PowerQuant

EU AI Act og Startup-Exit: Hvad Skal Due Diligence Dække om AI-Compliance?

PowerQuant · EU AI Act compliance

Af PowerQuant | Opdateret maj 2026 | Læsetid: ca. 11 minutter

Investorer og opkøbere er begyndt at stille spørgsmål, som danske startups ikke altid er forberedt på: "Hvilke af jeres AI-systemer er høj-risiko under EU AI Act? Har I konformitetsvurdering på plads? Er I registreret i EU-databasen?" EU AI Act er ved at blive en standard due diligence-kategori — på linje med GDPR og IP-rettigheder. Denne artikel forklarer, hvad AI-compliance due diligence dækker, og hvad startups bør have i orden inden en exit.

Hvorfor AI-compliance er et M&A-tema

EU AI Act skaber regulatorisk ansvar, der følger systemet — og dermed virksomheden. En investor eller opkøber der erhverver et startup med uclompliant høj-risiko AI-systemer, overtager potentielt:

  • Løbende compliance-forpligtelser (QMS, post-market monitoring, incidentindberetning)
  • Risiko for bøder op til 15 millioner euro eller 3% af global omsætning
  • Aftaleretlige forpligtelser over for kunder der bruger systemet

    • Det er der penge i — og risiko. Investorer og opkøbere er opmærksomme.

    De seks AI-compliance due diligence-kategorier

    Erfarne M&A-rådgivere vil sandsynligvis strukturere AI-compliance due diligence som et supplement til den standard teknologiske due diligence. Kategorierne:

    1. AI-Inventar og Klassificering

    Spørgsmål: Hvilke AI-systemer har virksomheden? Er de korrekt klassificeret?

    Dokumentation der anmodes om:

  • AI-inventar med alle systemer og deres klassificering (høj-risiko/lavere risiko)
  • Begrundelse for klassificering (er Annex III-analysen dokumenteret?)
  • Udbyder vs. deployer-klassificering per system

    • Røde flag:

  • Virksomheden har ikke overvejet EU AI Act-klassificeringen
  • HR-AI-systemer uden nogen form for compliance-analyse
  • Blank benægtelse af at nogen systemer er høj-risiko

    • 2. Teknisk Dokumentation

    Spørgsmål: Eksisterer Annex IV-dokumentationen? Er den komplet og opdateret?

    Dokumentation der anmodes om:

  • Teknisk dokumentation per høj-risiko system
  • Seneste opdateringstidspunkt
  • Versionshistorik

    • Røde flag:

  • Teknisk dokumentation eksisterer ikke
  • Dokumentation er generisk og ikke systemspecifik
  • Seneste opdatering er mere end 12 måneder gammel

    • 3. Konformitetsvurdering

    Spørgsmål: Er konformitetsvurderingen gennemført? Eksisterer EU-overensstemmelseserklæringen?

    Dokumentation der anmodes om:

  • Self-assessment rapport per høj-risiko system
  • EU-overensstemmelseserklæring (Art. 47)
  • Notified body-certifikat (hvis relevant)
  • EU-database registrering

    • Røde flag:

  • Ingen konformitetsvurdering eksisterer
  • Overensstemmelseserklæring er udstedt men teknisk dokumentation er ufuldstændig
  • Systemet ikke registreret i EU-databasen

    • 4. QMS og Risikoledelse

    Spørgsmål: Er der et fungerende QMS? Er risikovurdering aktuel?

    Dokumentation der anmodes om:

  • QMS-dokument med de 11 obligatoriske elementer (Art. 17)
  • Seneste risikovurdering (Art. 9)
  • Intern QMS-audit-rapport
  • Post-market monitoring data

    • Røde flag:

  • QMS eksisterer kun på papir (ingen operationel evidens)
  • Risikovurdering er aldrig opdateret
  • Ingen post-market monitoring data

    • 5. Incidenter og Compliance-Historie

    Spørgsmål: Har virksomheden haft hændelser eller kontakt med tilsynsmyndigheder?

    Dokumentation der anmodes om:

  • Incidentlog
  • Eventuel korrespondance med nationale tilsynsmyndigheder
  • Eventuelle compliance-varsler fra kunder

    • Røde flag:

  • Uindberettede alvorlige hændelser
  • Pågående tilsynssager
  • Kundeklager relateret til AI-systemets output

    • 6. Kundekontrakter og Leverandøraftaler

    Spørgsmål: Er AI-compliance forpligtelserne korrekt adresseret i kontrakter?

    Dokumentation der anmodes om:

  • Standardkontrakter (tilbyder virksomheden teknisk dokumentation til kunder per Art. 47?)
  • Leverandøraftaler med AI-underleverandører
  • GPAI-brugsaftaler (OpenAI, Google, Anthropic osv.)

    • Røde flag:

  • Kontrakter garanterer compliance-standard virksomheden ikke har dokumentation for
  • Ingen leverandører om teknisk dokumentation
  • GPAI-brugsaftaler der er i konflikt med EU AI Act-forpligtelser

    • Hvad venture capital-investorer kigger på

    Venturekapitalinvestorer (VC) i tidlige runder er typisk mere pragmatiske — de accepterer, at en pre-seed startup ikke har fuldt AI-compliance på plads. Men de vil gerne se:

    At founders kender risikoen:

    Har grundlæggerne overvejet, hvilke af deres systemer der er høj-risiko? En blank fornægtelse er et dårligt tegn. Bevidsthed om compliance-gab og en plan for at lukke dem er acceptabelt.

    En compliance-roadmap:

    Investorer vil gerne se en prioriteret plan for compliance — hvornår forventer I at have konformitetsvurdering på plads? Hvad er den estimerede omkostning?

    At compliance-risikoen er capitalizeret:

    Er der sat penge af til compliance-arbejdet i budget-modellen? Investorer, der ser, at compliance er en blot en baggrundspost, er skeptiske.

    Hvad private equity og strategiske opkøbere kigger på

    PE-investorer og strategiske opkøbere (corporates) er typisk mere detaljerede i deres due diligence:

    Fuldt compliance-billede:

    De vil gennemgå al dokumentation og sandsynligvis indhente en ekstern compliance-rapport fra en tredjepart.

    Warranties og indemnities:

    Sælgeren (startup-founder) vil typisk blive bedt om at garantere, at alle AI-systemer er compliant med gældende lovgivning. Hvis compliance-dokumentation mangler, er det et forhandlingsemne — og kan påvirke prisen.

    Earn-out-klausuler:

    I visse transaktioner kan manglende compliance føre til earn-out-klausuler, der betinger en del af købesummen af compliance-opnåelse inden for en given periode.

    Hvad startups bør gøre inden exit-processen

    12 måneder før exit:

  • Gennemfør et internt AI-compliance-review
  • Identificer og dokumentér alle høj-risiko AI-systemer
  • Start QMS-opbygning og risikovurdering

    • 6 måneder før exit:

  • Gennemfør konformitetsvurdering og udsted overensstemmelseserklæringer
  • Registrér systemer i EU-databasen
  • Opdatér kundekontrakter til at afspejle compliance-status

    • 3 måneder før exit:

  • Forbered AI-compliance due diligence-datarummet
  • Indhent eventuelt ekstern compliance-gennemgang
  • Dokumentér post-market monitoring data og incidentlog

    • Inden due diligence starter:

  • Datarummet (data room) bør indeholde al AI-compliance-dokumentation organiseret per system
  • Forbered jeres compliance-ansvarlige til at besvare tekniske spørgsmål

    • AI-compliance som salgsargument

    Stærk AI-compliance kan vende sig fra due diligence-udfordring til salgsargument:

  • Reduceret risikoprofil: En opkøber der ser fuldt dokumenteret compliance behøver ikke prissætte compliance-risiko ind i opkøbsprisen
  • Troværdighedssignal: Virksomheder med stærk AI-governance sender signal om teknisk modenhed
  • Konkurrencefordel: I sektorer der kræver høj grad af tillid (healthcare, fi

    • Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr