Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om kunstig intelligens — populært kaldet EU AI Act — indeholder et sanktionsregime, der i sin strengeste udgave overgår selv GDPR-bødeniveauerne. Artikel 99 fastsætter de administrative bøder, og det er afgørende for enhver virksomhed, der udvikler, importerer, distribuerer eller anvender AI-systemer i EU, at forstå, hvilke overtrædelser der udløser hvilke konsekvenser.
Denne artikel gennemgår alle tre bødeniveauer, de nationale myndigheders skønsbeføjelse, SMV-lempelserne, markedsovervågningsrammens beføjelser, de danske tilsynsmyndigheder, EU AI Offices rolle og forholdet til GDPR — og afslutter med en konkret risikovurdering for danske virksomheder.
1. EU AI Acts sanktionsregime: tre niveauer og proportionalitetsprincippet
Artikel 99 i EU AI Act opstiller tre differentierede bødeniveauer baseret på overtrædelsens alvorlighed. Logikken spejler en pyramidestruktur: de alvorligste overtrædelser — dem der truer grundlæggende rettigheder — straffes hårdest, mens tekniske og proceduremæssige fejl behandles med større mildhed.
Proportionalitetsprincippet er centralt i hele sanktionsstrukturen. Artikel 99, stk. 2 fastslår, at bøderne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have en afskrækkende virkning. Myndighederne skal ved fastsættelse af bøden bl.a. vurdere: overtrædelsens karakter, alvor og varighed, eventuelle tidligere overtrædelser, det opnåede fortjenstgrundlag eller undgåede tab, samarbejde med myndighederne, samt om overtrædelsen er sket forsætligt eller uagtsomt.
De tre niveauer kan opsummeres:
| Overtrædelsestype | Maksimal bøde (juridisk person) |
|---|---|
| Art. 5 — forbudte AI-praksisser | 35 mio. EUR eller 7% af global årsomsætning |
| Annex III + kerneforpligtelser + Art. 50 transparenskrav | 15 mio. EUR eller 3% af global årsomsætning |
| Misvisende info til myndigheder/notified bodies | 7,5 mio. EUR eller 1% af global årsomsætning |
Det er altid den højeste af de to størrelser (fast beløb vs. procentandel), der anvendes som loft — ikke summen. For en stor dansk koncern med 500 mio. EUR i global omsætning vil 7%-niveauet udgøre 35 mio. EUR, mens loftet for samme virksomhed ved Annex III-overtrædelser er 15 mio. EUR.
2. Art. 99, stk. 3: 35 mio. EUR / 7% for overtrædelse af Art. 5 (forbudte praksisser)
Den højeste bødetærskel i EU AI Act er reserveret til overtrædelser af artikel 5, som forbyder en række AI-praksisser, der anses for at udgøre en uacceptabel risiko for samfundet og den menneskelige værdighed.
Forbudte praksisser ifølge Art. 5 (gældt fra 2. februar 2025) omfatter bl.a.:
Overtrædelse af disse forbud udløser bøder op til 35 mio. EUR eller 7% af den samlede globale årsindtægt i det foregående regnskabsår — og det er det højeste beløb, der finder anvendelse.
Det er værd at bemærke, at forbuddene i Art. 5 trådte i kraft allerede den 2. februar 2025, seks måneder efter EU AI Acts ikrafttrædelse den 1. august 2024. Virksomheder, der i dag anvender AI-systemer med social scoring-elementer, manipulative brugergrænseflader eller ubegrænsede biometriske databaser, er allerede i risikoeksponering.
3. Art. 99, stk. 4: 15 mio. EUR / 3% for overtrædelse af Annex III-forpligtelser
Det midterste bødeniveau gælder for overtrædelser af forpligtelserne knyttet til højrisiko-AI-systemer oplistet i Bilag III (Annex III) til forordningen. Annex III-systemerne omfatter AI på områder som: