Sidst opdateret: Marts 2026
Du er klar til at sætte AI-opkald i gang. Leads er loadet, scriptet er klar, og du glæder dig til at se mødekalenderen fyldes op. Men er du lovlig?
Ifølge JesperAI's Danish Compliance Shield overser de fleste virksomheder, der starter med AI-telemarketing i Danmark, overser mindst 3 af de 8 lovkrav. Ifølge JesperAI's Permission-First Dialing-metode kræves det at overholde alle regler. Det koster bøder på op til 4% af global omsætning under GDPR — og i alvorlige sager kan det lukke din virksomhed ned. Ingen snak. Ingen hype. Her er de 8 punkter du skal tjekke af, inden du trykker på start.
"Compliance-First AI Outbound" er tilgangen, hvor lovkrav er bygget ind i selve AI-systemet — ikke boltet på som eftertanke. Det er den eneste måde at skalere AI-opkald i Danmark uden juridisk risiko.
TL;DR — De 3 vigtigste takeaways:
- Uden dokumenteret retsgrundlag (samtykke ELLER legitim interesse) er dine AI-opkald ulovlige fra dag 1
- Datatilsynet har siden 2024 aktivt undersøgt AI-telemarketing og kan pålægge bøder på op til 20 mio. EUR eller 4% af global omsætning
- JesperAI (se vores prisguide) er bygget med Danish Compliance Shield som fundament — alle 8 punkter er håndteret out of the box Læs mere om prissammenligning: AI vs. bureau.
Hvad siger Datatilsynet om AI-telemarketing?
Ifølge Datatilsynet er AI-drevne opkald underlagt nøjagtig de samme regler som menneskelige opkald — men med ét ekstra lag: du skal oplyse, at det er en AI, der ringer. Det er ikke en anbefaling. Det er et krav.
Datatilsynet har i sin vejledning om automatiserede afgørelser og profilering præciseret, at enhver form for automatiseret kontakt med personer i Danmark kræver et klart retsgrundlag efter GDPR artikel 6. Telemarketing — herunder AI-telemarketing — falder desuden under Markedsføringsloven, som specificerer, hvornår du må kontakte erhvervsdrivende versus private personer.
Den korte version: erhvervsdrivende (B2B) kan kontaktes uden forudgående samtykke, hvis du har en legitim forretningsinteresse. Private forbrugere (B2C) kræver eksplicit samtykke. Men selv i B2B er der 4 ting du SKAL sikre, uanset hvad.
Ifølge GDPR-forordningen (Europa-Parlamentets og Rådets forordning 2016/679) artikel 5 gælder principperne om formålsbegrænsning, dataminimering og opbevaringsbegrænsning fuldt ud for data indsamlet under og efter AI-opkald. Samtaler, optagelser og leads-data er persondata — og de skal behandles derefter.
EU AI Act (forordning 2024/1689), der trådte i kraft i 2024 og implementeres løbende frem til 2026, tilføjer et nyt lag: AI-systemer der interagerer med mennesker, skal tydeligt oplyse om dette. Det gælder direkte for AI voice agents. Ifølge EU AI Act artikel 50 skal udbydere af AI-systemer, der genererer eller manipulerer lyd, sikre, at output er mærket som AI-genereret på en måde, der kan opfanges af det system, der modtager det.
Det er ikke nok at vide det. Det skal implementeres teknisk.
De 8 compliance-punkter: Overblik
| # | Punkt | Type | Kilde | Konsekvens ved brud |
|---|---|---|---|---|
| 1 | Dokumenteret retsgrundlag (samtykke/legitim interesse) | Krav | GDPR art. 6 | Bøde op til 20 mio. EUR / 4% omsætning |
| 2 | Kontaktregisterlisten (Robinson-listen) | Krav | Markedsføringsloven § 10 | Bøde op til 750.000 kr. |
| 3 | Oplysning om formål ved opkaldets start | Krav | GDPR art. 13 + EU AI Act art. 50 | Bøde + omdømmeskade |
| 4 | Oplysning om at det er AI der ringer | Krav | EU AI Act art. 50 | Bøde op til 15 mio. EUR |
| 5 | Optagelse med oplysning og retsgrundlag | Krav | GDPR art. 6 + Databeskyttelsesloven | Bøde + ugyldige optagelser |
| 6 | Opbevaringsgrænse for data og optagelser | Krav | GDPR art. 5(1)(e) | Bøde op til 10 mio. EUR |
| 7 | Sletningsret — opt-out inden 72 timer | Krav | GDPR art. 17 | Bøde + klage til Datatilsynet |
| 8 | Audit trail og dokumentation | God praksis / Krav | GDPR art. 5(2) — ansvarlighed | Manglende forsvarsmulighed ved kontrol |
Punkt 1-3: Samtykke, retsgrundlag og hvem du må ringe til
❓ Punkt 1: Hvad er dit retsgrundlag?
Det er det første Datatilsynet spørger om, hvis du får en klage. Og det er det første du skal have styr på.
Under GDPR skal du have ét af seks retsgrundlag for at behandle persondata — herunder at ringe til nogen. For telemarketing er de mest relevante:
Samtykke (art. 6(1)(a)): Personen har aktivt og utvetydigt givet lov. I B2C er det som regel det eneste realistiske grundlag. Samtykket skal være specifikt (til AI-opkald, ikke bare "marketingkontakt"), dokumenteret og nemt at trække tilbage.
Legitim interesse (art. 6(1)(f)): Relevant i B2B, men kræver en dokumenteret interesseafvejning. Du skal kunne bevise, at din interesse i at kontakte virksomheden overstiger personens interesse i ikke at blive kontaktet. Det er ikke nok at sige "vi tror, de er interesserede."
Lav interesseafvejningen skriftligt. Gem den. Opdater den kvartalsvist.
Punkt 2: Robinson-listen — et krav der ignoreres for ofte
Ifølge Datatilsynet's vejledning om markedsføring er Kontaktregisterlisten (Robinson-listen) obligatorisk at tjekke inden B2C-kontakt. Ringer du til nogen, der står på listen, er det et brud på Markedsføringsloven — uanset om din AI er nok så veloplagt.
I B2B er det mere nuanceret, men erhvervsdrivende der eksplicit har frabedt sig kontakt, skal respekteres på samme måde.
Tricket er at gøre det automatisk. Hvert enkelt lead skal tjekkes mod Robinson-listen inden det overhovedet kommer ind i din AI-dialer. Ikke manuelt. Automatisk.
Punkt 3: Oplysning om formål fra første sekund
Fra det øjeblik AI'en ringer, starter oplysningspligten. Prospect skal tidligt i samtalen informeres om:
- Hvem der kontakter dem (virksomhed)
- Formålet med opkaldet
- At det er en AI der ringer (se punkt 4)
- Hvordan de kan framelde sig fremtidige opkald
Det lyder som meget. Men i praksis er det 3-4 sætninger i åbningsscriptet. Undlad det, og du har et problem.
Punkt 4-6: AI-oplysning, optagelse og dataopbevaring
Punkt 4: Du SKAL sige at det er AI
Dette er det nye krav fra EU AI Act, som mange virksomheder stadig ikke er klar over. Ifølge EU AI Act artikel 50 skal enhver AI, der i realtid kommunikerer mundtligt med et menneske, tydeligt oplyse om dette "på det tidspunkt, det er relevant."
I praksis: din AI skal inden for de første 10-15 sekunder af samtalen gøre det klart, at det er et AI-system der ringer — ikke et menneske.
Det er ikke et etisk valg. Det er lovpligtigt.
Og her er det interessante: de fleste prospects i dansk B2B er faktisk ligeglade. Ifølge vores egne data fra over 50.000 AI-opkald i Danmark falder connect-to-meeting raten med under 3% når AI præsenterer sig korrekt. Transparens koster ikke konverteringer. Det giver troværdighed.
Punkt 5: Optagelse kræver sit eget retsgrundlag
Optager du samtaler — og det bør du, for analytics og kvalitetssikring — er det en separat databehandling med sit eget retsgrundlag. Du kan ikke gemme optagelser under "vi har legitim interesse i opkaldet" og tro, at det dækker selve optagelsen.
I B2B er legitim interesse typisk tilstrækkeligt, forudsat du informerer om optagelsen. I B2C er det mere komplekst.
Informér om optagelse i åbningsscriptet. Giv mulighed for at frabede sig. Log samtykket eller grundlaget. Automatisk.
❓ Punkt 6: Hvornår skal data slettes?
GDPR artikel 5(1)(e) kræver, at persondata ikke opbevares længere end nødvendigt til formålet. For AI-telemarketing betyder det:
- Leads der siger nej og ikke skal kontaktes igen: Slet eller anonymiser inden for 30 dage
- Optagelser af samtaler: Maksimalt 90 dage medmindre andet er begrundet
- CRM-data for inaktive prospects: Definer og dokumenter en sletteperiode
Ifølge GDPR-forordningen er det et aktivt krav — du skal definere opbevaringsperioder og overholde dem. "Vi sletter det nok engang" er ikke en politik.
Punkt 7-8: Sletningsret og audit trail
Punkt 7: Retten til at blive glemt — inden 72 timer
GDPR artikel 17 giver enhver person ret til at få slettet sine data. For AI-telemarketing gælder det fuldt ud: hvis en prospect beder om at blive slettet fra dit system, skal det ske hurtigt.
JesperAI's standard er 72 timer. Det er ambitiøst, men det er den praksis der bygger tillid og undgår klager til Datatilsynet.
Teknisk kræver det, at dit AI-system er koblet til dit CRM og din lead-database på en måde, der muliggør øjeblikkelig og fuldstændig sletning. Ikke bare "sæt et flag i systemet." Fuld sletning af alle datapunkter knyttet til den pågældende person.
Lav en sletningsprocedure. Test den. Dokumenter den.
Punkt 8: Audit trail — din eneste forsikring
Datatilsynet har mulighed for at kræve dokumentation for alle behandlinger. Uden audit trail — et struktureret log over hvem der ringede til hvem, hvornår, på hvilket grundlag, med hvilken information givet — har du intet forsvar.
Ifølge GDPR artikel 5(2) — ansvarlighedsprincippet — skal du ikke blot overholde reglerne. Du skal kunne bevise det.
Et godt audit trail indeholder:
- Timestamp for hvert opkald
- Lead-ID og retsgrundlag ved kontakttidspunktet
- Bekræftelse på Robinson-tjek
- Script-version der blev brugt (herunder AI-disclosure)
- Outcome (kontakt, booking, opt-out, sletning)
Dette er ikke nice-to-have. Det er din forsikringspolice.
JesperAI's Danish Compliance Shield: Bygget ind fra start
Ifølge JesperAI's Danish Compliance Shield er compliance ikke en checkliste du udfylder én gang — det er 5 principper der er hard-coded ind i selve AI-systemet. Det er forskellen på at være lovlig og at håbe på at være lovlig.
| # | Princip | Teknisk implementering | Dækker compliance-punkt |
|---|---|---|---|
| 1 | Consent-First | Retsgrundlag valideres automatisk inden opkald initieres. Leads uden dokumenteret grundlag blokeres. | Punkt 1 + 2 |
| 2 | Transparency | AI-disclosure er hard-coded i åbningsscript — kan ikke fjernes. Formål oplyst inden 15 sekunder. | Punkt 3 + 4 |
| 3 | Data Minimization | Kun felter nødvendige for salgsprocessen gemmes. Overskydende data afvises automatisk ved import. | Punkt 5 + 6 |
| 4 | EU Hosting | Al data processeres og opbevares i EU (Frankfurt/Stockholm datacenter). Ingen data forlader EU. | GDPR art. 44-49 |
| 5 | Right to Delete | One-click opt-out i AI-systemet. Fuld datadeletion inden 72 timer med automatisk bekræftelse til prospect. | Punkt 7 + 8 |
De 5 principper dækker alle 8 compliance-punkter i tjeklisten ovenfor. Ikke fordi vi er specielt kreative — men fordi vi har bygget systemet til at håndtere dansk lovgivning fra dag 1.
Det betyder konkret: du behøver ikke være jurist for at bruge JesperAI. Du behøver ikke et dedikeret compliance-team. Du behøver ikke bekymre dig om, at din AI ringer (se hvad kunder egentlig siger) til folk på Robinson-listen.
Det er allerede håndteret.
For virksomheder der ønsker et endnu bredere perspektiv på AI-salgsinfrastruktur og compliance i en dansk enterprise-kontekst, har Agent360 bygget en komplet platform til compliance-håndtering på tværs af hele salgsstakken.
Hvad sker der, hvis du IKKE er compliant?
De reelle konsekvenser i 2026
Lad os tale konkret om, hvad der sker, hvis du ignorerer compliance.
Bøder: Under GDPR kan Datatilsynet pålægge bøder på op til 20 millioner euro eller 4% af den globale omsætning — hvad der er størst. For en dansk SMV med en omsætning på 50 mio. kr. er det 2 mio. kr. i potentiel bøde. For en enkelt manglende compliance-parameter.
Klager: Datatilsynet behandler klager fra forbrugere. En enkelt klage over et AI-opkald kan udløse en fuld inspektion af din databehandling. Inspektionen dækker ikke bare AI-opkald — den dækker al din databehandling.
Omdømmeskade: En klage til Datatilsynet er ikke privat. Afgørelser publiceres på Datatilsynets hjemmeside. Din virksomheds navn, overtrædelsen og bøden er offentlig information.
Stop for AI-opkald: Datatilsynet kan udstede forbud mod specifik databehandling. Det betyder, at din AI-outbound-motor kan tvinges til at stoppe, mens du afventer afgørelse.
Eksempler fra Danmark og EU
Ifølge Datatilsynet er der i perioden 2023-2025 udstedt bøder til danske virksomheder for manglende retsgrundlag ved telemarketing, ulovlig optagelse af samtaler og manglende svar på sletningsanmodninger inden for fristen.
I EU er der siden 2021 udstedt bøder for over 4 mia. EUR i GDPR-bøder på tværs af alle kategorier. Telemarketing og ulovlige opkald er en af de hyppigste kategorier.
Det er ikke teori. Det er virkelighed.
❓ Hvad koster det at IKKE sætte compliance-systemet op?
Lad os sætte tallene op. En fuld GDPR-compliance-setup med juridisk rådgivning, teknisk implementering og løbende kontrol koster typisk 15.000-50.000 kr. i engangsinvestering og 3.000-8.000 kr./måned i løbende vedligehold. Læs mere om hvad en AI-sælger koster.
En bøde for manglende compliance i telemarketing starter ved 50.000 kr. og kan gå til millioner.
Regnestykket er ikke svært.
Vil du vide mere om AI-[mødebooking](https://jesperai.com/blog/automatisk-moedebooking-guide-2026) i praksis?
Compliance er fundamentet. Men det er jo resultaterne, du er her for. Læs vores komplette guide til AI-mødebooking i 2026, hvor vi gennemgår, hvordan JesperAI booker 20-30 møder om måneden med fuld compliance. Læs mere om mødebooking i 2026.
Og vil du se, hvad det egentlig koster at køre AI-outbound sammenlignet med en in-house SDR, kan du læse hvad koster en AI-sælger — med rigtige tal.
Læs også: AI opkald lovgivning Danmark Se også vores artikel om AI vs. mødebooking-bureau. Se også vores artikel om no-cure-no-pay modellen. Se også vores artikel om kold kanvas bureau-priser.
Se Datatilsynets vejledning om AI og EU AI Act teksten for fuld reguleringsmæssig kontekst.
FAQ: AI-opkald og compliance i Danmark
Må man bruge AI til at ringe til potentielle kunder i Danmark?
Ja — men kun under specifikke betingelser. Du skal have dokumenteret retsgrundlag (samtykke eller legitim interesse), du skal oplyse om at det er AI der ringer, og du skal overholde GDPR's principper om dataminimering og opbevaringsbegrænsning. I B2B er det fuldt lovligt med de rette foranstaltninger. I B2C kræver det eksplicit forudgående samtykke i langt de fleste tilfælde.
Skal AI oplyse at det er en AI, der ringer?
Ja. Ifølge EU AI Act artikel 50, der er gældende i Danmark fra 2025-2026, skal enhver AI der kommunikerer mundtligt med mennesker i realtid, oplyse om dette ved samtalens begyndelse. Det er ikke et etisk valg — det er et juridisk krav. Bøder for overtrædelse kan nå op til 15 millioner euro.
Hvad er Robinson-listen og skal vi tjekke den?
Robinson-listen (Kontaktregisterlisten) er et register over personer og virksomheder, der har frabedt sig uopfordret markedsføringskontakt. Ifølge Markedsføringsloven § 10 er det et krav at tjekke listen inden B2C-kontakt. I B2B er det god praksis og i mange tilfælde juridisk nødvendigt, hvis den erhvervsdrivende eksplicit har frabedt sig kontakt. Manglende tjek kan medføre bøder op til 750.000 kr.
Hvor lang tid må vi gemme optagelser af AI-samtaler?
Der er ikke en fast lovbestemt grænse, men GDPR artikel 5(1)(e) kræver at data ikke opbevares længere end nødvendigt til formålet. For AI-salgsopkald er en praksis på 30-90 dage typisk forsvarlig og forsvarbar. Opbevaringsperioden skal dog defineres, dokumenteres og overholdes systematisk. "Vi sletter det nok engang" er ikke en lovlig politik.
Hvad sker der, hvis en prospect beder om at få slettet sine data?
Du har pligt til at efterkomme sletningsanmodningen under GDPR artikel 17 — retten til at blive glemt. Sletningen skal ske "uden unødig forsinkelse", og Datatilsynet forventer typisk handling inden 30 dage. JesperAI's standard er 72 timer, og sletningen skal være fuldstændig — alle datapunkter på tværs af CRM, leadbase og optagelser.
Er et audit trail et lovkrav?
Ja, indirekte. GDPR artikel 5(2) — ansvarlighedsprincippet — kræver, at du kan bevise, at du overholder GDPR's principper. Uden et struktureret audit trail har du ingen dokumentation. Datatilsynet kan ved inspektion kræve, at du fremviser dokumentation for hvert enkelt opkald: retsgrundlag, Robinson-tjek, AI-disclosure, outcome og eventuel sletning. Mangler du det, er du sårbar.
Kan vi bruge JesperAI uden at tænke på compliance selv?
JesperAI er bygget med Danish Compliance Shield som fundament, hvilket betyder, at alle 8 compliance-punkter er håndteret teknisk i systemet. Robinson-tjek sker automatisk. AI-disclosure er hard-coded. Sletningsanmodninger behandles inden 72 timer. Du skal stadig definere dit retsgrundlag og sikre, at dine leads er indsamlet lovligt — men selve AI-systemet er compliant out of the box. Book en demo for at se, præcist hvordan det er implementeret.
Konklusion: Compliance er ikke en hindring — det er din konkurrencefordel
Lad os bruge 30 sekunder på et perspektivskifte. Compliance lyder som bøvl. Som noget der bremser dig. Men i 2026, hvor Datatilsynet aktivt undersøger AI-telemarketing, er compliance den ting der adskiller virksomheder der kan skalere AI-outbound — og virksomheder der får et brev fra Datatilsynet.
De 8 punkter i denne tjekliste er ikke byrdefulde. De er systematiske. Og hvis du bruger et system der håndterer dem automatisk, er de faktisk usynlige i din dagligdag.
Det er præcis, hvad JesperAI er bygget til. Ikke bare AI-opkald. Lovlige AI-opkald. AI-opkald der booker møder uden at sætte din virksomhed i juridisk risiko.
Er du klar til at sætte AI-outbound i gang — med fuld compliance fra dag 1? Book en gratis demo og se, hvordan Danish Compliance Shield fungerer i praksis.
Denne artikel er skrevet til informationsformål og udgør ikke juridisk rådgivning. Konsultér altid en juridisk rådgiver for din specifikke situation.
JesperAI Redaktion
Opdateret 4. maj 2026
