BLOG

Hvad koster manglende compliance? EU AI Act-bøderne forklaret — med konkret risikoregnestykke for danske virksomheder

Spørgsmålet, danske ledelser stiller, når EU AI Act dukker op på dagsordenen, er ofte konkret: "Hvad koster det faktisk, hvis vi ikke gør noget?" Det er et rimeligt spørgsmål — og svaret er hverken trivielt eller eskaleret. Loven indeholder ét af de strengeste bødeniveauer i europæisk regulering, men sanktionerne er gradueret efter overtrædelsestype, proportionalitetshensyn og virksomhedsstørrelse. Denne artikel gennemgår de tre bødeniveauer i Art. 99, hvilke overtrædelser der falder under hver, hvordan SMV-lempelsen fungerer, hvilke skønshensyn tilsynet anvender — og afslutter med et konkret risikoregnestykke for en mellemstor dansk virksomhed med en omsætning på 200 mio. kr.

1. Tre niveauer — og logikken bag

Artikel 99 i EU AI Act (forordning (EU) 2024/1689) opdeler administrative bøder i tre niveauer, som spejler en risiko-pyramide: jo mere bøden adresserer en kerneovertrædelse, der truer grundlæggende rettigheder, jo højere er loftet. For hvert niveau gælder, at loftet er det højeste af et fast beløb og en procentandel af virksomhedens globale årsomsætning — ikke summen.

Niveau 1 — Art. 99, stk. 3 — op til 35 mio. EUR eller 7 % af global årsomsætning. Reserveret til overtrædelse af de forbudte AI-praksisser i Art. 5. Det er fx social scoring af borgere, manipulative subliminale teknikker, ubegrænset face-scraping til biometriske databaser, og emotiongenkendelse på arbejdspladser og i uddannelsesinstitutioner. Forbuddene har været gældende siden 2. februar 2025.

Niveau 2 — Art. 99, stk. 4 — op til 15 mio. EUR eller 3 % af global årsomsætning. Gælder for non-compliance med de fleste operative forpligtelser i forordningen — provider-pligter under Art. 16, deployer-pligter under Art. 26, importør- og distributør-pligter, notified body-pligter, transparenskrav under Art. 50 m.fl. For deployers af høj-risiko AI er dette det mest sandsynlige bødeniveau ved en overtrædelse.

Niveau 3 — Art. 99, stk. 5 — op til 7,5 mio. EUR eller 1 % af global årsomsætning. Gælder for at give forkerte, ufuldstændige eller misvisende oplysninger til notified bodies eller nationale tilsynsmyndigheder. Det er det "procedurelle" niveau — bøden for at lyve eller udelade fakta i en compliance-rapportering. Niveauet er lavere, men relevant: for mange virksomheder vil den første kontakt med myndigheden være en informationsanmodning, og hvor svaret er ufuldstændigt eller upræcist, kan stk. 5 udløses uafhængigt af om selve kerneovertrædelsen sanktioneres.

EU-institutioner, agenturer og organer kan sanktioneres separat med op til 1,5 mio. EUR (Art. 5-overtrædelser) eller 750.000 EUR (øvrige), jf. Art. 100.

2. SMV-lempelsen — og hvad den faktisk betyder

For små og mellemstore virksomheder, inklusive startups, gælder Art. 99, stk. 6 en omvendt logik: bødeloftet er det laveste af det faste beløb og procentandelen — ikke det højeste. For en dansk SMV med fx 10 mio. EUR i årsomsætning betyder det:

  • Niveau 1 (Art. 5): 7 % af 10 mio. EUR = 700.000 EUR — som er lavere end 35 mio. EUR. Lempelsen sikrer, at loftet er 700.000 EUR, ikke 35 mio.
  • Niveau 2 (operative forpligtelser): 3 % af 10 mio. EUR = 300.000 EUR.
  • Niveau 3 (forkert information): 1 % af 10 mio. EUR = 100.000 EUR.
  • Definitionen af SMV følger EU's standardanbefaling 2003/361/EF: under 250 ansatte og enten under 50 mio. EUR i årsomsætning eller under 43 mio. EUR i samlet balance. Lempelsen er ikke en undtagelse fra ansvar — den er en proportionalitetsjustering, der sikrer, at et bødeniveau ikke ødelægger en lille virksomhed.

    Det er værd at notere, at lempelsen ikke fjerner forpligtelsen til at overholde reglerne — den justerer kun den økonomiske konsekvens af overtrædelsen. En SMV, der opererer et høj-risiko AI-system, skal stadig opfylde alle forpligtelser i Art. 26 m.fl.

    3. Skønshensyn: hvad tilsynet faktisk vægter

    Art. 99, stk. 7 lister de hensyn, som tilsynsmyndigheden — i Danmark forventeligt en koordination mellem Digitaliseringsstyrelsen, sektormyndigheder og Datatilsynet — skal anvende, når størrelsen af bøden fastsættes. Det er på dette punkt, at compliance-arbejdet får sin reelle økonomiske værdi, fordi det direkte påvirker placeringen inden for loftet.

    Hensynene omfatter bl.a.:

  • Overtrædelsens karakter, alvor og varighed samt antallet af berørte personer og skadens omfang.
  • Om der tidligere er pålagt bøder af andre markedsovervågningsmyndigheder for samme overtrædelse.
  • Operatorens størrelse, årsomsætning og markedsandel.
  • Eventuelle finansielle fordele opnået eller tab undgået gennem overtrædelsen, direkte eller indirekte.
  • Graden af samarbejde med myndigheden under undersøgelsen.
  • Hvordan myndigheden blev opmærksom på overtrædelsen — særligt om operatoren selv har anmeldt den.
  • Om overtrædelsen var forsætlig eller uagtsom.
  • Eventuelle foranstaltninger truffet for at afbøde skaden.
  • Operatorens grad af ansvar, idet der tages højde for de tekniske og organisatoriske foranstaltninger, der er implementeret.
  • Måden, hvorpå myndigheden blev opmærksom på overtrædelsen — særligt om operatoren har informeret myndigheden, og hvis ja, hvor omfattende.
  • Operatorens overholdelse af eventuelle godkendte adfærdskodekser eller certificeringsmekanismer.
  • Det praktiske takeaway: en virksomhed, der ved første anmodning kan fremvise en velvedligeholdt compliance-mappe, samarbejder åbent og kan dokumentere proaktive afbødningsforanstaltninger, vil typisk lande væsentligt under det maksimale loft. Omvendt vil en virksomhed, der har skjult forhold, ikke samarbejdet eller opnået økonomiske fordele af overtrædelsen, blive placeret tæt på loftet.

    4. Hvornår træder bøderne i kraft?

    EU AI Acts bødebestemmelser i Art. 99 finder anvendelse fra 2. august 2026 — datoen, hvor de fleste af forordningens kerneforpligtelser bliver fuldt anvendelige. Undtagelsen er overtrædelser af Art. 5 (forbudte praksisser) og Art. 4 (AI-literacy), der har været gældende siden 2. februar 2025 og dermed teoretisk kunne udløse sanktioner under nationale gennemførelsesregler allerede fra det tidspunkt. GPAI-relaterede forpligtelser fik anvendelse fra 2. august 2025. Visse bestemmelser for høj-risiko AI integreret i regulerede produkter (Annex I-typen) gælder først fra 2. august 2027.

    For en deployer betyder det praktisk, at sommeren 2026 markerer det reelle eksponeringstidspunkt: fra den dato kan en tilsynsundersøgelse af deployer-forpligtelser under Art. 26 — herunder oversight, dokumentation, logs, medarbejderinformation — udløse en bødesag under stk. 4 (op til 15 mio. EUR / 3 %).

    5. Hvordan beregnes bøderne — og kan de overlappe med andre regimer?

    Den globale årsomsætning, der danner basis for procentandelen, beregnes på koncernniveau — altså inklusive moderselskab og datterselskaber, hvor dette er relevant. Det er den samlede globale omsætning i det foregående regnskabsår. For en dansk dattervirksomhed af en multinational koncern kan dette betyde, at procentandelen anvendes på en omsætning, der er langt højere end den danske enhed alene har.

    Bøderne under EU AI Act er kumulative med andre regimer. En overtrædelse kan samtidig udløse:

  • GDPR-bøde under databeskyttelsesforordningen (op til 20 mio. EUR under Art. 83 GDPR — svarende til 4 % af global årsomsætning, hvis det er højere).
  • NIS2-bøde, hvis cyber-aspektet er omfattet: loftet er 10 mio. EUR for væsentlige enheder, og den omsætningsbaserede sats (hvis højere) udgør 2 % af den globale årsomsætning.
  • Sektorspecifikke bøder (fx finansielt tilsyn).
  • Civilretligt erstatningsansvar under det reviderede produktansvarsdirektiv 2024/2853 (gælder for software og AI fra 9. december 2026).
  • Det er den samlede økonomiske eksponering, ikke kun AI Act-bøden alene, som ledelsen bør have for øje.

    6. Risikoregnestykke: hvad er den realistiske eksponering for en mellemstor dansk virksomhed?

    Lad os tage et illustrativt eksempel — ikke en faktisk kunde, blot et regnestykke. Forestil dig en dansk virksomhed med 180 ansatte og en global årsomsætning på 200 mio. kr. (~27 mio. EUR). Virksomheden er teknisk en SMV efter EU-definitionen (under 250 ansatte, under 50 mio. EUR omsætning). Den anvender et HR-AI-system til screening af ansøgere — et høj-risiko-system under Annex III, pkt. 4.

    Antag, at virksomheden har forsømt deployer-forpligtelserne i Art. 26: ingen oversight-protokol, ingen logs, ingen medarbejderinformation, ingen FRIA (selv om kravet kan diskuteres for en privat aktør under denne størrelse). Hvis tilsynet finder samtlige forsømmelser, kan det udløse en niveau 2-bøde under stk. 4.

    Loftet beregnes som det laveste af 15 mio. EUR og 3 % af global omsætning (SMV-lempelse). 3 % af 27 mio. EUR = ca. 810.000 EUR — omkring 6 mio. kr. Det er det teoretiske maksimum. I praksis vil tilsynet anvende skønshensynene i stk. 7 og lande lavere, særligt hvis virksomheden samarbejder, ingen aktiv skade er sket, og afbødningsforanstaltninger træffes hurtigt.

    Et realistisk skøn for en førstegangsovertrædelse uden klar skade, med samarbejde og hurtig afhjælpning, kunne ligge i intervallet 200.000–500.000 kr. Det er signifikant mindre end loftet — men det er stadig 20–50 gange mere end omkostningen til at få bygget et grundlæggende compliance-fundament før eksponeringen indtræder.

    Hvis samme virksomhed i stedet havde overtrådt et Art. 5-forbud — fx ved at anvende emotion-genkendelse til at vurdere medarbejdernes humør i et opfordringssystem — gælder niveau 1. Loftet bliver det laveste af 35 mio. EUR og 7 % af global omsætning. 7 % af 27 mio. EUR = ca. 1,89 mio. EUR (~14 mio. kr.) som SMV-loft. Ved en grov og forsætlig overtrædelse ville tilsynet placere bøden tæt på loftet.

    7. ROI-perspektivet: hvad koster compliance vs. ikke-compliance?

    For den samme virksomhed er omkostningen til at etablere et grundlæggende AI Act-compliance-fundament — AI-inventar, deployer-mappe pr. system, oversight-protokol, Art. 4-træning — typisk i intervallet 50.000–150.000 kr. for ekstern leverance på et par måneder, plus intern tid. Det er en størrelse, der modsvarer en realistisk niveau 2-bøde i den allerlaveste ende. ROI-regnestykket er enkelt: selv hvis sandsynligheden for en bøde er moderat, er compliance-investeringen typisk billigere end den forventede sanktion alene — uden at medregne reputationstab, kontrakttab over for kunder, der har egne compliance-krav, og personalemæssige konsekvenser.

    Hertil kommer, at compliance-arbejdet ikke kun har afskrækkelsesværdi. Det reducerer reel risiko for, at AI-systemet faktisk forårsager skade — bias-screening, manglende oversight og dårlige inputs er årsager til civilretlige sager og medarbejderkonflikter, der eksisterer uafhængigt af bøderegimet.

    Konklusion: bøderne er reelle, men sandsynligheden styres af forberedelsen

    EU AI Acts bødeniveauer er høje nok til, at en stor overtrædelse kan true en virksomheds økonomiske grundlag. Men sanktionssystemet er proportionalt: SMV-lempelsen begrænser loftet, skønshensynene belønner forberedelse og samarbejde, og hovedparten af overtrædelser vil sandsynligvis blive sanktioneret væsentligt under loftet. Den reelle risikofaktor er ikke det teoretiske maksimum — det er sandsynligheden for at blive ramt af en sag, og hvor man placeres inden for loftet, når sagen kommer.

    Begge dele styres af forberedelsen. En deployer, der har bygget dokumentationsmappen før eksponeringen, samarbejder ved første anmodning og kan dokumentere afbødningsforanstaltninger, vil i langt de fleste tilfælde lande i bunden af bødeintervallet — hvis sagen overhovedet udvikler sig til en bøde. En deployer, der starter compliance-arbejdet, mens tilsynet allerede er i gang, har en markant højere risikoeksponering. Forskellen er ikke jura. Forskellen er timing.

    Er det billigere at bygge compliance — eller at betale bøden?

    PowerQuant M1 leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage — fundamentet, der typisk er billigere end selv en moderat niveau 2-bøde.

    Start M1 — 10.999 kr