Danmarks databeskyttelseslove: GDPR, Datatilsynet og AI-forordningen (2026)

Danmark implementerer EU's databeskyttelsesforordning (GDPR) direkte som bindende ret, suppleret af databeskyttelsesloven (lov nr. 502 af 23. maj 2018, konsolideret som lovbekendtgørelse nr. 289 af 8. marts 2024). Et forfatningsmæssigt særkende adskiller Danmark fra alle andre EU-medlemsstater: Datatilsynet kan ikke selv udstede bøder efter GDPR. Alle økonomiske sanktioner skal gå gennem domstolene i henhold til GDPR-betragtning 151.
Oplysningerne er senest verificeret den 19. maj 2026. Denne artikel er ikke blevet gennemgået af en advokat.
Jurisdiktionens omfang: Denne artikel omhandler Danmarks nationale databeskyttelsesret, herunder GDPR som anvendt i Danmark, databeskyttelsesloven (lov nr. 502 af 2018), tv-overvågningsloven og lov nr. 467 af 14. maj 2025 om gennemførelse af EU's AI-forordning. Artiklen omhandler ikke Færøerne eller Grønland, som ligger uden for EU-retten. For EU-dækkende GDPR-regler, der gælder i alle medlemsstater, se EU's databeskyttelseslove. For Danmarks regler om optagelse og overvågning, se Danmarks optagelseslove.
Hurtigt svar: Hvordan fungerer databeskyttelse i Danmark?
Danmark beskytter personoplysninger gennem to regelsæt, der overlapper hinanden. GDPR gælder som direkte bindende EU-ret for al behandling af personoplysninger, som foretages af dataansvarlige og databehandlere etableret i Danmark, eller som retter sig mod personer bosat i Danmark. Databeskyttelsesloven supplerer GDPR på de områder, hvor forordningen giver medlemsstaterne mulighed for at fastsætte nationale regler: samtykke fra børn, CPR-numre, oplysninger om strafbare forhold, journalistiske undtagelser og opbygningen af håndhævelsen. Datatilsynet fører tilsyn med overholdelsen, behandler klager og kan udstede påbud, advarsler, alvorlig kritik og forbud mod behandling. Datatilsynet kan dog ikke selv pålægge de bøder, som GDPR giver hjemmel til. Efter GDPR-betragtning 151 skal alle bøder i Danmark gå gennem domstolene, idet Datatilsynet indgiver en politianmeldelse, som politiet efterforsker og indbringer for domstolene. Denne forfatningsmæssige ordning er unik blandt EU's medlemsstater (kun Estland har en tilsvarende model med en administrativ overtrædelse) og har betydelige konsekvenser for hastigheden og størrelsen af håndhævelsesresultaterne.
Det retlige grundlag: GDPR og databeskyttelsesloven
GDPR (forordning (EU) 2016/679) har haft direkte virkning i Danmark siden den 25. maj 2018. Til forskel fra et direktiv krævede forordningen ingen implementering: den blev automatisk en del af dansk ret ved sin ikrafttræden. Folketinget vedtog databeskyttelsesloven (lov om behandling af personoplysninger, lov nr. 502 af 23. maj 2018) den 17. maj 2018 for at sikre, at de supplerende nationale regler var på plads fra dag ét. Loven er efterfølgende blevet konsolideret to gange; den gældende lovbekendtgørelse er nr. 289 af 8. marts 2024.
Bemærkning om jurisdiktion: Databeskyttelsesloven fastslår udtrykkeligt, at den ikke gælder for Færøerne eller Grønland. Disse områder har egne retssystemer og ligger uden for EU.
Danmarks databeskyttelsestradition går forud for GDPR. Landet havde en samlet lovgivning på plads siden 2000, der gennemførte EU's databeskyttelsesdirektiv fra 1995, som igen fulgte efter den danske lov om private registre fra 1978 og lov om offentlige myndigheders registre fra 1979. Denne lange historik betyder, at de fleste danske organisationer gik ind i GDPR-æraen med modne compliance-rammer allerede på plads.
Ud over selve databeskyttelsesloven omfatter det danske databeskyttelseslandskab:
- Tv-overvågningsloven, der regulerer privates videoovervågning
- Retshåndhævelsesloven (databeskyttelsesreglerne for retshåndhævelse), der gennemfører retshåndhævelsesdirektivet for behandling inden for strafferetsplejen
- Markedsføringsloven, der gennemfører e-databeskyttelsesdirektivets regler om cookies og elektronisk markedsføring (cookiebekendtgørelsen)
- Lov nr. 467 af 14. maj 2025, der gennemfører håndhævelsesbeføjelser under EU's AI-forordning (i kraft fra 2. august 2025)

Datatilsynet: Struktur, beføjelser og den domstolsbaserede bødemodel
Datatilsynet er Danmarks uafhængige tilsynsmyndighed efter GDPR artikel 51. Myndigheden ledes af et råd bestående af en formand (som skal være uddannet jurist) og seks medlemmer, der udpeges af justitsministeren. Datatilsynet handler fuldstændig uafhængigt af regeringen i sine tilsyns- og håndhævelsesaktiviteter og deltager i Det Europæiske Databeskyttelsesråd (EDPB) sammen med alle øvrige tilsynsmyndigheder i EU.
Datatilsynet oplyste, at man i 2024 modtog rekordhøje 18.816 nye sager, en stigning på 754 sager i forhold til 2023. Heraf var 9.624 anmeldelser af brud på persondatasikkerheden. I 2025 behandlede myndigheden 9.849 bruddanmeldelser og 2.653 tilsynssager.
Den domstolsbaserede bødemodel: GDPR-betragtning 151
Den danske forfatningsordning tillader ikke, at administrative myndigheder pålægger strafferetlige økonomiske sanktioner. Dette er ikke en forglemmelse i Danmarks gennemførelse af GDPR; GDPR-betragtning 151 forudser og tager udtrykkeligt højde for forholdet:
"Danmarks og Estlands retssystemer giver ikke mulighed for administrative bøder som fastsat i denne forordning. Reglerne om administrative bøder kan anvendes på en sådan måde, at bøden i Danmark pålægges af de kompetente nationale domstole som en strafferetlig sanktion, forudsat at denne anvendelse af reglerne i disse medlemsstater har tilsvarende virkning som administrative bøder pålagt af tilsynsmyndighederne. De pålagte bøder bør være effektive, forholdsmæssige og have afskrækkende virkning."
I praksis følger processen disse trin, når Datatilsynet konstaterer en overtrædelse, der er alvorlig nok til at berettige en bøde:
- Datatilsynet afslutter sin undersøgelse og udsteder en skriftlig afgørelse med en indstilling om et bødebeløb.
- Datatilsynet indgiver en politianmeldelse med den indstillede bøde.
- Politiet efterforsker sagen selvstændigt og afgør, om der skal rejses tiltale.
- Hvis der rejses tiltale, indbringes sagen for domstolene.
- Domstolen gennemgår beviserne, tager Datatilsynets indstilling i betragtning og fastsætter den bøde, den finder forholdsmæssig.
Denne model giver organisationer betydelige processuelle retssikkerhedsgarantier, men forlænger håndhævelsesforløbet væsentligt. Sager kan tage flere år fra Datatilsynets indstilling til en endelig domstolsafgørelse. Domstolene nedsætter desuden jævnligt de beløb, Datatilsynet har indstillet. Østre Landsret idømte i 2023 Arp-Hansen Hotels en bøde på 1 million kr., efter at Datatilsynet havde indstillet 1,1 million kr.
Håndhævelsesbeføjelser ud over bøder
Selvom Datatilsynet ikke kan pålægge bøder, råder myndigheden over betydelige ikke-økonomiske håndhævelsesbeføjelser, som kan anvendes direkte og øjeblikkeligt:
- Advarsler om mulige fremtidige overtrædelser
- Alvorlig kritik for konstaterede overtrædelser af GDPR
- Påbud om at bringe behandlingen i overensstemmelse med GDPR
- Midlertidige eller permanente forbud mod behandling
- Suspension af dataoverførsler til tredjelande
- Påbud om at underrette berørte registrerede om et brud
Disse ikke-økonomiske redskaber anvendes aktivt og kan have alvorlige driftsmæssige konsekvenser. Et forbud mod behandling i et centralt forretningssystem kan forstyrre driften langt mere umiddelbart end en bøde, der først afgøres flere år senere ved domstolene.
Behandlingsgrundlag og samtykke efter dansk ret
Danmark anvender de seks almindelige behandlingsgrundlag efter GDPR artikel 6: samtykke, opfyldelse af en kontrakt, retlig forpligtelse, vitale interesser, en opgave i samfundets interesse og legitime interesser. Databeskyttelsesloven tilføjer ikke yderligere grundlag efter artikel 6, men ændrer, hvordan visse af dem anvendes i den nationale kontekst.
For at et samtykke er gyldigt efter GDPR artikel 7, som den anvendes i Danmark, skal det være frivilligt, specifikt, informeret og utvetydigt. Datatilsynet opdaterede sin vejledning om samtykke i 2021 og præciserede flere punkter:
- Offentlige myndigheder er underlagt en højere tærskel for at kunne basere sig på samtykke på grund af den iboende magtubalance mellem myndighed og borger. Det er Datatilsynets opfattelse, at samtykke sjældent er et gyldigt grundlag for behandling i den offentlige sektor.
- Det udgør ikke en utvetydig tilkendegivelse af samtykke til databehandling blot at scrolle eller swipe gennem en side.
- Det skal være lige så let at trække et samtykke tilbage, som det er at give det. Forudafkrydsede felter og sammenkoblede samtykker er ugyldige.
For ansættelsesforhold fastsætter databeskyttelseslovens § 12, at samtykke kun kan anvendes som grundlag, hvor betingelserne i GDPR artikel 7 reelt er opfyldt, idet det anerkendes, at medarbejdere ikke nødvendigvis kan give et frit samtykke på grund af magtforholdet mellem arbejdsgiver og medarbejder.
Særlige kategorier af oplysninger
GDPR artikel 9 finder anvendelse i Danmark for særlige kategorier af oplysninger (helbredsoplysninger, race eller etnisk oprindelse, politisk overbevisning, religiøs overbevisning, genetiske og biometriske data, fagforeningsmæssigt tilhørsforhold samt seksuelle forhold eller seksuel orientering). Databeskyttelseslovens § 7 tilføjer nationale betingelser for behandling af helbredsoplysninger, og § 8 omhandler behandling af oplysninger om strafbare forhold.
De registreredes rettigheder
Alle rettigheder i GDPR kapitel III gælder i Danmark uden væsentlige ændringer:
| Rettighed | GDPR-artikel | Dansk kontekst |
|---|---|---|
| Indsigt | Art. 15 | Gælder fuldt ud; offentlige myndigheder skal desuden overholde reglerne om aktindsigt efter offentlighedsloven |
| Berigtigelse | Art. 16 | Gælder fuldt ud |
| Sletning (retten til at blive glemt) | Art. 17 | Gælder fuldt ud |
| Begrænsning af behandling | Art. 18 | Gælder fuldt ud |
| Dataportabilitet | Art. 20 | Gælder for automatiseret behandling baseret på samtykke eller kontrakt |
| Indsigelse mod behandling | Art. 21 | Gælder; omfatter retten til til enhver tid at gøre indsigelse mod direkte markedsføring |
| Ikke at være genstand for automatiske afgørelser | Art. 22 | Gælder; Datatilsynet har udsendt vejledning om automatiseret profilering |
Registrerede kan indgive klager til Datatilsynet gratis. Datatilsynet skal behandle klager, medmindre de er åbenbart grundløse eller overdrevne.
En vigtig udvikling i 2025 var en landsretsdom af 20. august 2025, hvor en registreret, hvis helbredsoplysninger fejlagtigt var blevet videregivet af en kommune, blev tilkendt 335 euro i godtgørelse for ikke-økonomisk skade med hjemmel i GDPR artikel 82. Sagsøgeren har anket til Højesteret med krav om en højere godtgørelse og om, at godtgørelsen også skal omfatte hendes ægtefælle. Hvis Højesteret stadfæster denne tilgang, mener kommentatorer, at det kan ændre risikoen for gruppesøgsmål for danske organisationer, der oplever brud på persondatasikkerheden i stor målestok.
Beskyttelse af CPR-numre
En af Danmarks mest særegne nationale regler vedrører CPR-nummeret (personnummeret), det unikke registreringsnummer, som tildeles enhver person, der registreres i Det Centrale Personregister (CPR). CPR-numre fungerer som en gennemgående nøgle på tværs af offentlige og private systemer, hvilket gør det muligt at sammenkøre datasæt på måder, der gør misbrug af numrene til en alvorlig privatlivsrisiko.
Databeskyttelseslovens § 11 fastsætter en særlig ordning for CPR-numre, som gælder ved siden af, og ikke i stedet for, GDPR artikel 6. En dataansvarlig, der har et gyldigt behandlingsgrundlag efter artikel 6, skal desuden opfylde § 11 for at kunne behandle CPR-numre.
For offentlige myndigheder er behandling tilladt, når det er nødvendigt af hensyn til en entydig identifikation af den registrerede, eller når det følger af lovgivningen.
For private aktører er de tilladte grundlag snævrere:
- Behandlingen følger af lovgivningen
- Den registrerede har givet udtrykkeligt samtykke til behandlingen
- Behandling af et CPR-nummer, som den registrerede selv har offentliggjort, sker klart i den registreredes egen interesse
- Behandlingen er nødvendig af hensyn til forfølgelsen af legitime interesser, og disse interesser klart overstiger den registreredes interesser
- Behandlingen er nødvendig til statistiske eller videnskabelige forskningsformål og sker under tilstrækkelige garantier
Private organisationer bør ikke antage, at et gyldigt behandlingsgrundlag efter GDPR artikel 6 (for eksempel opfyldelse af en kontrakt) automatisk giver ret til at behandle CPR-numre. Der kræves en selvstændig hjemmel efter § 11.

Databeskyttelsesrådgivere (DPO'er)
Danmark følger GDPR artikel 37, stk. 1, om obligatorisk udpegning af en databeskyttelsesrådgiver uden at tilføje yderligere nationale forpligtelser. Der skal udpeges en DPO, når organisationen er:
- En offentlig myndighed eller et offentligt organ (bortset fra domstole, når de handler i deres egenskab af domstol)
- En organisation, hvis kerneaktiviteter kræver regelmæssig og systematisk overvågning af registrerede i stort omfang (for eksempel omfattende online adfærdssporing)
- En organisation, hvis kerneaktiviteter består i behandling i stort omfang af særlige kategorier af oplysninger eller oplysninger om straffedomme og lovovertrædelser
Databeskyttelseslovens § 24 tilføjer én specifik forpligtelse for DPO'er udpeget efter grundlag (b) og (c): disse DPO'er er underlagt en lovbestemt tavshedspligt og må ikke videregive eller udnytte oplysninger, de har fået kendskab til i forbindelse med deres hverv som DPO. Dette er en strengere tavshedspligt, end GDPR selv pålægger.
DPO'er skal referere direkte til den øverste ledelse, skal inddrages rettidigt i alle databeskyttelsesspørgsmål og kan ikke afskediges eller sanktioneres for at udføre deres opgaver som DPO. DPO'ens kontaktoplysninger skal offentliggøres og meddeles til Datatilsynet.
Anmeldelse af brud på persondatasikkerheden
Danmark anvender de almindelige GDPR-regler om anmeldelse af brud på persondatasikkerheden:
- Dataansvarlige skal underrette Datatilsynet inden for 72 timer efter at være blevet bekendt med et brud på persondatasikkerheden, der indebærer en risiko for registreredes rettigheder og frihedsrettigheder (GDPR artikel 33)
- Hvis et brud sandsynligvis vil indebære en høj risiko for de berørte personer, skal den dataansvarlige underrette de pågældende uden unødig forsinkelse (GDPR artikel 34)
- Databehandlere skal underrette den dataansvarlige uden unødig forsinkelse, når de bliver bekendt med et brud
Datatilsynet stiller en digital anmeldelsesportal til rådighed og har offentliggjort detaljeret vejledning om vurdering af risikoniveauet ved brud. Myndigheden fremhævede i sin rapport for 2024, at mange af de bruddanmeldelser, den modtager, indgives for sent, og at organisationer bør have dokumenterede og på forhånd afprøvede procedurer for håndtering af brud.
Antallet af bruddanmeldelser er steget betydeligt år for år. Datatilsynet modtog 9.624 bruddanmeldelser i 2024 og 9.849 i 2025.
Tv-overvågning: Tv-overvågningsloven
Danmark har en selvstændig tv-overvågningslov, der regulerer videoovervågning foretaget af private personer og virksomheder. Offentlige myndigheders tv-overvågning af offentlige steder reguleres af GDPR og de almindelige databeskyttelsesregler snarere end denne lov.
Tilladt privat tv-overvågning: Private virksomheder kan foretage tv-overvågning på egne lokaler (indendørs og umiddelbart tilstødende udendørsarealer) med henblik på sikkerhed og kriminalitetsforebyggelse uden særlig tilladelse, forudsat at kravene i GDPR overholdes.
Forbud mod overvågning af offentlige steder: Private aktører er som udgangspunkt forbudt at foretage tv-overvågning af offentlige steder. Der findes undtagelser for bestemte typer virksomheder, hvor overvågning af tilstødende offentlige arealer kan begrundes i sikkerhedshensyn, men disse kræver en konkret vurdering op mod det generelle forbud.
30-dages opbevaringsgrænse: Tv-overvågningsoptagelser skal slettes senest 30 dage efter optagelsen. Den eneste undtagelse er optagelser, der overdrages til politiet i forbindelse med en straffesag. Denne klare regel giver operatører klarhed, men betyder, at optagelser af en hændelse, der er mere end 30 dage gammel, som udgangspunkt ikke længere vil være tilgængelige.
Skiltningskrav: Ethvert område under tv-overvågning skal have tydelig og synlig skiltning, der angiver den ansvarlige aktør og kontaktoplysninger. Manglende eller utilstrækkelig skiltning udgør i sig selv et compliance-problem.
Digital samtykkealder
Databeskyttelseslovens § 6, stk. 3, fastsætter samtykkealderen for informationssamfundstjenester til 13 år. Børn på 13 år og derover kan selv give samtykke til behandling af deres personoplysninger i forbindelse med digitale tjenester som sociale medier og online-applikationer uden forældrenes godkendelse. For børn under 13 år skal samtykket gives eller godkendes af en forælder eller værge.
Dette valg afspejler den laveste alder, som GDPR tillader medlemsstaterne at fastsætte (GDPR artikel 8, stk. 1), og placerer Danmark blandt de medlemsstater, der har valgt den lavest tilladte aldersgrænse.
Vær opmærksom: Danmark overvejer separat en lov om aldersgrænser for sociale medier, som vil kræve en minimumsalder på 15 år for adgang til udpegede platforme, eller 13 år med forældresamtykke, inden for rammerne af artikel 28 i retsakten om digitale tjenester (DSA). Pr. maj 2026 er dette initiativ blevet annonceret politisk, men er endnu ikke vedtaget som lov. Den nuværende samtykkealder efter databeskyttelseslovens § 6, stk. 3, er fortsat 13 år.
Undtagelser for journalistik og ytringsfrihed
Databeskyttelseslovens § 3 giver en bred undtagelse for behandling, der foretages i journalistisk øjemed eller med henblik på akademisk, kunstnerisk eller litterær virksomhed. Sådan behandling er undtaget fra de fleste af GDPR's materielle bestemmelser (kapitel II til VII og IX).
Denne undtagelse er bredere end i mange andre EU-medlemsstater og afspejler Danmarks stærke forfatningsmæssige tradition for pressefrihed. Journalister, akademiske forskere og kunstnere har betydelig frihed til at behandle personoplysninger uden at skulle opfylde GDPR's fulde compliance-krav.
Behandling af oplysninger om strafbare forhold
Databeskyttelseslovens § 8 regulerer private aktørers behandling af personoplysninger om strafbare forhold, straffedomme og sikkerhedsforanstaltninger. For private aktører er behandling af oplysninger om strafbare forhold kun tilladt, når det er nødvendigt for at varetage en legitim interesse, og denne interesse klart overstiger den registreredes interesser.
Offentlige myndigheder har bredere adgang til at behandle oplysninger om strafbare forhold, men skal fortsat overholde princippet om formålsbegrænsning og GDPR's øvrige grundlæggende principper. Denne sondring mellem offentlige og private aktører afspejler den danske lovgivers vurdering af, at private organisationer har svagere begrundelser for at behandle følsomme oplysninger om strafferetlig historik.
Overførsel af data til tredjelande
Danmark følger de almindelige regler i GDPR kapitel V om internationale overførsler. Overførsel af personoplysninger uden for EØS kræver ét af følgende:
- En tilstrækkelighedsafgørelse fra Europa-Kommissionen (der blandt andet omfatter Storbritannien, Schweiz, Canada, Japan, Sydkorea og USA under EU-US Data Privacy Framework)
- Fornødne garantier, herunder EU's standardkontraktbestemmelser (SCC'er), bindende virksomhedsregler (BCR'er) eller godkendte adfærdskodekser
- Særlige undtagelser efter GDPR artikel 49 (samtykke, nødvendighed for en kontrakt, vitale interesser, retskrav, væsentlige samfundsinteresser)
Datatilsynet erklærede i september 2022 brugen af Google Analytics ulovlig med den begrundelse, at tjenesten overførte personoplysninger til USA uden fornødne garantier efter EU-Domstolens Schrems II-dom. Selvom EU-US Data Privacy Framework (vedtaget i juli 2023) løste det specifikke tilstrækkelighedsproblem, har Datatilsynet fastholdt, at overholdelse af DPF er nødvendig, men ikke tilstrækkelig for lovlig brug af analyseværktøjer. Organisationer skal desuden have et gyldigt cookiesamtykke, en databehandleraftale med Google og overholde alle GDPR's krav om dataminimering og formålsbegrænsning.
I 2022 og 2023 offentliggjorde Datatilsynet også vejledning om Google Workspace og Microsoft 365 i den offentlige sektor og konkluderede, at visse konfigurationer ikke opfyldte GDPR's krav til overførsler. Offentlige myndigheder har derfor måttet gennemgå og opdatere konfigurationer og databehandleraftaler.

Sanktioner og håndhævelseshistorik
GDPR's almindelige sanktionsniveauer gælder i Danmark:
- Op til 10 millioner euro eller 2 % af den globale årlige omsætning (den højeste af de to) for overtrædelser af dataansvarliges og databehandleres forpligtelser efter artikel 8, 11, 25-39, 42 og 43
- Op til 20 millioner euro eller 4 % af den globale årlige omsætning (den højeste af de to) for overtrædelser af de grundlæggende principper for behandling, registreredes rettigheder, reglerne om internationale overførsler og tilsynsmyndighedens påbud
Fordi Datatilsynet ikke selv kan pålægge disse beløb, adskiller den praktiske håndhævelseshistorik sig væsentligt. Datatilsynet indstiller bøder til politiet; domstolene pålægger dem som strafferetlige sanktioner.
Bøder idømt af domstolene indtil videre
| Organisation | Datatilsynets indstilling | Domstolsafgørelse | Overtrædelse | År |
|---|---|---|---|---|
| Arp-Hansen Hotels | 1,1 mio. kr. | 1 mio. kr. (Østre Landsret) | 500.000 kundeprofiler opbevaret ud over sletningsfristerne (art. 5, stk. 1, litra e) | 2023 |
Verserende indstillede bøder (endnu ikke stadfæstet af domstolene)
| Organisation | Datatilsynets indstilling | Overtrædelse | År |
|---|---|---|---|
| Netcompany (mit.dk) | 15 mio. kr. | Manglende sikkerhedsforanstaltninger, ingen privacy by design, ingen konsekvensanalyse (DPIA) for det nationale digitale postsystem (art. 25, 32) | Indstillet i 2024 |
| Danske Bank | 10 mio. kr. | Manglende sletteregler i mere end 400 systemer; manglende dokumentation for lovlig opbevaring af millioner af kundeoplysninger | Indstillet i 2023 |
| Taxa 4x35 (taxaselskab) | 1,2 mio. kr. | 9 millioner turregistreringer opbevaret ud over det nødvendige (art. 5, stk. 1, litra e) | Indstillet i 2019 |
Forskellen mellem indstillede og domstolsidømte beløb er et strukturelt træk ved det danske håndhævelseslandskab. Organisationer bør ikke antage, at lavere domstolsbøder betyder lavere compliance-risiko. Datatilsynets ikke-økonomiske håndhævelsesredskaber, herunder forbud mod behandling, påbud og offentlig kritik, anvendes direkte og har øjeblikkelige driftsmæssige konsekvenser.
EU's AI-forordning: Lov nr. 467 af 14. maj 2025
Danmark blev et af de første EU-medlemslande til at vedtage national lovgivning til gennemførelse af EU's forordning om kunstig intelligens (forordning (EU) 2024/1689), da Folketinget vedtog lov nr. 467 den 8. maj 2025. Loven trådte i kraft den 2. august 2025, samme dato som AI-forordningens bestemmelser om forbudte AI-praksisser og AI-modeller til almen brug fandt anvendelse.
Lov nr. 467 er en målrettet suppleringslov. Selve AI-forordningen gælder direkte som EU-ret og kræver ingen implementering. Lov nr. 467 varetager det proceduremæssige og institutionelle arbejde, som AI-forordningen kræver, at medlemsstaterne udfører: den udpeger nationale kompetente myndigheder, fastsætter kontrol- og håndhævelsesbeføjelser på nationalt niveau og opretter en strafferetlig sanktionsordning. Loven gælder ikke for Færøerne eller Grønland.
Udpegede nationale myndigheder efter lov nr. 467
Danmark valgte en centraliseret model med flere myndigheder frem for at udpege sektorspecifikke tilsynsmyndigheder:
| Myndighed | Dansk navn | Rolle |
|---|---|---|
| Agency for Digital Government | Digitaliseringsstyrelsen | Bemyndigende myndighed, centralt kontaktpunkt og markedsovervågningsmyndighed |
| Datatilsynet | Datatilsynet | Markedsovervågningsmyndighed for AI-systemer, der involverer personoplysninger |
| Domstolsstyrelsen | Domstolsstyrelsen | Markedsovervågningsmyndighed for AI-systemer inden for retsvæsenet |
Digitaliseringsstyrelsen fungerer som det primære koordinerende organ og Danmarks centrale kontaktpunkt over for Europa-Kommissionen og EU's AI-kontor.
Håndhævelsesbeføjelser efter lov nr. 467
De udpegede myndigheder kan:
- Kræve og indhente alle relevante tekniske oplysninger om AI-systemer fra udbydere og idriftsættere
- Foretage kontrolbesøg på virksomheders lokaler uden forudgående retskendelse
- Udstede påbud om øjeblikkelig udbedring af AI-systemer, der ikke opfylder kravene
- Nedlægge midlertidigt forbud mod AI-systemer, der anvender forbudte praksisser
- Idømme strafferetlige bøder (udelukkende af økonomisk karakter) med en forældelsesfrist på fem år
- Offentliggøre afgørelser om forbudt anvendelse af AI
I overensstemmelse med den danske forfatningsordning for økonomiske sanktioner er bøder efter AI-forordningen i medfør af lov nr. 467 strafferetlige sanktioner, der pålægges gennem domstolene, og ikke administrative bøder.
Vær opmærksom: Lov nr. 467 blev udformet som en indledende foranstaltning, der dækker de tidlige bestemmelser i AI-forordningen (primært de forbudte praksisser i artikel 5, som fandt anvendelse fra 2. august 2025). En samlet efterfølgende lov, der dækker AI-forordningens fulde anvendelsesområde, var under udarbejdelse pr. maj 2026. Organisationer, der er omfattet af AI-forordningen, bør holde sig orienteret om vejledning fra Digitaliseringsstyrelsen og Datatilsynet.
Seneste udvikling (2024-2026)
Håndhævelse af cookiereglerne (2025-2026): Datatilsynet har gjort cookiesamtykke til et prioriteret håndhævelsesområde. Myndighedens undersøgelser viste, at 84 % af danske websteder havde overtrædelser af cookiereglerne pr. 2025. Datatilsynet udtalte alvorlig kritik af de store medieudgivere JP/Politikens Hus og Berlingske for samtykkepraksisser, herunder farvekodet nudging (grøn accepter-knap, grå afvis-knap) og cookiewalls, der betingede adgang til indhold af samtykke til analyseformål. Danmark har ingen samtykkeundtagelse for analytiske cookies; cookiebekendtgørelsen anerkender kun to snævre undtagelser: cookies, der er strengt nødvendige for kommunikation, og cookies, der er strengt nødvendige for udtrykkeligt anmodede tjenester.
Opdateret holdning til Google Analytics (2023-2026): Efter indførelsen af EU-US Data Privacy Framework i juli 2023 bekræftede Datatilsynet, at det specifikke overførselsproblem, der lå til grund for ulovlighedsafgørelsen fra 2022, er løst for DPF-kompatible konfigurationer. Myndigheden fastholdt dog, at DPF-tilstrækkelighed alene ikke gør Google Analytics lovligt. Gyldige mekanismer for forudgående samtykke, kompatible databehandleraftaler og overholdelse af kravet om dataminimering er fortsat obligatoriske.
Netcompany-indstilling (januar 2024): Datatilsynet indstillede Danmarks hidtil største GDPR-bøde, 15 mio. kr., mod Netcompany for sikkerhedsbrist i det nationale digitale postsystem mit.dk. Myndigheden fandt, at Netcompany ikke havde implementeret privacy by design, ikke havde gennemført en påkrævet konsekvensanalyse (DPIA), og havde anvendt uhensigtsmæssig kodning i brugerautentificeringskomponenten på trods af test forud for lancering. Sagen verserer fortsat ved domstolene pr. maj 2026.
GDPR-godtgørelsesdom (august 2025): En dansk landsret tilkendte 335 euro i godtgørelse for ikke-økonomisk skade efter GDPR artikel 82 til en registreret, hvis helbredsoplysninger fejlagtigt var blevet videregivet af en kommune. Sagsøgeren ankede til Højesteret med henblik på at få beløbet forhøjet og udvidet til også at omfatte hendes ægtefælle. En højesteretsdom, der stadfæster denne tilgang, vil kunne udvide risikoen for søgsmål betydeligt for danske organisationer, der oplever brud på persondatasikkerheden i stor målestok.
Håndhævelse af AI-forordningen indledes (august 2025): Med lov nr. 467 i kraft fra 2. august 2025 risikerer organisationer, der driver forbudte AI-systemer i Danmark, strafferetlig forfølgelse. Datatilsynet er den udpegede markedsovervågningsmyndighed for AI-systemer, der involverer personoplysninger. Myndigheden offentliggjorde indledende vejledning om, hvordan AI-forordningens krav samspiller med GDPR-kravene, i betragtning af at mange AI-systemer behandler personoplysninger og derfor er omfattet af begge regelsæt samtidig.
EU's Digital Omnibus-forslag (2025): Danmark, som formand for EU's Ministerråd i anden halvdel af 2025, fremsatte forslag om at revidere e-databeskyttelsesreglerne, herunder mulige undtagelser for visse analyse- og tekniske cookies. Disse forslag befinder sig fortsat i EU's lovgivningsproces og vil, hvis de vedtages, tidligst træde i kraft i 2027.
Tjekliste for virksomheders compliance
Organisationer, der driver virksomhed i Danmark, bør forholde sig til følgende specifikke træk ved det danske databeskyttelseslandskab:
Håndtering af CPR-numre: Sørg for, at enhver behandling af danske CPR-numre har et gyldigt grundlag efter både GDPR artikel 6 og databeskyttelseslovens § 11. Et grundlag om opfyldelse af en kontrakt for hovedbehandlingen giver ikke automatisk ret til at anvende CPR-numre.
Overholdelse af tv-overvågningsreglerne: Gennemgå opbevaringsplanerne for at sikre, at optagelser slettes inden for 30 dage. Kontrollér skiltningen på alle overvågede lokaler. Sørg for, at overvågningen ikke udstrækker sig til offentlige steder i strid med tv-overvågningsloven.
Cookiesamtykke: Gennemfør en cookieaudit. Danmark har ingen samtykkeundtagelse for analytiske cookies. Alle cookies, der ikke er strengt nødvendige, kræver forudgående aktivt samtykke. Gennemgå konfigurationen af samtykkestyringsplatformen for at fjerne nudging-mønstre, som Datatilsynet har fundet gør samtykket ugyldigt.
Tjenester rettet mod børn: Hvis der udbydes tjenester til enkeltpersoner, bør der indføres aldersverifikation for brugere under 13 år. Den lovbestemte grænse efter databeskyttelseslovens § 6, stk. 3, er 13 år. Hold øje med kommende lovgivning om sociale medier, der kan hæve denne grænse til 15 år for visse platforme.
AI-systemer: Klassificér alle AI-systemer, der anvendes i Danmark, efter AI-forordningens risikoniveauer. For højrisiko-AI-systemer bør der udarbejdes compliance-dokumentation, som kan fremlægges for Datatilsynet eller Digitaliseringsstyrelsen efter anmodning. Sørg for, at ingen aktiviteter falder ind under de forbudte AI-kategorier i artikel 5.
Håndtering af brud: Dokumentér og afprøv procedurerne for anmeldelse af brud. Fristen på 72 timer løber fra det tidspunkt, hvor et hvilket som helst medlem af organisationen bliver bekendt med bruddet, og ikke fra det tidspunkt, hvor den øverste ledelse formelt underrettes. Datatilsynet har bemærket en høj andel af for sent indgivne anmeldelser.
Bevidsthed om håndhævelsesmodellen: Ved vurdering af risikoen for en GDPR-overtrædelse bør den todelte håndhævelsesmodel tages i betragtning. Datatilsynet kan øjeblikkeligt pålægge forbud mod behandling og udstede påbud. Økonomiske bøder tager længere tid, men er strafferetlige sanktioner, som medfører en plettet straffeattest for organisationen.
Sammenhæng med lovgivningen om optagelse og overvågning
Danmarks databeskyttelsesregler har direkte sammenhæng med den bredere lovgivning om overvågning og optagelse. Enhver optagelse af personer, uanset om det er lyd eller video, udgør behandling af personoplysninger efter GDPR og kræver et gyldigt behandlingsgrundlag efter artikel 6, oplysningsforpligtelser efter artikel 13 og 14 samt overholdelse af principperne om formålsbegrænsning og dataminimering.
Tv-overvågningslovens regler om videoovervågning gælder specifikt ved siden af GDPR. For lydoptagelser er dansk strafferet den primære ramme for samtykke, mens overholdelse af GDPR desuden er påkrævet. For en fuld gennemgang af Danmarks regler om samtykke til optagelse, se Danmarks optagelseslove.
Ansvarsfraskrivelse: Denne artikel giver generel juridisk information om Danmarks databeskyttelseslove pr. maj 2026. Den udgør ikke juridisk rådgivning. Databeskyttelsesretten ændrer sig hyppigt, og samspillet mellem GDPR, national gennemførelseslovgivning og den fremvoksende AI-regulering udvikler sig fortsat. Kontakt en advokat med kompetence i dansk ret for rådgivning om din konkrete situation. De nævnte love afspejler deres gældende version som verificeret den 19. maj 2026.
Frequently Asked Questions
Kan Datatilsynet selv pålægge GDPR-bøder i Danmark?
Nej. GDPR-betragtning 151 fastsætter, at Danmark kan pålægge bøder gennem de kompetente nationale domstole som en strafferetlig sanktion i stedet for via tilsynsmyndigheden. Når Datatilsynet konstaterer en overtrædelse, der berettiger en bøde, indgiver myndigheden en politianmeldelse med et indstillet beløb. Politiet efterforsker sagen, og hvis der rejses tiltale, går sagen videre til domstolene. Domstolen fastsætter den endelige sanktion. Denne proces tager ofte flere år, og domstolene har mulighed for at nedsætte det indstillede beløb.
Hvad er den største GDPR-bøde, en dansk domstol reelt har idømt?
Pr. maj 2026 er den største stadfæstede GDPR-bøde i Danmark på 1 mio. kr., som Østre Landsret idømte Arp-Hansen Hotels i 2023 for at have opbevaret cirka 500.000 kundeprofiler ud over sletningsfristerne i strid med GDPR artikel 5, stk. 1, litra e. Datatilsynets største verserende indstilling er på 15 mio. kr. mod Netcompany for sikkerhedsbrist i det digitale postsystem mit.dk, men den sag har endnu ikke ført til en domstolsafgørelse.
Hvilke særlige regler gælder for CPR-numre i Danmark?
CPR-numre nyder forhøjet beskyttelse efter databeskyttelseslovens § 11, oven i de almindelige krav i GDPR artikel 6. Private aktører må kun behandle CPR-numre, når det er påkrævet ved lov, med udtrykkeligt samtykke, når den registrerede selv har offentliggjort nummeret og behandlingen klart sker i dennes interesse, når vigtige offentlige eller private interesser klart overstiger hensynet til privatlivet, eller til statistiske eller videnskabelige forskningsformål med tilstrækkelige garantier. Et gyldigt behandlingsgrundlag efter GDPR alene er ikke tilstrækkeligt.
Hvor længe må tv-overvågningsoptagelser opbevares i Danmark?
Efter tv-overvågningsloven skal tv-overvågningsoptagelser slettes senest 30 dage efter optagelsen. Den eneste undtagelse er, når optagelserne er overdraget til politiet i forbindelse med en straffesag. 30-dages-reglen gælder for private aktører, der driver kameraer på egne lokaler eller tilstødende arealer.
Hvad er den digitale samtykkealder i Danmark?
