PowerQuant

Bøder og Sanktioner under EU AI Act: Den Komplette Oversigt for Danske Virksomheder

PowerQuant · EU AI Act compliance

slug: eu-ai-act-boeder-sanktioner-komplette-oversigt

title: "Bøder og Sanktioner under EU AI Act: Den Komplette Oversigt for Danske Virksomheder"

meta_description: "Forstå de tre bødeniveauer under EU AI Act — op til 35 mio. EUR — og hvad der konkret trigger en sanktion. Inkl. SMV-rabat, GDPR-sammenhæng og praktisk regneeksempel for danske virksomheder."

focus_keyphrase: "EU AI Act bøder sanktioner"

tags: [EU AI Act, compliance, bøder, sanktioner, SMV, regulering]

status: READY_FOR_PUBLISH

created: 2026-05-14

sp_code: SP-C-502

EU AI Act er ikke blot en vejledning eller et sæt best-practice-anbefalinger. Det er håndhævbar EU-lovgivning med bøder, der i størrelse overgår selv de skarpeste GDPR-sanktioner. Fra den 2. august 2026 gælder de fulde forpligtelser for høj-risiko AI-systemer, og tilsynsmyndighederne har allerede begyndt at opbygge kapacitet til at håndhæve dem.

Denne artikel giver dig en komplet, faktabaseret oversigt over de tre bødeniveauer, hvad der konkret trigger dem, hvilken rabat SMV'er kan opnå, hvordan sanktionerne forholder sig til GDPR — og hvad en dansk virksomhed med 50 millioner kr. i omsætning realistisk set kan forvente at betale ved en overtrædelse.

De tre bødeniveauer i EU AI Act

EU AI Act fastsætter tre distinkte sanktionsniveauer i artikel 99. Beløbene er angivet i euro (EUR), som er den juridiske enhed i forordningen.

Tier 1 — Op til 35 millioner EUR eller 7 % af global omsætning

Det højeste sanktionsniveau gælder overtrædelser af artikel 5, der forbyder en række AI-praksisser direkte. Beløbet er det *højeste* af de to størrelser: 35 millioner EUR eller 7 % af virksomhedens samlede globale omsætning i det foregående regnskabsår.

Hvad trigger Tier 1?

Artikel 5 opregner de praksisser, EU-lovgiver har vurderet udgør en uacceptabel risiko for grundlæggende rettigheder:

  • Social scoring-systemer: AI der vurderer fysiske personers sociale adfærd og tildeler en score, der bruges til at begrænse rettigheder eller yde ringere behandling i ikke-relaterede sammenhænge.
  • Manipulerende AI-teknikker: Systemer der udnytter personers psykologiske svagheder, alder eller handicap for at forvrænge adfærd på en måde, der forvolder eller sandsynligvis vil forvolde skade.
  • Real-time biometrisk fjernidentifikation i offentlige rum: Anvendelse af live-overvågning til at identificere fysiske personer i realtid, med meget begrænsede undtagelser (f.eks. efterforskning af visse alvorlige forbrydelser med forudgående domstolstilladelse).
  • Biometrisk kategorisering: AI der udleder følsomme karakteristika som politisk overbevisning, religiøs tilknytning eller seksuel orientering udelukkende på baggrund af biometriske data.
  • Ansigtsgenkendelses-databaser via ukritisk scraping: Opbygning af databaser over ansigtsafbildninger ved masseindsamling fra internettet eller CCTV-optagelser.
  • Emotion-detection på arbejdspladsen og i uddannelse: AI der aflæser eller udleder medarbejderes eller studerendes følelsestilstand under arbejde eller undervisning.
  • Forudsigelse af kriminalitet baseret på personlighedstræk: Brug af AI til at vurdere, om en person vil begå en forbrydelse, udelukkende baseret på personlighedstræk, sociale relationer eller adfærdsprofiler.

    • Disse forbud trådte i kraft den 2. februar 2025. Virksomheder der på dette tidspunkt allerede drev systemer inden for disse kategorier, var forpligtet til at afvikle dem.

    Tier 2 — Op til 15 millioner EUR eller 3 % af global omsætning

    Det mellemste sanktionsniveau er det, de fleste danske virksomheder bør koncentrere sig om. Det gælder overtrædelse af kerneforpligtelserne for høj-risiko AI-systemer — de systemer, der er oplistet i Annex III til forordningen.

    Annex III-systemer inden for HR og beskæftigelse omfatter bl.a. AI brugt til rekruttering og udvælgelse, præstationsvurdering, forfremmelse, opsigelse, opgaveallokering og overvågning.

    Hvad trigger Tier 2?

  • Manglende risikoledelsessystem (artikel 9): Virksomheder der anvender høj-risiko AI, skal etablere et løbende risikoledelsessystem der identificerer, analyserer og mitigerer risici igennem hele systemets livscyklus. Fravær af dette system er en Tier 2-overtrædelse.
  • Utilstrækkeligt kvalitetsstyringssystem/QMS (artikel 17): Udbydere af høj-risiko AI er forpligtet til at opretholde et dokumenteret kvalitetsstyringssystem, der dækker design, testing, overvågning og opdateringer.
  • Datakvalitetsproblemer (artikel 10): Trænings-, validerings- og testdata skal opfylde fastlagte kvalitetskriterier. Brug af fejlbehæftede eller skæve datasæt uden dokumenterede mitigeringstiltag kan udløse sanktioner.
  • Manglende konformitetsvurdering (artikel 43): Høj-risiko systemer skal gennemgå en konformitetsvurdering inden markedsføring. I mange tilfælde kan leverandøren selv forestå denne vurdering (intern konformitetsvurdering), men processen skal være dokumenteret og afslutte med en EU-overensstemmelseserklæring.
  • Manglende registrering i EU-databasen (artikel 71): Visse høj-risiko AI-systemer skal registreres i den offentlige EU-database inden de sættes i drift.
  • Manglende teknisk dokumentation (Annex IV): Den tekniske dokumentation, der kræves i henhold til Annex IV, er ikke blot en formalitet — den udgør bevisgrundlaget for, at systemet er konformt.
  • Utilstrækkelig menneskelig tilsyn (artikel 14): Høj-risiko AI-systemer skal designes og implementeres, så de mennesker der anvender dem, effektivt kan overvåge, forstå og om nødvendigt override systemets output.

    • Tier 3 — Op til 7,5 millioner EUR eller 1,5 % af global omsætning

    Det laveste bødeniveau gælder overtrædelser af mere administrative og transparensrelaterede forpligtelser — herunder kravene i artikel 52 om gennemsigtighed over for brugere.

    Hvad trigger Tier 3?

  • Manglende transparens-label på chatbots (artikel 52, stk. 1): Systemer der interagerer med mennesker i naturligt sprog, skal tydeligt informere brugeren om, at de kommunikerer med en AI — medmindre dette er åbenlyst ud fra konteksten.
  • Manglende oplysning om deepfake-indhold (artikel 52, stk. 3): AI-genereret indhold der efterligner virkelige personer eller begivenheder, herunder deepfake-video og -lyd, skal mærkes som AI-genereret.
  • Forkert eller mangelfuld dokumentation til myndigheder: Hvis virksomheden afgiver ukorrekte, ufuldstændige eller vildledende oplysninger til nationale tilsynsmyndigheder eller til Kommissionen i forbindelse med tilsyn.
  • Fejlagtig klassificering: En virksomhed der bevidst eller uagtsomt klassificerer et høj-risiko AI-system som ikke-høj-risiko for at omgå forpligtelserne.

    • Tier 3 kan virke beskeden i sammenligning med Tier 1 og 2, men 7,5 millioner EUR eller 1,5 % af global omsætning er stadig en meget væsentlig sanktion for de fleste danske SMV'er.

    SMV-rabatten: Det laveste beløb gælder

    En af de

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr