Strukturen i AI Act i 2026

AI Act er verdens første omfattende horisontale regulering af kunstig intelligens. Dens risikolagdelte arkitektur er nøglen til at forstå, hvilke forpligtelser der gælder for hvilke systemer.

Risikoniveauerne

Loven inddeler AI-systemer i fire niveauer baseret på den risiko, de udgør:

• Forbudte systemer — praksisser, der er totalt forbudte, herunder manipulative subliminale teknikker, udnyttelse af sårbarheder, social scoring fra offentlige myndigheder og visse former for biometrisk kategorisering og følelsesregistrering
• Højrisiko-systemer — systemer, der bruges i specificerede højrisiko-sammenhænge, underlagt størstedelen af lovens indholdsmæssige forpligtelser, herunder risikostyring, dataforvaltning, gennemsigtighed, menneskelig tilsyn og nøjagtighedskrav
• Systemer med begrænset risiko — systemer med specifikke gennemsigtighedsforpligtelser, herunder de fleste AI-drevne indholds-anbefalere og chatbots, der interagerer direkte med brugere
• Systemer med minimal risiko — alt andet, kun underlagt generelle frivillige adfærdskodekser

Hvor annoncering og anbefalingssystemer befinder sig

De fleste annonceringsrettede AI — publikumsscoring, optimering af programmatisk budgivning, indholds-anbefalere, personaliseringsmotorer — befinder sig på niveauet med begrænset risiko snarere end højrisiko-niveauet. Det lyder som en lettelse, men niveauet med begrænset risiko indebærer stadig meningsfulde gennemsigtighedsforpligtelser, og adskillige grænsetilfælde skubber specifikke systemer ind i højere niveauer. Det er afgørende, at reglerne for forbudte praksisser kan nå annoncesystemer, hvis de krydser ind i manipulerings- eller udnyttelsesområdet, og EDPB har signaleret villighed til at fortolke disse bestemmelser bredt.

Indfasningen

Kalenderen for 2026 er vigtig: højrisiko-forpligtelserne for nye systemer træder i kraft i august 2026, højrisiko-forpligtelserne for systemer, der allerede er på markedet, træder i kraft i 2027, og AI-leverandørens forpligtelser til generelle formål er allerede i kraft. Udgivere og annoncører bør kortlægge deres AI-beholdning i forhold til denne kalender for at vide, hvilke forpligtelser der gælder hvornår.

Hvordan AI Act lægger sig oven på GDPR

AI Act erstatter ikke GDPR. Det lægger sig oven på det. Et system, der behandler personoplysninger for at producere AI-drevne output, skal opfylde begge regimer, og forpligtelserne er kumulative snarere end alternative.

GDPR-laget

GDPR fortsætter med at regulere lovligheden af behandlingen af personoplysninger. Samtykke til reklameprofil, retsgrundlag for måling, klyngen af rettigheder for den registrerede, forpligtelserne for grænseoverskridende overførsler — alt dette fortsætter med at gælde uændret.

AI Act-laget

Oven på GDPR tilføjer AI Act forpligtelser, der specifikt handler om selve AI-systemet: hvordan det blev trænet, hvilke data der gik ind i træningen, hvordan dets output er dokumenteret, hvilke tilsynsmekanismer der eksisterer, hvilken gennemsigtighed brugeren modtager. Disse forpligtelser knytter sig til AI-systemet uanset om den underliggende databehandling er samtykkebaseret, kontraktbaseret eller har et andet retsgrundlag.

Den praktiske konsekvens

En udgiver, der driver en indholdsanbefalers på personoplysninger, har brug for både et gyldigt GDPR-retsgrundlag for databehandlingen og en compliant gennemsigtighedsoplysning under AI Act. Ingen af dem alene er tilstrækkelig. Compliance-overfladen er nu genuint todimensionel, og dokumentationskæden skal dække begge akser.

Forbudte praksisser og annoncering

Lovens liste over forbudte praksisser er kort, men konsekvensrig, og adskillige indgange har konsekvenser for annoncedesign.