Databeskyttelseslovens § 6, stk. 3, fastsætter samtykkealderen for informationssamfundstjenester til 13 år, hvilket er den laveste alder, GDPR artikel 8, stk. 1, tillader. Børn på 13 år og derover kan give samtykke til digitale tjenester uden forældrenes medvirken. For børn under 13 år skal en forælder eller værge give eller godkende samtykket. Bemærk, at der separat er politisk drøftelse af lovgivning om en aldersgrænse på 15 år for visse platforme, men denne var endnu ikke vedtaget pr. maj 2026.
Er Google Analytics lovligt i Danmark?
Datatilsynet erklærede Google Analytics i strid med reglerne i september 2022 på grund af ulovlige overførsler til USA. EU-US Data Privacy Framework (vedtaget i juli 2023) løste det specifikke tilstrækkelighedsproblem for overførslen. Datatilsynet har dog udtalt, at overholdelse af DPF alene ikke er tilstrækkeligt. Organisationer, der anvender Google Analytics, skal desuden indhente gyldigt forudgående aktivt cookiesamtykke, have en kompatibel databehandleraftale med Google og overholde alle GDPR's krav om dataminimering. Danmark har ingen samtykkeundtagelse for analytiske cookies.
Hvad gør Danmarks lov nr. 467 af 2025 for AI-regulering?
Lov nr. 467 af 14. maj 2025, som trådte i kraft den 2. august 2025, gennemfører Danmarks nationale styringsramme for EU's AI-forordning (forordning (EU) 2024/1689). Loven udpeger Digitaliseringsstyrelsen som bemyndigende myndighed og centralt kontaktpunkt og udpeger Digitaliseringsstyrelsen, Datatilsynet og Domstolsstyrelsen som nationale markedsovervågningsmyndigheder med beføjelse til at kontrollere AI-systemer, udstede forbud og pålægge strafferetlige bøder. Loven implementerer ikke selve AI-forordningen, som gælder direkte, men etablerer den håndhævelsesstruktur, som Danmark er forpligtet til at stille til rådighed efter forordningens artikel 70.
Kræver Danmark, at organisationer udpeger en databeskyttelsesrådgiver?
Danmark følger GDPR artikel 37, stk. 1, uden yderligere nationale krav om udpegning af DPO. Der skal udpeges en DPO af offentlige myndigheder eller organer, organisationer hvis kerneaktiviteter kræver systematisk overvågning af registrerede i stort omfang, og organisationer hvis kerneaktiviteter omfatter behandling i stort omfang af særlige kategorier af oplysninger eller oplysninger om straffedomme. Databeskyttelseslovens § 24 tilføjer en lovbestemt tavshedspligt for DPO'er udpeget på grundlag af overvågnings- eller kategorikriterierne, hvilket er strengere end selve GDPR kræver.
Hvad indebærer kravet om 72-timers anmeldelse af brud i Danmark?
Dataansvarlige skal underrette Datatilsynet inden for 72 timer efter at være blevet bekendt med et brud på persondatasikkerheden, der udgør en risiko for registreredes rettigheder og frihedsrettigheder, jf. GDPR artikel 33 som anvendt i Danmark. Fristen løber fra det tidspunkt, hvor en hvilken som helst del af organisationen bliver bekendt med bruddet, og ikke fra det tidspunkt, hvor den øverste ledelse formelt underrettes. Hvis bruddet sandsynligvis vil indebære en høj risiko for de registrerede, skal de berørte også underrettes uden unødig forsinkelse efter GDPR artikel 34.
Må private virksomheder foretage tv-overvågning af offentlige gader i Danmark?
Som udgangspunkt nej. Tv-overvågningsloven forbyder private aktører at foretage tv-overvågning af offentlige steder. Der findes snævre undtagelser for bestemte typer virksomheder, der overvåger umiddelbart tilstødende offentlige arealer af legitime sikkerhedshensyn, men privat overvågning af almindelige offentlige gader kræver en specifik retlig begrundelse. Offentlige myndigheders tv-overvågning af offentlige steder reguleres separat efter GDPR og gældende sektorlovgivning.
Sources and References
- Databeskyttelsesloven (konsolideret lovbekendtgørelse nr. 289 af 8. marts 2024)(datatilsynet.dk).gov
- Datatilsynet - Dansk lovgivning(datatilsynet.dk).gov
- GDPR-betragtning 151 - Administrative bøder i Danmark og Estland(gdpr-info.eu)
- EU's AI-forordning (EU) 2024/1689(eur-lex.europa.eu).gov
- Regulations.ai - Danmarks AI-lov nr. 467/2025(regulations.ai)
- ai-regulation.com - Danmarks nationale AI-lov(ai-regulation.com)
- EDPB - Bødeindstilling mod Taxa 4x35(edpb.europa.eu).gov
- IAPP - Landsrettens bøde til Arp-Hansen Hotels, 2023(iapp.org)
- IAPP - Indstilling af 10 mio. kr. mod Danske Bank(iapp.org)
- Global Relay - Indstilling af 15 mio. kr. mod Netcompany(grip.globalrelay.com)
- TechGDPR - Dansk landsrets GDPR-godtgørelsesdom 2025(techgdpr.com)
- Clickport - Google Analytics i Danmark 2026(clickport.io)
- White and Case - GDPR i Danmark(whitecase.com)
- DLA Piper - Databeskyttelse i Danmark(dlapiperdataprotection.com)
- IAPP - Analyse af den danske databeskyttelseslovs GDPR-undtagelser(iapp.org)
- activeMind - Den danske sanktionsmodel(activemind.legal)
- GDPRhub - Arp-Hansen-afgørelsen(gdprhub.eu)
- GDPRhub - Danske Bank-afgørelsen(gdprhub.eu)
- Plesner - Danske initiativer om digital beskyttelse af børn(plesner.com)