Når en dansk virksomhed køber et AI-system af en softwareleverandør, opstår straks et centralt spørgsmål: hvem bærer det juridiske ansvar, hvis systemet ikke lever op til EU AI Act? Er det leverandøren, der har bygget systemet? Er det din virksomhed, der anvender det? Eller deler I ansvaret — og i givet fald, hvordan?
Artikel 25 i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 om kunstig intelligens — bedre kendt som EU AI Act — adresserer netop dette spørgsmål. Bestemmelsen fastlægger de betingelser, under hvilke en deployer (en virksomhed, der anvender et AI-system) kan overtage udbyderens (leverandørens) fulde forpligtelser, og hvornår ansvarsfordelingen forskydes langs leverandørkæden. Artikel 26 og 28 supplerer billedet med deployers egne grundlæggende forpligtelser og importørers og distributørers mulighed for at påtage sig udbyderansvar.
Denne artikel gennemgår de centrale regler trin for trin og giver dig konkrete redskaber til at styre ansvarsfordelingen i dine leverandørkontrakter.
1. Udbyderbegrebet vs. deployerbegrebet: de to primære rolledefinitioner
EU AI Act sondrer skarpt mellem to nøgleroller i AI-værdikæden.
Udbyderen (*provider* på engelsk, *Anbieter* på tysk) er den fysiske eller juridiske person, der udvikler et AI-system eller et AI-system til generel anvendelse med henblik på at bringe det i omsætning eller ibrugtage det under eget navn eller varemærke, hvad enten det sker mod betaling eller gratis, jf. Art. 3, stk. 1, nr. 3, i (EU) 2024/1689. Udbyderen er den primære forpligtede i forordningens kapitel III, der stiller krav om teknisk dokumentation, risikoledelse, datakvalitet og overensstemmelsesvurdering for højrisiko-AI-systemer.
Deployeren (*deployer*, tidligere *bruger* i tidlige forhandlingstekster) er den fysiske eller juridiske person, offentlige myndighed, det organ eller den offentlig-private sammenslutning, der anvender et AI-system under eget ansvar, bortset fra personlig ikke-erhvervsmæssig brug, jf. Art. 3, stk. 1, nr. 4, i (EU) 2024/1689. Deployeren er klassisk set den virksomhed, der køber et færdigudviklet AI-system og sætter det i drift i sin forretningsproces — for eksempel et HR-team, der anvender et rekrutteringsscreeningssystem leveret som SaaS.
Udgangspunktet i forordningen er, at udbydere bærer det tunge overholdelsesloft: de skal sikre, at systemet overholder kravene i Art. 9–15 (risikoledelse, datakvalitet, teknisk dokumentation, logning, gennemsigtighed, menneskelig tilsyn, nøjagtighed og robusthed) inden markedsføring. Deployers bærer et lettere sæt forpligtelser, navnlig dem i Art. 26, men overtager ikke automatisk udbyderens forpligtelser — med mindre specifikke betingelser er opfyldt.
2. Art. 25 stk. 1: hvornår bliver en deployer til udbyder? Fire scenarier
Art. 25, stk. 1, i (EU) 2024/1689 opstiller fire konkrete situationer, der medfører, at en deployer eller en tredjepart fuldt ud overtager udbyderens forpligtelser:
Scenarie 1: Eget navn og varemærke. En distributør, importør, deployer eller anden tredjepart bringer et højrisiko-AI-system i omsætning eller ibrugtager det under sit eget navn eller varemærke. Det sker eksempelvis, når en dansk HR-softwarevirksomhed køber et udenlandsk AI-scoringssystem og sælger det videre som "XYZ HR-Insights" — uden at ændre systemet teknisk set. Det er nok at bruge sit eget varemærke.
Scenarie 2: Væsentlig ændring. En deployer foretager en væsentlig ændring (*substantial modification*) af et højrisiko-AI-system, der allerede er bragt i omsætning eller idriftsat. Hvad der udgør en "væsentlig ændring" defineres i Art. 3, stk. 1, nr. 23, og uddybes i betragtning 66: der er tale om en ændring, som påvirker overholdelsen af kravene i forordningens kapitel III, afdeling 2, eller som ændrer det tilsigtede formål, som systemet var vurderet til at opfylde. En simpel konfigurationsændring inden for leverandørens dokumenterede parametre er normalt *ikke* en væsentlig ændring — men træning af modellen på ny data eller tilføjelse af nye beslutningslag kan sagtens være det.
Scenarie 3: Ændring af tilsigtet formål. En deployer ændrer det tilsigtede formål med et AI-system, herunder et system til generel anvendelse, der allerede er bragt i omsætning eller idriftsat. Eksempel: en virksomhed køber et AI-system, der er markedsført som et "produktivitetsværkt