PowerQuant

Post-Brexit: Gælder EU AI Act for UK-virksomheder med EU-kunder?

PowerQuant · EU AI Act compliance for HR-tech

Disclaimer: PowerQuant leverer teknisk compliance-dokumentation — ikke juridisk rådgivning. Har du brug for juridisk vejledning, bør du konsultere en kvalificeret advokat med speciale i EU-regulering.

Den korte version: Brexit fjernede ikke EU's lange arm

Mange UK-baserede softwarevirksomheder — særligt inden for HR, rekruttering og workforce management — sælger i dag aktivt til kunder i Danmark, Tyskland, Nederlandene og andre EU-lande. En udbredt misforståelse er, at Brexit har skabt et regulatorisk fristed: at man som britisk virksomhed ikke længere behøver at forholde sig til EU's nye lovgivning.

EU AI Act ødelægger den antagelse fuldstændigt.

Forordningen indeholder en ekstraterritorial bestemmelse, der er næsten identisk i sin logik med GDPR's geografiske rækkevidde. Det betyder, at er du UK-baseret softwareleverandør og dine AI-funktioner bruges af medarbejdere eller kandidater i EU — så er du med stor sandsynlighed omfattet. Uanset om dit datacenter ligger i London, Dublin eller Hong Kong.

Denne artikel forklarer præcist hvornår og hvorfor, hvad de praktiske forpligtelser er, og hvad du som UK-virksomhed med danske eller europæiske kunder konkret bør gøre nu.

EU AI Act Art. 2: Ekstraterritorial scope som udgangspunkt

EU AI Act (forordning 2024/1689) trådte formelt i kraft den 1. august 2024. Den fulde Annex III-pligtige håndhævelse af høj-risiko AI-systemer starter den 2. december 2027, men forbud mod uacceptabel risiko gælder fra 1. august 2024, og kravene om AI-literacy og kompetence (Art. 4) gælder fra 2. februar 2025.

Den centrale bestemmelse for geografisk rækkevidde er Artikel 2, stk. 1. Her fastslår forordningen, at den finder anvendelse på:

  • Udbydere (providers) der bringer AI-systemer på markedet i Unionen — uanset om udbyderen er etableret i EU eller ej.
  • Deployere (deployers) der anvender AI-systemer i Unionen.
  • Udbydere og deployere etableret i tredjelande, når AI-systemets output anvendes i Unionen.

    • Det tredje punkt er det afgørende for UK-virksomheder. Det er ikke nok at have et britisk CVR-nummer og en server i Slough. Hvis din platforms output — en rekrutteringsrangering, en lønprognosticering, en fraværsrisikovurdering — lander hos en HR-medarbejder i Aarhus eller en jobansøger i Berlin, er din software inden for forordningens territoriale scope.

    Logikken er bevidst. EU ønsker ikke et regulatorisk kapløb mod bunden, hvor softwarevirksomheder blot etablerer sig uden for EU for at undgå kravene, men fortsætter med at sælge ind på det europæiske marked. Samme argument kendes fra konkurrenceretten, persondataretten og produktsikkerhedslovgivningen.

    UK's eget AI-spor: Sektorbaseret frem for regelbaseret

    UK har siden Brexit valgt en markant anderledes tilgang til AI-regulering end EU. Mens EU har vedtaget en horisontalt bindende forordning med klare risikoklassifikationer, Annex-lister og overensstemmelsesvurderinger, har UK valgt en sektorbaseret og principbaseret model.

    Det britiske AI Security Institute arbejder primært med frontier-modeller og nationale sikkerhedsrisici. De britiske finanstilsynsmyndigheder (FCA, PRA), arbejdsmarkedsmyndigheder og Information Commissioner's Office (ICO) regulerer AI inden for deres respektive sektorer — men der er ingen enkelt bindende UK AI Act.

    Hvad det betyder i praksis for UK-virksomheder med EU-kunder:

    Du opererer under to parallelle regimer. UK's tilgang er fleksibel og vejledningsbaseret — EU AI Act er bindende og bødebelagt. For din EU-kundeportefølje er det EU AI Act der gælder, ikke hvad dit lokale tilsyn vurderer som god praksis.

