Af Tommy Olesen, advokat og partner
Haugaard | Braad Advokatpartnerselskab
Kunstig intelligens bliver stadig mere udbredt i både hjemmet og på arbejdspladsen. Men hvem har egentlig ansvaret, når AI-systemer laver fejl?
For de fleste starter det ganske uskyldigt; en mail, der lige skal formuleres pænere, et referat, der skal finpudses, et billede, der mangler den sidste detalje. Selv små penselstrøg kan i teorien få store konsekvenser. Kunstig intelligens er rykket fra fantasier om flyvende biler direkte ind på skrivebordet – både privat og på arbejdet – hurtigere, end de fleste har nået at læse brugervejledningen.
AI anvendes bredt i hverdagsapps, men også til beslutningsstøtte og udkastsskabelse i virksomheder og myndigheder, hvor problemstillingerne er mere kommercielle og komplekse. Den kunstige intelligens er kommet for at blive og er tit et nyttigt værktøj – men ikke uden gråzoner. Spørgsmålet “hvem har ansvaret ved fejl?” er derfor centralt.
Hvad er AI?
Kunstig intelligens dækker systemer, der kan analysere data, generere tekst, billeder eller forslag og til en vis grad træffe beslutninger. Fællesnævneren er, at AI ikke “ved” noget i traditionel forstand – den beregner sandsynligheder ud fra store datamængder. Det betyder, at AI kan tage fejl – ofte med stor overbevisning. Juridisk er det derfor ikke spørgsmålet, om fejl kan opstå, men hvem der hæfter, når de gør.
AI-ansvar i praksis
Når AI fejler, kan flere parter teoretisk blive ansvarlige: udviklere, leverandører, brugere og tjenesteudbydere, afhængigt af rolle, kontrakt og kontrol med systemet. Grundlæggende tre ansvarsformer:
- Produktansvar, hvis systemet er defekt som produkt eller tjeneste.
- Kontraktansvar, hvis ansvar er aftalt i en AI-aftale.
- Erstatningsansvar, hvis en part handler culpøst og forvolder skade.
I praksis dømmes sjældent AI som sådan; det er menneskene bag: dem, der implementerer teknologien, og dem, der bruger den uden nødvendig verificering. I et medicinsk eksempel blev en diagnostisk AI-fejl håndteret ved, at lægen havde den endelige beslutningskompetence. AI var kun et støtteværktøj, og ansvaret lå derfor hos lægen, ikke leverandøren.
Rollefordeling – AI-forordningen
AI-forordningen fordeler ansvar efter roller. Udbyderen (den, der udvikler systemet) skal sikre, at højrisiko-AI lever op til krav, og trække systemet tilbage ved fejl. Importører og distributører må ikke bringe systemer i omsætning uden korrekt dokumentation og CE-mærkning og skal underrette ved fejl. Idriftsætteren (professionel bruger, for eksempel arbejdsgiver) skal anvende systemet korrekt, føre menneskeligt tilsyn, overvåge driften og informere berørte personer. Væsentlige ændringer af formål eller funktion kan gøre importør, distributør eller bruger til “udbyder” med fuldt ansvar.
Databeskyttelse: GDPR gælder stadig
AI-værktøjer behandler ofte persondata, såsom chatbots eller analyse af medarbejderdata. GDPR skal stadig følges: lovligt grundlag, dataminimering, informationssikkerhed og formålsbegrænsning. Datatilsynet har peget på generativ AI som særligt fokusområde, især når behandling sker uden rammer, risikovurderinger eller sikkerhedsforanstaltninger. Arbejdsgivere skal sikre, at medarbejdere ikke udsætter personoplysninger for risiko, eksempelvis ved at sende følsomme data til eksterne AI-tjenester uden databehandleraftale. AI gør ikke reglerne mindre relevante – tværtimod kan det forstærke risikoen for brud på GDPR, med påbud, bøder og erstatningsansvar, og AI er derfor også et ledelsesansvar.
Ophavsret og immaterielle rettigheder
Ophavsret beskytter kun menneskeskabte værker. Brugere skal derfor overveje:
- Om AI-output kan få ophavsretlig beskyttelse.
- Om output bygger på tredjemands materiale og dermed krænker rettigheder.
AI-værktøjer trænes på store datamængder, som kan inkludere beskyttet materiale. Det kan være svært at fastslå, hvad output er baseret på, og om brugeren utilsigtet krænker andres rettigheder. Ansvar ligger som regel hos brugeren, særligt hvis output offentliggøres eller anvendes kommercielt.
Ansvar i hverdagen og på arbejde
I hverdagen ligger ansvaret typisk hos brugeren. Et socialt opslag, blogindlæg eller grafisk arbejde baseret på AI er eget ansvar, inklusive faktuelle fejl, ophavsretskrænkelse og persondatabehandling. I arbejdslivet er grænsefladerne større, og virksomheden er ansvarlig for medarbejdernes behandling af personoplysninger. Ledelsen bør etablere retningslinjer, kvalitetssikring og kontrol, og AI må kun anvendes til væsentlige beslutninger under forsvarligt menneskeligt tilsyn – ellers placeres ansvaret hos brugeren.
Konklusion
AI kan være effektiv i hverdagen og på arbejdspladsen, men flytter ikke ansvaret fra mennesker. Når algoritmen fejler, hæfter udviklere, leverandører, arbejdsgivere og brugere – afhængigt af rolle og kontrol. AI-forordningen, GDPR og immaterialret peger på det samme: AI er et støtteværktøj, ikke beslutningstager. Uden klare rammer og dokumenteret menneskeligt tilsyn risikerer brugen af AI at blive en juridisk blind vinkel, hvor ansvaret lander hos den, der trykkede “enter”.
Læs resten af februar-avisen her
