AI og jura: Den komplette guide til juridiske udfordringer ved brug af kunstig intelligens i 2026

Kunstig intelligens er ikke længere et fremtidsscenarie – det er en daglig realitet i de fleste digitale bureauer og virksomheder. Men med AI's indtog følger en række juridiske udfordringer, som mange virksomheder endnu ikke har taget stilling til. Hvem ejer det indhold, en AI genererer? Hvad sker der, når en AI-chatbot lover en kunde noget, virksomheden ikke vil stå ved? Og hvad kræver EU's nye AI-forordning egentlig af din virksomhed?

Vi deltog for nylig i et møde hos ITB's UX-udvalg, hvor en førende erhvervsadvokat gennemgik de mest presserende juridiske udfordringer ved brug af AI. Det blev en øjenåbner – ikke mindst fordi mange af risiciene er langt mere konkrete og nærværende, end de fleste forventer.

Denne artikel er vores forsøg på at destillere de vigtigste indsigter og kombinere dem med vores egen erfaring som digitalt bureau, der arbejder med AI hver dag. Vi dækker tre centrale dimensioner: hvad du putter ind i en AI (input), hvad der kommer ud (output), og hvordan du styrer det hele (governance).

De tre juridiske dimensioner ved AI

Når man taler om juridiske udfordringer ved AI, er det nyttigt at tænke i tre lag. Der er det, der går ind i AI-værktøjet (input), det der kommer ud (output), og det overordnede system, der styrer brugen (governance). Hver dimension har sine egne juridiske faldgruber, og de fleste virksomheder har kun forholdt sig til en eller to af dem.

Hos CPHD har vi været nødt til at forholde os til alle tre, fordi vi både udvikler AI-drevne løsninger for kunder og selv bruger AI som en integreret del af vores workflow. Den erfaring har lært os, at jura og teknologi ikke kan adskilles – og at det er billigere at tænke compliance ind fra starten end at rydde op bagefter.

Dimension 1: Input – Hvad du fodrer AI'en med

Persondata og GDPR

Den mest oplagte risiko ved input handler om persondata. Når en medarbejder kopierer en kundeliste ind i ChatGPT for at lave en segmentering, eller uploader et dokument med personoplysninger til et AI-værktøj, sker der potentielt en overførsel af persondata til en tredjepartsudbyder. Det kan udløse en række GDPR-forpligtelser, som virksomheden måske slet ikke har taget stilling til.

Spørgsmålene er konkrete: Har I en databehandleraftale med AI-udbyderen? Bliver data brugt til at træne modellen videre? Overfører I data til et tredjeland uden tilstrækkeligt beskyttelsesniveau? For mange virksomheder er svaret, at de simpelthen ikke ved det – og det er i sig selv et complianceproblem.

Offentlig vs. privat AI

En central skelnen, der ofte bliver overset, er forskellen mellem offentlige og private AI-instanser. Når du bruger den gratis version af ChatGPT, kan dine data potentielt indgå i træningsdata. Bruger du en enterprise-løsning eller en privat API, har du typisk større kontrol over, hvad der sker med dine data – men du skal stadig sikre dig, at vilkårene faktisk afspejler det.

Hos CPHD har vi netop af den grund besluttet kun at bruge godkendte AI-værktøjer, hvor vi har fuldt overblik over dataflow og vilkår. Vi bruger ikke tilfældige gratis-værktøjer til kundearbejde, uanset hvor fristende det kan være. Det er en bevidst beslutning, der handler om at beskytte både vores kunder og os selv.

Ansvar for det, der går ind

Et vigtigt juridisk princip er, at den virksomhed, der implementerer AI-løsningen, bærer ansvaret for, hvad der fodres ind i den. Det betyder, at hvis en medarbejder uploader fortrolige kundedata, strategiske dokumenter eller personhenførbare oplysninger, er det virksomhedens ansvar – ikke AI-udbyderens. Det understreger behovet for klare interne retningslinjer for, hvad der må og ikke må bruges som input.

Dimension 2: Output – Hvad AI'en leverer

Ophavsret på AI-genereret indhold

Et af de mest debatterede spørgsmål inden for AI og jura er, om AI-genereret indhold kan ophavsretsbeskyttes. I EU er svaret per i dag relativt klart: ophavsret kræver en menneskelig ophavsmand. Indhold, der er skabt udelukkende af en AI uden væsentlig menneskelig kreativ indsats, kan som udgangspunkt ikke ophavsretsbeskyttes.

Europa-Parlamentet vedtog i marts 2026 en række anbefalinger, der slår fast, at AI-genereret indhold uden menneskelig ophavsindsats bør forblive udelukket fra ophavsretsbeskyttelse. Parlamentet understreger desuden, at AI-udbydere skal levere fuld gennemsigtighed om, hvilke ophavsretsbeskyttede værker der er brugt til træning, og at rettighedshavere skal have mulighed for at udelukke deres indhold fra AI-træning.

For virksomheder betyder det en konkret risiko: Hvis du bruger AI til at generere billeder, tekster eller video til kommerciel brug, kan du ikke nødvendigvis beskytte det output med ophavsret. Andre kan potentielt kopiere og genbruge det frit. Det er en risiko, som mange virksomheder slet ikke har overvejet.

Fra vores egen praksis: Hos CPHD har vi kunder, hvor vi netop af denne grund bevidst ikke bruger AI til at producere billeder og video. Når vi arbejder med store streaming- og mediebrands, er det afgørende, at alt visuelt indhold er fuldt ophavsretsbeskyttet. Brugen af AI-genereret materiale ville skabe en juridisk usikkerhed, som hverken vi eller kunden kan acceptere. Det er et konkret eksempel på, at AI ikke altid er det rigtige værktøj – og at det kræver faglig vurdering at afgøre, hvornår AI skaber værdi, og hvornår det skaber risiko.

Mærkning af AI-genereret indhold

EU AI Act introducerer krav om, at AI-genereret indhold skal mærkes, så brugere kan se, at det er skabt af en maskine. De såkaldte transparensregler i artikel 50 træder i kraft fra august 2026 og stiller krav om, at syntetisk lyd, billeder, video og tekst skal kunne identificeres som AI-genereret – for eksempel via vandmærker eller metadata.

EU-Kommissionen har offentliggjort et udkast til en Code of Practice for mærkning af AI-genereret indhold i begyndelsen af 2026, og den endelige version forventes at træde i kraft i løbet af året. For AI-systemer, der allerede er på markedet før august 2026, er der foreslået en yderligere frist på seks måneder til at implementere mærkningskravene.

For digitale bureauer og marketingafdelinger har det en praktisk konsekvens: Når I bruger AI til at generere indhold – hvad enten det er tekst til en hjemmeside, grafik til sociale medier eller video til en kampagne – skal I fremover være transparente om, at AI har været involveret. Det kræver nye workflows og klare retningslinjer.

Agentansvar: Når AI'en lover noget på dine vegne

En af de mest opsigtsvækkende juridiske udviklinger inden for AI handler om agentansvar – altså spørgsmålet om, hvornår en virksomhed er bundet af det, dens AI-chatbot siger til en kunde.

Den mest kendte sag er fra Canada, hvor et flyselskab blev fundet ansvarligt, efter at dets AI-chatbot fejlagtigt havde fortalt en kunde, at han kunne søge om en rabat efter sin rejse. Det viste sig at være forkert, men da kunden klagede, forsøgte flyselskabet at argumentere for, at chatbotten var en selvstændig juridisk enhed, der var ansvarlig for sine egne handlinger. Retten afviste dette fuldstændigt og slog fast, at chatbotten var en del af virksomhedens hjemmeside, og at virksomheden bar det fulde ansvar for al information, uanset om den kom fra en statisk side eller en chatbot.

Afgørelsen etablerede flere vigtige principper: Virksomheder er ansvarlige for de oplysninger, deres AI-værktøjer giver til kunder. Kunder kan ikke pålægges at dobbelttjekke chatbot-information mod andre dele af hjemmesiden. Og virksomheder kan ikke outsource deres ansvar til en AI-leverandør eller gemme sig bag teknologiske begrænsninger.

I en dansk og europæisk kontekst kan man forvente, at domstolene vil følge samme logik. Virksomheder, der implementerer kundevendte AI-chatbots, bør derfor sikre, at botten ikke kan give tilsagn eller løfter, som virksomheden ikke er villig til at honorere. Det kan betyde, at man begrænser chatbottens funktionalitet til at linke til eksisterende politikker i stedet for at lade den generere selvstændige svar om vilkår, priser eller rettigheder.

Fejl og konsistens

En ofte overset risiko er AI's tendens til at producere inkonsistente eller direkte forkerte resultater – såkaldte hallucinationer. Når en AI genererer et faktuelt udsagn, der lyder overbevisende men er forkert, og det ender i et offentliggjort dokument, på en hjemmeside eller i en kundekommunikation, er det virksomheden, der hæfter for fejlen.

Det er præcis derfor, vi hos CPHD konsekvent kvalitetssikrer alt AI-genereret output manuelt. Uanset om det drejer sig om tekst, kode eller dataanalyse, gennemgår en medarbejder altid resultatet, før det leveres til en kunde eller offentliggøres. AI er et værktøj – ikke en autopilot.

Dimension 3: Governance – Styring og kontrol

EU AI Act: Hvad er status i 2026?

EU's AI-forordning (AI Act) er verdens første omfattende lovgivning om kunstig intelligens. Forordningen trådte i kraft den 1. august 2024 og implementeres trinvist frem mod fuld anvendelse. De første regler om forbudte AI-praksisser og kravet om AI-færdigheder (AI literacy) har været gældende siden februar 2025. Reglerne for generelle AI-modeller (GPAI) har været gældende siden august 2025. Hovedparten af de øvrige regler – herunder kravene til højrisiko-AI og transparensforpligtelserne – har en generel anvendelsesdato den 2. august 2026.

Det er dog værd at bemærke, at billedet er i bevægelse. EU-Kommissionen fremlagde i november 2025 den såkaldte Digital Omnibus-pakke, der blandt andet foreslår en forsinkelse af kravene til højrisiko-AI-systemer. Forslaget kobler ikrafttrædelsen af højrisiko-kravene til, at de nødvendige tekniske standarder og vejledninger er klar – og sætter en yderste deadline i december 2027 for de mest krævende kategorier. Kommissionen har desuden foreslået en ekstra frist på seks måneder for mærkningskrav til AI-genereret indhold, for systemer der allerede er på markedet.

Vigtigst er det at forstå, at Digital Omnibus-pakken endnu ikke er vedtaget. Den skal gennem både Europa-Parlamentet og Rådet, og der er ingen garanti for, at den vedtages inden august 2026. Hvis den ikke vedtages inden da, gælder de oprindelige frister. Det skaber en situation med betydelig usikkerhed, hvor virksomheder bør planlægge efter de eksisterende deadlines – men holde øje med, om de bliver rykket.

AI Act: Risikoklassificering

AI Act bygger på en risikobaseret tilgang, der inddeler AI-systemer i fire kategorier. Forbudte AI-systemer omfatter teknologier, der anses for at udgøre en uacceptabel risiko – f.eks. social scoring, manipulativ AI rettet mod sårbare grupper og visse former for biometrisk masseovervågning. Disse forbud er allerede trådt i kraft.

Højrisiko-AI dækker systemer, der bruges i kritiske områder som sundhed, rekruttering, kreditvurdering, retshåndhævelse og uddannelse. Disse systemer bliver underlagt omfattende krav til dokumentation, risikostyring, datastyring, menneskeligt tilsyn og gennemsigtighed.

