AI i direktionslokalet: Har jeres bestyrelse styr på det retlige ansvar bag virksomhedens algoritmer?

Implementeringen af kunstig intelligens (AI) er ikke længere et eksperimentelt it-projekt begravet i organisationens tekniske afdelinger. Det er en central, strategisk vækstdriver, som vinder indpas i alt fra automatisering af kundeservice og HR-processer til prædiktiv analyse i forsyningskæder og finansiel risikostyring.

Men med udrulningen af EU's AI Act, hvis regulatoriske krav for alvor slår igennem i 2026, har det retlige landskab ændret sig fundamentalt. AI er skiftet fra at være et ureguleret "Wild West" til at blive et område behæftet med massive compliancekrav, potentielle civilretlige erstatningsansvar og bøder, der kan true virksomhedens eksistens. For direktioner og bestyrelser betyder det, at AI-governance nu er et uomgængeligt ledelsesansvar.

Mange virksomheder begår den fejl at integrere tredjeparts AI-værktøjer i deres daglige drift uden en forudgående, juridisk risikovurdering. Det skaber en række kritiske, retlige sårbarheder:

Lækage af immaterielle rettigheder (IP) og forretningshemmeligheder: Hvis medarbejdere uforvarende indføder fortrolige kundedata, kildekode eller proprietære strategidokumenter i åbne, kommercielle AI-modeller, risikerer virksomheden at miste sin ophavsretlige beskyttelse, eller i værste fald at bryde tavshedspligtaftaler (NDA'er) med forretningspartnere.

Algoritmisk bias og diskrimination: Anvendes AI-systemer til f.eks. screening af jobansøgere eller kreditvurdering af kunder, og bærer algoritmen præg af skjult diskrimination, ligger det juridiske ansvar for overtrædelse af ligebehandlingslovgivningen suverænt hos den virksomhed, der anvender systemet – ikke hos softwareudvikleren.

Mangel på transparens og "Black Box"-problematikken: Ledelsen kan holdes ansvarlig for de beslutninger, virksomheden træffer. Hvis en AI-model træffer en fejlbehæftet, strategisk beslutning, der påfører aktionærer eller tredjeparter tab, kan ledelsen ikke dække sig ind under, at man ikke forstod algoritmens komplekse beregninger.

EU's AI Act anvender en risikobaseret tilgang, hvor AI-systemer inddeles i fire risikoklasser (Uacceptabel, Høj, Begrænset og Minimal). Systemer, der anvendes til kritisk infrastruktur, rekruttering eller evaluering af personers kreditværdighed, kategoriseres som højrisiko-systemer. Disse er underlagt drakoniske krav om risikostyring, logning af data, human overvågning og registrering i EU-databaser.

Overtrædelse af forbuddene eller compliancekravene i AI Act kan udløse administrative bøder på op til 35 millioner euro eller 7 % af virksomhedens globale årlige omsætning – alt efter hvad der er højest. Bøderne overstiger dermed rammerne fra GDPR markant. For en detaljeret gennemgang af de skatteretlige konsekvenser ved bøder og complianceomkostninger, se oversigten hos AL Skat.

For at minimere risikoen for ledelsesansvar og sikre, at virksomhedens AI-integration sker på et lovligt og etisk fundament, bør bestyrelsen proaktivt implementere følgende governancerammer:

Formuler en Corporate AI Policy: Etabler klare, bindende retningslinjer for, hvilke AI-værktøjer medarbejderne må anvende, og hvilke datatyper der under ingen omstændigheder må overdrages til eksterne sprogmodeller.

Gennemfør AI Due Diligence ved indkøb: Ved licensering af eksterne AI-systemer skal leverandørkontrakterne granskes med fokus på garantier for databeskyttelse, ophavsretlig clearing af træningsdata samt klare ansvars- og skadesløsholdelsesklausuler.

Sikre Human-in-the-Loop (HITL): Lovgivningen og god corporate governance kræver, at kritiske eller juridisk bindende beslutninger, der genereres af en AI, altid skal verificeres og godkendes af et kvalificeret menneske inden eksekvering.

Kunstig intelligens tilbyder exceptionelle forretningsmæssige fordele, men succesen afhænger af, at den teknologiske vision ledsages af en tilsvarende sofistikeret retlig risikostyring. Hos AAMANN Legal rådgiver vi direktioner og bestyrelser om corporate governance, compliant teknologiintegration og kontraktretlige rammer, der beskytter virksomhedens værdier i en digitaliseret tidsalder.