden for Europa-Kommissionen spiller Det Europæiske AI-kontor en koordinerende rolle og har direkte kompetence over generelle AI-modeller. Det kan:

Evaluere overensstemmelsen af generelle AI-modeller
Anmode udbydere om korrigerende foranstaltninger
Pålægge bøder for overtrædelser relateret til generelle modeller

📄AI Act Artikel 4: pligten til AI-uddannelse forklaret→

Betydningen af at kunne bevise compliance

Ud over bøderne bygger AI-forordningens mekanisme på et grundlæggende princip: bevisbyrden påhviler virksomheden. Det er ikke myndighedens opgave at bevise, at I ikke overholder reglerne — det er jeres opgave at bevise, at I gør.

Hvad “at bevise compliance” konkret betyder

Teknisk dokumentation: for hvert højrisiko-AI-system, et komplet dossier, der beskriver systemet, dets formål, præstationer, begrænsninger og de træningsdata, der er anvendt
Compliance-registre: historik over overensstemmelsesvurderinger, interne revisioner og opdateringer
Brugslogfiler: automatiserede logfiler, der sporer beslutninger truffet af AI-systemer (minimum seks måneders opbevaring)
Uddannelsesdokumentation: attester, evalueringsresultater, deltagelsesrater — der dokumenterer, at personalet opnår det kompetenceniveau, Artikel 4 kræver
Rapporteringsprocedurer: dokumenterede mekanismer, der gør det muligt for brugere at rapportere fejlfunktioner eller problematiske resultater

En målbar og sporbar kompetencescore for hver medarbejder udgør et særligt solidt bevis for Artikel 4. Ligeledes gør en komplet uddannelseshistorik med datoer, indhold og resultater det muligt at bevise compliance på en objektiv måde.

Den skærpende omstændighed: fravær af foranstaltninger

I tilfælde af kontrol er den mest ugunstige situation ikke at have et ufuldstændigt compliance-program — det er slet ikke at have ét. Myndighederne vil tage hensyn til de bestræbelser, virksomheden har udfoldet. At have indledt en struktureret tilgang, selv ufuldstændig, er altid at foretrække frem for total passivitet.

📄AI-revision i virksomheden: praktisk trin-for-trin guide→

Risikokalenderen

Sanktionerne træder i kraft progressivt i overensstemmelse med de forskellige forpligtelsers ikrafttræden:

Dato	Gældende forpligtelser	Anvendelige sanktioner
1. februar 2025	Forbudte praksisser (Artikel 5)	Op til 35 mio. euro / 7 %
2. august 2025	AI-kompetence (Artikel 4) + Generelle modeller	Op til 15 mio. euro / 3 %
2. august 2026	Højrisiko-AI-systemer	Op til 15 mio. euro / 3 %
2. august 2027	Højrisikosystemer integreret i regulerede produkter	Op til 15 mio. euro / 3 %

De to første frister er allerede overskredet. Virksomheder, der endnu ikke har truffet foranstaltninger vedrørende forbudte praksisser og AI-kompetence, befinder sig allerede i risikozonen.

Ud over bøderne: de indirekte risici

De økonomiske sanktioner er kun den synlige del. Manglende compliance med AI-forordningen eksponerer for andre lige så væsentlige risici:

Omdømmerisiko: at blive offentligt identificeret som ikke-overensstemmende med AI-regulering sender et katastrofalt signal til kunder, partnere og investorer
Kommerciel risiko: overensstemmende virksomheder vil kræve, at deres leverandører og partnere også er det — en kaskadeeffekt sammenlignelig med GDPR’s
Operationel risiko: myndighederne kan beordre tilbagetrækning fra markedet af et ikke-overensstemmende AI-system eller forbyde dets brug — hvilket potentielt kan lamme kritiske forretningsprocesser
Tvistesøgsmålsrisiko: personer, der er berørt af et ikke-overensstemmende AI-system, kan anlægge søgsmål med tilhørende juridiske omkostninger og erstatningskrav

Ce que ça implique pour vous

AI-forordningen indfører de strengeste sanktioner i europæisk digital ret: 35 millioner euro eller 7 % af den globale omsætning for forbudte praksisser, 15 millioner for højrisikosystemer og manglende uddannelse. Nøglen til at minimere risikoen: bevis jeres compliance med grundig dokumentation, sporede uddannelser og målbare evalueringer. De første frister er allerede overskredet — hver dag uden handling øger eksponeringen.