Begrænset risiko handler primært om gennemsigtighed – f.eks. at brugere skal informeres, når de interagerer med en chatbot, og at AI-genereret indhold skal mærkes. Minimal risiko dækker størstedelen af AI-systemer, der bruges i dag – herunder spamfiltre, AI i spil og generelle skriveassistenter – og er som udgangspunkt ikke underlagt specifikke krav ud over AI-færdigheder.

For de fleste digitale bureauer og mellemstore virksomheder vil AI-systemerne typisk falde i kategorierne begrænset eller minimal risiko. Men det er vigtigt at lave en konkret vurdering, da nogle anvendelser – f.eks. AI til automatiserede beslutninger om personer eller AI i rekruttering – kan falde ind under højrisiko.

AI literacy: Et krav der allerede gælder

Et af de mest oversete krav i AI Act er artikel 4 om AI-færdigheder (AI literacy). Siden februar 2025 har alle virksomheder, der udbyder eller bruger AI-systemer, haft pligt til at sikre, at deres medarbejdere har tilstrækkelige AI-færdigheder. Kravet gælder uanset AI-systemets risikoklassificering.

Hvad "tilstrækkelig" betyder i praksis, er op til den enkelte virksomhed at vurdere, da forordningen ikke specificerer konkrete krav. Digitaliseringsstyrelsen har udgivet en vejledning, der anbefaler en differentieret tilgang baseret på medarbejderens rolle: Slutbrugere skal have basal forståelse for AI's muligheder og begrænsninger. Medarbejdere, der arbejder tæt med AI, skal forstå risici, datahåndtering og kvalitetssikring. Udviklere og beslutningstagere skal have dybere teknisk og juridisk viden.

Dansk Standard har desuden lanceret en national guide (DS/PAS 2500-4:2025) om AI-færdigheder, der giver konkret vejledning til virksomheder om, hvordan de opfylder kravet. Kravet om AI-færdigheder kan ikke i sig selv udløse bøder, men kan have afledte konsekvenser – og manglende AI literacy kan være en medvirkende faktor, hvis der sker andre overtrædelser af forordningen.

Leverancekædeansvar

AI Act placerer ansvar i hele AI-værdikæden – fra udviklere (providers) over distributører til de virksomheder, der implementerer AI-systemerne (deployers). Det betyder, at du som virksomhed ikke kan skyde ansvaret fra dig ved at sige, at det er AI-leverandørens problem. Hvis du implementerer et AI-system, bærer du et selvstændigt ansvar for, at det bruges korrekt, at brugere informeres, og at der er tilstrækkeligt menneskeligt tilsyn.

For digitale bureauer som CPHD, der udvikler og implementerer AI-løsninger på vegne af kunder, er det særligt relevant. Vi befinder os i krydsfeltet mellem udbyder og implementeringspartner, og vi har et ansvar i begge retninger – over for de AI-udbydere, vi bruger, og over for de kunder, vi leverer til.

Governance-system: En struktureret tilgang

Uanset om din virksomhed er direkte berørt af højrisiko-kravene eller ej, er der god grund til at etablere et internt governance-system for AI-brug. Et godt governance-system sikrer, at I har overblik over, hvilke AI-systemer der bruges i virksomheden, at der er klare retningslinjer for input og output, at ansvar er placeret, og at kvalitetssikring er en integreret del af processen.

I praksis kan det se ud som en kombination af flere elementer: en AI-politik, der definerer, hvilke værktøjer der er godkendt, og hvad de må bruges til; træning af medarbejdere i AI-færdigheder tilpasset deres roller; dokumentation af AI-brug, herunder hvilke systemer der bruges til hvad; kvalitetssikringsprocedurer for AI-output; og en løbende evaluering af nye juridiske krav og teknologiske muligheder.

Sådan arbejder vi med AI governance hos CPHD

For os handler AI governance ikke om at være bange for teknologien – det handler om at bruge den ansvarligt og professionelt. Vi har implementeret en række konkrete tiltag, der tilsammen udgør vores tilgang til ansvarlig AI-brug.

Vi har interne retningslinjer for AI-brug, der definerer, hvilke værktøjer der er godkendt til forskellige typer opgaver, og hvilke typer data der aldrig må bruges som input i AI-systemer. Det gælder f.eks. personfølsomme kundedata, fortrolige strategidokumenter og materiale, der er underlagt NDA-aftaler.

Alt AI-genereret output kvalitetssikres manuelt, inden det leveres til en kunde eller publiceres. Vi ser AI som et accelerationsværktøj, der kan booste produktiviteten markant, men den endelige kvalitetsvurdering er altid menneskelig. Det gælder tekst, kode, design og dataanalyse.

Vi bruger udelukkende godkendte AI-værktøjer med dokumenterede vilkår for datahåndtering. Gratis AI-tools, hvor vilkårene er uklare, eller hvor data potentielt bruges til træning, er ikke en del af vores workflow, når det drejer sig om kundearbejde.

Og som nævnt har vi kunder, hvor vi bevidst ikke bruger AI til produktion af visuelt indhold. Når ophavsret er kritisk – som det f.eks. er i medie- og underholdningsbranchen – vælger vi at producere alt manuelt for at sikre fuld juridisk beskyttelse.

Praktisk tjekliste: 10 ting du bør gøre nu

Uanset hvor langt din virksomhed er med AI, er der en række konkrete tiltag, du bør iværksætte allerede nu.

1. Kortlæg jeres AI-systemer. Hvilke AI-værktøjer bruges i virksomheden i dag – herunder systemer, som medarbejdere måske bruger på eget initiativ?
2. Vurdér risikoklassificeringen af hvert system i henhold til AI Act.
3. Etablér interne retningslinjer for AI-brug, der definerer godkendte værktøjer, tilladte use cases og forbudte typer input.
4. Sikr tilstrækkelige AI-færdigheder hos alle medarbejdere, der arbejder med AI – dette krav gælder allerede.
5. Implementér kvalitetssikring af alt AI-output, inden det bruges eksternt.
6. Gennemgå GDPR-compliance i forhold til de AI-værktøjer, I bruger – herunder databehandleraftaler og overførsler til tredjelande.
7. Vurdér kundevendte AI-systemer (chatbots, automatiserede svar) – kan de give tilsagn, som virksomheden er bundet af?
8. Tag stilling til ophavsret. Kan jeres AI-genererede indhold beskyttes, og bruger I indhold, der potentielt krænker andres rettigheder?
9. Etablér dokumentation af jeres AI-brug – hvad der bruges til hvad, og hvordan kvalitetssikringen foregår.
10. Hold jer opdateret på den reguleringsmæssige udvikling, herunder Digital Omnibus-pakken og de nationale danske implementeringslove.

Hvad det betyder for din virksomhed

Juridiske udfordringer ved AI er ikke et niche-emne for jurister og compliance-afdelinger. Det er en strategisk forretningsrisiko, der berører marketingafdelinger, IT-teams, ledelsesgrupper og alle, der træffer beslutninger om, hvordan AI bruges i organisationen.

De virksomheder, der tager det seriøst og opbygger en solid governance-struktur allerede nu, vil stå langt stærkere, når den fulde regulering træder i kraft. De vil kunne bruge AI med tillid – og de vil kunne dokumentere over for kunder, partnere og myndigheder, at de gør det ansvarligt.

Omvendt risikerer virksomheder, der ignorerer de juridiske dimensioner, at stå med reguleringsmæssige problemer, erstatningskrav eller tab af ophavsretsbeskyttelse, når reglerne for alvor begynder at bide.

AI er en fantastisk teknologi, der kan skabe enorm værdi. Men ligesom enhver anden teknologi kræver den, at man bruger den med omtanke, med faglighed og med respekt for de juridiske rammer, der omgiver den.