Manipulative teknikker

Loven forbyder AI-systemer, der anvender subliminale teknikker, manipulative praksisser eller udnytter sårbarhederne hos specifikke grupper på måder, der sandsynligvis forårsager betydelig skade. De fleste annoncedesign nærmer sig ikke denne linje — men annoncering, der retter sig mod identificerede sårbarheder (økonomisk nød, mentale sundhedstilstande, afhængighedsmønstre) ved hjælp af AI-drevet profilering, kan krydse den. EDPB har fremhævet dette i tidlig vejledning.

Biometrisk kategorisering

Loven forbyder biometrisk kategorisering, der udleder følsomme attributter som race, politisk holdning, fagforeningsmedlemskab, religiøs overbevisning, sexliv eller seksuel orientering. Publikumssegmenter bygget fra biometriske data, der udleder disse attributter, er nu i forbudt territorium.

Følelsesregistrering i specifikke sammenhænge

Følelsesregistrering er forbudt i arbejdsmæssige og uddannelsesmæssige sammenhænge. Reklame-brugstilfælde for følelsesdetektion uden for disse sammenhænge kan stadig være tilladt, men møder øget kontrol.

Gennemsigtighedsforpligtelser med begrænset risiko

Det er her, størstedelen af udgiverens og annoncørens AI Act compliance-arbejde befinder sig i 2026.

Anbefalingssystemets afsløring

Indholdsanbefalere, der personaliserer, hvad brugerne ser — hvad enten det er på en udgivers hjemmeside, i et in-app-feed eller i en programmatisk annonceplaceringen — falder ind under niveauet med begrænset risiko. Brugere skal informeres om, at de interagerer med et AI-system, og systemet skal designes, så AI-karakteren af interaktionen er tydelig.

Chatbot-afsløringen

Ethvert AI-system, der interagerer direkte med brugere i samtaleform, skal oplyse sin AI-natur. Udgivere og annoncører, der driver AI-chat-grænseflader — til kundesupport, indholdsopdagelse eller ethvert andet formål — skal opfylde dette grundlæggende krav.

Afsløringen af syntetisk indhold

AI-genererede billeder, lyd, video og tekstindhold skal mærkes som sådan. Udgivere, der bruger AI-genererede visuals eller tekst i redaktionelt indhold, reklamekreaiver eller produktbilleder, skal overholde mærkningsforpligtelserne. Implementeringsvejledningen for 2026 har præciseret de tekniske specifikationer for mærkning, herunder vandmærkningsstandarder for visuelt indhold.

Den kombinerede samtykkeoroverflade i 2026

CMP og privatlivserklæringen skal nu arbejde for begge regimer. 2026-udgiver-CMP er meningsfuldt mere detaljeret end sin forgænger fra 2024.

Granulerede samtykkeformål

CMP eksponerer samtykkeformål, der skelner mellem generel annoncering, profilering til annoncering, automatiseret beslutningstagning og anbefaling-personalisering. Hvert kortlægger til en specifik AI Act og GDPR-grænse, og hvert kræver sit eget bekræftende samtykke.

AI-systemets afsløringer

Privatlivserklæringen eller et ledsagende AI-afsløringsdokument beskriver de anvendte AI-systemer, deres formål, kategorier af inputdata, den brede logik i outputsene og de eksisterende mekanismer for menneskelig tilsyn. Det er mere end GDPR artikel 22 automatiseret-beslutning-afsløring — det er en mere fuldstændig AI-gennemsigtighedshistorie.

Retten til at gøre indsigelse

GDPR's ret til at gøre indsigelse mod profilering fortsætter med at gælde, og AI Act tilføjer yderligere brugerrettigheder around AI-drevet anbefaling-personalisering. Brugere kan fravælge anbefaling-personalisering uden at miste adgang til den underliggende tjeneste, og fravalget skal være mindst lige så nemt som tilvalget.

Operationelle mønstre, der fungerer i 2026

Udgivere og annoncører, der driver modne 2026-programmer, konvergerer mod et par operationelle mønstre.

AI-beholdningen

Oprethold en live-beholdning over hvert AI-system i brug på tværs af udgiver- eller annoncørstakken: systemet, dets risikoniveau under loven, de personoplysninger det behandler, dets retsgrundlag under GDPR, de gennemsigtighedsoplysninger, der er anvendt på det, og den eksisterende menneskelige tilsyn. Dette er det grundlæggende compliance-artefakt og er, hvad regulatorer vil bede om at se først.

Den kombinerede privatlivserklæring

En enkelt kombineret privatlivs- og AI-gennemsigtighedserklæring — portugisisk, tysk, fransk eller hvilket sprog der er passende for publikummet — der behandler både GDPR- og AI Act-forpligtelserne i en sammenhængende fortælling. At forsøge at opretholde to separate afsløringer inviterer til modsætninger og læserforvirring.

Leverandørens AI-revision

For enhver annoncerings- eller analyseleverandør, der behandler AI-drevne output på vegne af udgiveren, skal kontrakten adressere AI Act-fordelingen af forpligtelser, adgang til teknisk dokumentation og hændelsesmeddelelse. Standarddatabehandlingsaftaler fra 2023 adresserer ikke AI Act og skal opdateres.

Sanktioner og håndhævelsesholdning

AI Act indfører et lagdelt sanktionsregime med administrative bøder, der kan overstige GDPR's maksimum.

Sanktionsniveauerne

• Op til EUR 35 millioner eller 7 procent af den globale årlige omsætning for overtrædelse af forbudte praksisser
• Op til EUR 15 millioner eller 3 procent for de fleste andre indholdsmæssige overtrædelser
• Op til EUR 7,5 millioner eller 1 procent for levering af forkerte oplysninger

Håndhævelsesarkitekturen

Hver medlemsstat udpeger nationale kompetente myndigheder til AI Act-håndhævelse, og det Europæiske AI-kontor koordinerer tilsynet med AI-modeller til generelle formål. Håndhævelse over for udgivere og annoncører vil primært køre gennem de nationale myndigheder, ofte i tæt koordination med de eksisterende databeskyttelsesmyndigheder. De første væsentlige AI Act-håndhævelsesforanstaltninger forventes i løbet af 2026, efterhånden som højrisiko-forpligtelserne træder fuldt i kraft.

Revisionschecklist for AI-drevet annoncering i 2026

• Live-beholdning over hvert AI-system i stakken med risikoniveauklassifikation
• Dokumenteret GDPR-retsgrundlag for hvert AI-system, der behandler personoplysninger
• AI Act gennemsigtighedsoplysninger anvendt på hvert system med begrænset risiko, herunder anbefaling-personalisering og chatbots
• Syntetisk indholdsmærkning anvendt på AI-genererede kreativer, billeder, lyd og video
• Kombineret privatlivs- og AI-gennemsigtighedserklæring på det relevante lokale sprog
• CMP eksponerer profilering, automatiseret beslutningstagning og anbefaling-personalisering som separat samtykkepligtige formål
• Publikumssegmenter gennemgås i forhold til listen over forbudt biometrisk kategorisering
• Leverandørkontrakter opdateret til at adressere AI Act-fordelingen af forpligtelser
• Menneskelige tilsynsmekanismer dokumenteret for ethvert system, der nærmer sig højrisiko-grænsen
• Arbejdsprocessen for den registreredes og AI Act-brugerens rettigheder kan svare på fravalgs-, forklarings- og menneskelig-gennemgangsanmodninger inden for de gældende svarfrister

Udsigterne for 2026

AI Act erstatter ikke GDPR — det lægger sig oven på det, og den kombinerede overflade er meningsfuldt mere detaljeret end hvert regime alene. For udgivere og annoncører, der driver AI-drevet personalisering, profilering, anbefalingssystemer eller generativt indhold, er 2026 det år, compliance-arkitekturen skal modnes ud over en ren GDPR-holdning. Dem, der behandler AI Act som en fremtidig bekymring, vil opdage, at fremtiden ankommer hurtigere end forventet, med nationale myndigheder, der udsteder deres første håndhævelsesforanstaltninger i løbet af 2026 og frem til 2027. Dem, der bygger kombineret compliance fra starten, vil finde, at arkitekturen betaler sig: AI Acts gennemsigtighedsforpligtelser, godt implementeret, styrker også GDPR-samtykke- og tillidshistorien, og den operationelle disciplin ved at opretholde en live AI-beholdning viser sig nyttig langt ud over regulatorisk compliance.