Når en dansk virksomhed eller offentlig myndighed tager et høj-risiko AI-system i brug — fx en rekrutterings-scoringsmotor, et kreditvurderingssystem eller et workforce-planning-værktøj — opstår spørgsmålet hurtigt: hvem skal bevise hvad, hvis noget går galt? Var systemet defekt? Blev det brugt korrekt? Førte deployeren tilstrækkeligt tilsyn? Bevisbyrden under EU AI Act er hverken triviel eller intuitiv, og den er blevet markant skarpere efter, at Kommissionen i februar 2025 trak forslaget til AI Liability Directive tilbage og i stedet lod det reviderede produktansvarsdirektiv (Directive (EU) 2024/2853) overtage en stor del af det civilretlige spor.
Denne artikel gennemgår, hvor bevisbyrden faktisk ligger i 2026 — administrativt (over for tilsynsmyndigheden), kontraktligt (mellem provider og deployer) og civilretligt (over for den registrerede / skadelidte) — og hvilke konkrete dokumenter en dansk deployer bør have klar i sin compliance-mappe for at kunne løfte bevisbyrden, når den lander.
1. Bevisbyrden er ikke ét spor — den er tre
Det første skridt mod klarhed er at adskille de tre spor, fordi de har vidt forskellige beviskrav og forskellige modparter:
Administrativt spor (AI Act + national tilsynsmyndighed): Når Digitaliseringsstyrelsen eller en sektor-tilsynsmyndighed (fx Finanstilsynet eller Datatilsynet i sin AI-overlap-rolle) beder om dokumentation, ligger bevisbyrden for compliance hos den ansvarlige operator. Hverken Art. 26 (deployer) eller Art. 16 (provider) etablerer en formodning om non-compliance — men praksis fra både GDPR-tilsyn og finansiel regulering viser, at fraværet af dokumentation typisk fortolkes som non-compliance. Bevisbyrden er reelt "produktiv": man skal kunne fremvise registre, logs og vurderinger på anmodning.
Kontraktligt spor (provider ↔ deployer): Forpligtelserne i Art. 26 forudsætter, at provideren har leveret tilstrækkelige instruktioner (Art. 13), teknisk dokumentation (Art. 11 + Annex IV) og oversight-design (Art. 14). Hvis providerens dokumentation er mangelfuld eller misvisende, kan deployeren under dansk aftaleret og købeloven (samt evt. specifik DPA/vendor-aftale) skubbe ansvaret tilbage. Bevisbyrden ligger her hos den part, der gør et brud gældende — typisk deployer, der må vise, at instruktionerne ikke kunne følges som leveret.
Civilretligt spor (skadelidt borger eller medarbejder): Dette er sporet med de største ændringer i 2025–2026. Efter PLD 2024/2853 (transposition-deadline 9. december 2026) klassificeres software og AI-systemer eksplicit som "produkter", og der introduceres en række formodningsregler, der reelt letter bevisbyrden for den skadelidte. Hertil kommer Art. 86 i AI Act, der giver enkeltpersoner en ret til at få en forklaring på væsentlige beslutninger truffet af et høj-risiko AI-system.
2. Det administrative spor: Art. 26 og deployerens dokumentationspligt
Artikel 26 i EU AI Act (forordning (EU) 2024/1689) opstiller en række konkrete deployer-forpligtelser, der alle implicit forudsætter dokumentation. Når tilsynsmyndigheden spørger, er det disse spor, der efterspørges:
Hver enkelt af disse forpligtelser udløser et dokumentations-spor. Hvis tilsynet beder om at se, hvordan I har sikret medarbejderinformation forud for ibrugtagning af et HR-screeningsystem, er svaret ikke "vi gjorde det" — det er en kopi af e-mail-udsendelsen, MED-udvalgsreferatet og personalehåndbogens opdaterede afsnit.
3. PLD 2024/2853: bevisbyrden lettes for skadelidte
Det reviderede produktansvarsdirektiv, Directive (EU) 2024/2853, trådte i kraft den 8. december 2024 og skal være transponeret i national ret senest den 9. december 2026. Det erstatter det gamle direktiv 85/374/EØF og — vigtigst af alt — det dækker eksplicit software og AI-systemer som "produkter". For en dansk deployer, der hidtil måske antog, at ansvaret for et SaaS-leveret AI-system lå hos providerens hjemland, betyder dette et paradigmeskifte.
PLD 2024/2853 introducerer tre særligt relevante bevisbyrde-mekanismer:
Formodning om defekt: Hvis sagsøger kan vise, at produktet ikke overholdt obligatoriske sikkerhedskrav fastsat i EU-ret eller national ret — eksempelvis at et høj-risiko AI-system ikke opfyldte AI Acts Art. 9 risikostyringskrav — formodes produktet at være defekt. Formodningen er ikke automatisk; den skal udløses af en konstateret regelovertrædelse, men når den først er aktiveret, vendes bevisbyrden om.