    UK GDPR ≠ EU GDPR er allerede en realitet, selvom divergensen endnu er beskeden. Tilsvarende vil UK AI-principper ≠ EU AI Act-forpligtelser sandsynligvis blive stadig mere synligt over de kommende år, efterhånden som EU's håndhævelse eskalerer.

    Brexit har ikke medført et adequacy-vakuum for AI, fordi EU AI Act — i modsætning til GDPR — ikke kræver overførselsgrundlag. Den stiller krav til selve AI-systemets egenskaber og dokumentation, ikke til datastrømme. En UK-virksomhed behøver ikke en Transfer Impact Assessment for at være underlagt EU AI Act. Den er underlagt den, fordi outputtet lander i EU.

    Hvornår er en UK-virksomhed "provider"?

    Under EU AI Act er en provider (udbyder) defineret som en fysisk eller juridisk person der udvikler et AI-system (eller lader det udvikle) og bringer det på markedet under eget navn eller varemærke.

    For UK-baserede HR-softwarevirksomheder udløser følgende scenarier provider-status:

  • Du sælger din platform direkte til EU-baserede virksomheder under dit eget brand.
  • Du tilbyder en SaaS-løsning med AI-funktioner (rangering af ansøgere, fraværsprognosticering, medarbejdertrivselsscore) til EU-kunder.
  • Du licenserer din AI-komponent til en EU-baseret systemintegrator der videresælger under din teknologi.

    • Det er ikke afgørende om kontrakten er indgået under engelsk ret, om fakturaen er udstedt fra London, eller om support ydes fra et UK-callcenter. Det afgørende er, at AI-systemet bringes på det europæiske marked — dvs. at det er tilgængeligt for EU-baserede organisationer at købe eller anvende.

    Hvornår er en UK-virksomhed "deployer"?

    En deployer (anvender) er en organisation der anvender et AI-system i en professionel sammenhæng. Her opstår en vigtig distinktion for UK-virksomheder:

    Scenarie A: En britisk virksomhed har et europæisk datterselskab eller filialkontorer i EU. Virksomheden anvender sin interne HR-AI-platform til at vurdere EU-ansatte — til præstationsanmeldelse, lønjustering, forfremmelse eller afskedigelse. Her er virksomheden deployer under EU AI Act for den del af aktiviteten der vedrører EU-baserede medarbejdere.

    Scenarie B: En britisk rekrutteringsvirksomhed anvender et AI-rangerings­system til at screene kandidater til stillinger i EU-landene. Kandidaterne befinder sig i EU og er dermed de fysiske personer der berøres af AI-systemets output. Deployer-status opstår.

    Scenarie C: En britisk HR-platform anvender et AI-system til at generere ansættelsesbeslutningsstøtte for EU-kunder. Her kan virksomheden være både provider og deployer afhængigt af arkitekturen.

    Konsekvensen af deployer-status under Annex III-klassifikationen er ikke triviel. Deployere af høj-risiko AI-systemer har selvstændige forpligtelser, herunder gennemskuelighed over for berørte personer, interne overvågnings- og efterprøvningsprocedurer, og pligt til at rapportere alvorlige hændelser.

    Art. 22: EU-autoriseret repræsentant — og hvad det koster at undlade

    Artikel 22 er den bestemmelse der oftest overrasker UK-virksomheder. Hvis du som provider af et høj-risiko AI-system ikke er etableret i EU, skal du udpege en EU-autoriseret repræsentant (authorised representative) inden du bringer systemet på markedet.

    Repræsentanten skal:

  • Være etableret i et EU-medlemsland.
  • Have skriftlig fuldmagt til at agere på vegne af provideren.
  • Registreres i EU-databasen for høj-risiko AI-systemer (Art. 71 database).
  • Udgøre kontaktpunkt for nationale markedsovervågningsmyndigheder.

    • Dette er ikke en formalitet der kan udskydes til 2027. Registreringspligten gælder fra det tidspunkt AI-systemet bringes på det europæiske marked. For systemer der allerede er på markedet, løber overgangsfristen til 2. december 2027 for systemer der er klassificeret under Annex III — men dokumentationsgrundlaget og repræsentantaftalen bør etableres langt tidligere.

    Undladelse kan medføre bøder på op til **15 mio. EUR eller 3% af global om

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr