AI, lovtekster og kontraktklausuler – en ny (uhellig) alliance?

Fra aftalefrihed til regelcompliance

I de ”gode gamle dage” kunne it-kontraktjurister og it-contract managers nøjes med at kende deres grundlæggende obligationsret. Det billede har ændret sig markant i de seneste år på grund af EU’s ”regeltsunami” (GDPR, NIS2, DORA, AI Act, Data Act osv.), som i stigende art ”blander sig” i it-kontraktskrivning og -forhandling. 

De væsentligste forhandlingstemaer er ofte netop fordelingen af ansvaret for regulatorisk compliance, og om kontrakten opfylder lovgivningens krav til kontraktens ordlyd - eller eventuelt ”overimplementerer” den - samt hvem der skal betale for at sikre denne compliance.  

AI-kontraktskrivning – en multidisciplinær disciplin 

Denne tendens er ikke mindst aktuel for kontrakter om levering af eller anvendelse af AI-baserede løsninger, der bl.a. kalder på ekspertise inden for GDPR, den nye AI Act[1] foruden viden om ophavsret/databasebeskyttelse, lov om forretningshemmeligheder og – for offentlige myndigheder – forvaltnings- og offentlighedsloven. 

Denne artikel fokuserer på udfordringer forbundet med kontrakter om AI-systemer, som begrebet er defineret i EU’s forordning om kunstig intelligens (”AI Act”) artikel 3, nr. 1. 

Formålet med AI Act’en er at sikre en ansvarlig og etisk brug af kunstig intelligens. 

Derimod regulerer AI Act ikke de kontraktuelle problemstillinger, som anskaffelser og brug af AI giver anledning til. Dette er derfor overladt til parterne i en kontrakt om køb, udvikling eller tilpasning af en AI-løsning at fastlægge. 

AI-kontrakter kan opdeles i to overordnede kategorier: 

1. Kontrakter, hvor leverandøren udvikler eller tilpasser et AI-system til kunden og 
2. Kontrakter, hvor kunden outsourcer en opgave til tredjepart, der anvender AI til at løse opgaven.

Kontrakter om udvikling eller tilpasning af et AI-system

AI er i bund og grund software. Indholdet af en kontrakt om udvikling eller tilpasning af et AI-system minder derfor på mange punkter om en softwareudviklingskontrakt. Der er dog en række væsentlige forskelle mellem AI- og traditionelle softwareanskaffelser, man bør være opmærksom på. 

For eksempel kan generative AI-systemer skabe værdifulde output, som ikke nødvendigvis er beskyttet af immaterielle rettigheder. Derfor bør man overveje at sikre disse output på anden vis. 

Et andet særligt tema er ansvaret for fejl eller ”bias” i output på grund af de træningsdata, som AI-løsningen er bygget på, samt risikoen for ”hallucinationer,” dvs. det fænomen, der opstår, når kunstig intelligens genererer information, der er opdigtet, unøjagtig eller ude af kontekst. 

Til brug for arbejdet med AI-kontrakter er der hjælp og inspiration at hente i de to AI-standardkontrakter, som EU-Kommissionen i marts 2025 offentliggjorde til brug for offentlige myndigheders anskaffelse af både højrisikosystemer og ikke-højrisikosystemer[2]. Kontrakterne er ikke ”officielle” EU-dokumenter, men udgør ikke desto mindre et godt udgangspunkt for en række af de emner, en AI-kontrakt bør regulere. 

Standardkontrakterne indeholder dog alene vilkår, der tager sigte på at sikre, at reglerne i AI Act opfyldes, og dermed ikke generelle spørgsmål om f.eks. rettigheder, betalingsvilkår, ansvarsbegrænsning, konfliktløsning, lovvalg m.v.

En anden problemstilling, som standardkontrakerne ikke tager stilling til, er den juridiske mangelsvurdering af AI. Når man i en traditionel udviklingskontrakt udfører en overtagelsesprøve, vil prøven ske i henhold til de aftalte godkendelseskriterier. Disse vil oftest være binære krav – kan eller kan systemet ikke lave tekstbehandling, er brugergrænsefladen som aftalt m.v. Ved AI vil en overtagelsesprøve være mere nuanceret, idet AI-systemers output baseres på sandsynlighedsberegning. Formlen lyder: hvad er det mest sandsynligt korrekte output baseret på AI-systemets input?

Har man at gøre med AI-systemer, der forudsætter skriftlige input fra brugere, såsom chatbots, bliver mangelsvurderingen derfor vanskelig. AI-systemets svar kan være objektivt forkert, men det kan skyldes, at brugerens input var for bredt, dårligt formuleret eller noget helt tredje. 

Har man at gøre med AI-systemer, der ikke forudsætter skriftlige input fra brugere, såsom AI-systemer, der bruges til billedegenkendelse, vil en vurdering af AI-systemets nøjagtighed forudsætte, at man afprøver AI-systemet i en slags ”sandkasse”, dvs. i virkelighedslignende omgivelser. 

Kontrakten bør derfor tage eksplicit stilling til, hvornår kunden anser AI-systemet for mangelfrit – og særligt under hvilke omstændigheder, herunder hvordan AI-systemets nøjagtighed testes. 

En anden særlig problemstilling er ”Black box” problematikken, som er en betegnelse for situationen, hvor brugeren af AI-systemet ikke kan forklare, hvordan AI-systemet er kommet frem til sit output. Dette giver en række problemer navnlig efter databeskyttelsesforordningen (”GDPR”) og for offentlige myndigheder, der benytter AI som støtte i arbejdet med at træffe forvaltningsretlige afgørelser.  

GDPR regulerer ”automatiske afgørelser” i artikel 22; dvs. afgørelser uden menneskelig indgriben og bestemmelsen gælder i øvrigt ikke kun for offentlige myndigheder. Personen (”den registrerede”), som afgørelsen er rettet imod, har ret til at få indsigt i logikken bag sådanne automatiske afgørelser, hvorfor man som bruger af AI-systemet skal kunne forklare en sådan logik.

Offentlige myndigheder skal i medfør af forvaltningsloven kunne begrunde sine afgørelser, herunder hvordan myndigheden er kommet frem til sin afgørelse og med henvisning til hvilke momenter, der har vægtet tungest i afgørelsen.

Kontrakten bør derfor fra kundens synspunkt regulere, at AI-systemets logik i sit output i hele systemets livscyklus kan fremfindes til brug for bl.a. forpligtelserne i GDPR og forvaltningsloven.

Kontrakter, hvor en opgave outsources til tredjepart, der anvender AI til at løse opgaven

Når organisationer outsourcer opgaver til tredjeparter, der bruger AI til eksempelvis produkt- eller kodeudvikling, kan der opnås betydelige fordele som tidsbesparelser og reducerede omkostninger. AI-systemer kan ofte udføre komplekse opgaver hurtigere og billigere end mennesker. Dog er der vigtige faldgruber, især rettigheder og ejerskab af AI-genereret materiale.

Rettighedsspørgsmålet kendes fra udvikling af software med open source-kode. Udvikles software med open source-kode, underlægges softwaren de pågældende open source-vilkår, herunder eventuelle copyleft-bestemmelser. Ved copyleft forstås, at man i udgangspunktet ikke selv har rettighederne til det udviklede produkt, hvori der indgår open source-kode, samt har pligt til at gøre den udviklede kode frit tilgængelig under samme vilkår som open source-koden. 

Benytter en tredjepart AI-systemer til eksempelvis at generere kode, er en forudsætning for, at den udviklede kode har værdi, at denne er ophavsretligt beskyttet, da andre i givet fald ville kunne kopiere koden uden konsekvenser. Kildekoden skal i den forbindelse være udtryk for en kreativ, skabende indsats, hvilket som udgangspunkt ikke er tilfældet, hvis koden er AI-genereret. 

Et andet emne, som bør reguleres, er, hvis der ved hjælp af AI-værktøjer leveres et forkert output til kunden – f.eks. en fejlagtig rapport, rådgivning eller anbefaling. Som advokat benytter jeg dagligt legal tech værktøjer til f.eks. at gennemføre en due diligence af en stor mængde kontrakter, men hvem har ansvaret, hvis værktøjet overser noget, eller leverer forkerte svar? I det konkrete eksempel er svaret naturligvis, at ansvaret er mit – medmindre jeg specifikt har aftalt med klienten, at jeg benytter et værktøj til min due diligence og kun foretager stikprøvekontrol af resultatet.

Et andet eksempel er brug af AI-løsninger til behandling af personoplysninger for kunden eller til at danne grundlag for afgørelser rettet mod kundens kunder eller ansatte. I sådanne tilfælde bør man som kunde betinge sig, at der er fuld transparens om brugen af sådanne løsninger, at der er implementeret de fornødne kontrolprocedurer, at brugen af de pågældende værktøjer sker i overensstemmelse med gældende lovgivning, og at brugen heraf i øvrigt sker på leverandørens regning og risiko.

På nuværende tidspunkt hersker en del juridisk usikkerhed om brugen af AI. Kunder vil af den grund forsøge at helgardere sig ved at lægge ansvaret for disse usikkerheder og risici over på leverandøren.

Det er endvidere et område, der er i hastig udvikling. Reguleringstemaer og indhold i AI-kontrakter vil derfor udvikle sig løbende og tilpasse sig den retspraksis, der må forventes at komme. Organisationer, der indgår kontrakter om AI, bør derfor holde øje med best practice på området.
 

[1] Forordning nr. 2024/1689

[2] Kontrakterne kan downloades via dette link: Updated EU AI model contractual clauses | Public Buyers Community