Formodning om årsagssammenhæng: Hvis det er uforholdsmæssigt vanskeligt for sagsøger at bevise den kausale forbindelse mellem defekten og skaden — typisk pga. produktets tekniske kompleksitet — kan retten formode årsagssammenhæng. Dette er særligt relevant for AI-systemer, hvor "black-box"-karakteren ofte gør traditionel kausalitetsbevisførelse umulig for en lægmand.
Disclosure-forpligtelse: Sagsøger kan begære, at den producent, importør eller distributør, der er sagsøgt, fremlægger relevant bevismateriale. Hvis den sagsøgte ikke efterkommer en sådan kendelse, formodes produktet at være defekt. Dette er en markant ændring af dansk processuel tradition, hvor partsmateriale typisk er beskyttet.
For deployers betyder dette to ting: For det første kan de blive sagsøgt direkte under PLD, hvis de optræder som "importer" eller "distributør" af systemet på det danske marked — eksempelvis ved at indkøbe et amerikansk HR-AI-system og rulle det ud til 300 medarbejdere. For det andet bør deployerens AI Act-compliance-dokumentation være tilstrækkelig til at modbevise formodningen om defekt: hvis I kan vise, at I fulgte providerens instruktioner, sikrede oversight og overholdt Art. 26, er den civilretlige risiko markant reduceret.
4. Art. 86 i AI Act: retten til forklaring
Artikel 86 i EU AI Act giver enhver berørt person ret til at få en klar og meningsfuld forklaring af et høj-risiko AI-systems rolle i en beslutningsproces, der har retsvirkninger eller tilsvarende væsentlig indvirkning. Dette er et procesuelt minimum — det er ikke en ret til at få algoritmen offentliggjort, men en ret til at få oplyst, hvilke faktorer der vægtede, og hvordan beslutningen blev til.
Bevisbyrden ligger her hos deployeren: når en medarbejder, der ikke blev forfremmet, eller en ansøger, der blev sorteret fra, anmoder om en forklaring, er det ikke nok at sige "systemet gjorde det". Deployeren skal kunne dokumentere:
Bemærk samspillet med GDPR Art. 22 og Art. 15: hvor GDPR giver ret til menneskelig indgriben i fuldt automatiserede beslutninger, udvider AI Act Art. 86 retten til også at gælde for delvist automatiserede høj-risiko-beslutninger. For HR-tech betyder dette, at "vi havde en menneskelig HR-konsulent i loopet" ikke længere undtager beslutningen fra forklaringspligten.
5. Hvad bør en dansk deployer have klar — konkret dokumentationsmappe
Den praktiske konsekvens af alle tre spor er, at deployeren bør vedligeholde en struktureret compliance-mappe pr. høj-risiko AI-system. Vores anbefaling — afledt af M1-leverancen — er som minimum:
Pointen er ikke, at mappen skal være tyk for tykkelsens skyld. Pointen er, at fraværet af et af disse dokumenter på det tidspunkt, hvor tilsynet eller en skadelidt beder om det, vil blive fortolket — administrativt såvel som civilretligt — som non-compliance.
6. Når Art. 99 udløses: bevisbyrden i et bødeforløb
Hvis tilsynsmyndigheden indleder en bødesag under Art. 99, er proportionalitetsvurderingen i Art. 99, stk. 7 afhængig af bl.a. samarbejde med myndighederne og graden af forsæt eller uagtsomhed. Begge dele dokumenteres bedst gennem den compliance-mappe, der allerede eksisterer. En deployer, der ved første anmodning kan fremlægge instruktioner, logs, oversight-roller og hændelsesregister, har en betydeligt bedre proportionalitetsposition end en, der starter med at samle dokumenter sammen midt i forløbet.
Til perspektiv: bøderne under Art. 99 går fra op til 7,5 mio. EUR eller 1 % af global årsomsætning (for forkerte eller misvisende oplysninger til myndighederne, jf. Art. 99, stk. 5), via 15 mio. EUR eller 3 % (for de fleste operator-forpligtelser inkl. Art. 26, jf. Art. 99, stk. 4), op til 35 mio. EUR eller 7 % for overtrædelse af de forbudte praksisser i Art. 5 (Art. 99, stk. 3). Den højeste af de to størrelser anvendes som loft — og for SMV'er gælder omvendt den lavere.
Konklusion: bevisbyrden ligger i dokumentationen — eller dens fravær
Bevisbyrden under EU AI Act er ikke et abstrakt juridisk spørgsmål, der venter på, at man bliver sagsøgt. Den manifesterer sig hver gang tilsynet skriver, hver gang en medarbejder beder om en forklaring, hver gang en skadelidt borger henvender sig. For en dansk deployer er den praktiske disciplin enkel: byg dokumentationsmappen før ibrugtagning, vedligehold den løbende, og sørg for, at de personer, der varetager menneskeligt tilsyn, kender deres rolle og kan dokumentere den.
Hvis I i 2026 endnu ikke har en struktureret mappe pr. høj-risiko AI-system, bør det være en af de første ting på roadmap'en. Det er billigere at bygge den nu end at samle den sammen, mens et tilsyn ringer på døren.