Does ePrivacy apply to AI-generated messages?

Yes. ePrivacy is technology-neutral — an AI sending a marketing email, SMS, or WhatsApp message is treated identically to a human sending one.

Does GDPR consent satisfy ePrivacy?

No. ePrivacy is lex specialis and requires separate compliance. GDPR consent does not automatically satisfy ePrivacy's prior opt-in requirement.

What about B2B outbound?

B2C always requires opt-in. B2B rules vary by Member State — some allow opt-out for corporate addresses, others (e.g. Germany) apply stricter rules.

Is the ePrivacy Regulation coming?

The standalone Regulation was withdrawn in February 2025. Targeted ePrivacy amendments are now part of the Digital Omnibus Package under negotiation.

ePrivacy AI Compliance — Samtykke til Udgående AI-Beskeder

Sidst opdateret: 8. april 2026 · 8 minutters læsning · Gennemgået af Audact compliance-team · Direktiv 2002/58/EC

ePrivacy-direktivet regulerer handlingen med at sende elektronisk kommunikation. Det gælder for enhver AI-genereret udgående besked — e-mail, SMS, WhatsApp eller voice-opkald — uanset om et menneske eller AI sammensatte den.

Hvad er ePrivacy-direktivet?

ePrivacy-direktivet (2002/58/EC) er EU's primære lov om elektronisk kommunikations privatliv. Det er lex specialis til GDPR — hvor ePrivacy har en specifik regel, har den forrang over GDPR.

Praktisk set: ePrivacy regulerer afsendelse af kommunikationen og adgang til enheden. GDPR regulerer den efterfølgende behandling af indsamlede persondata. De kræver separat compliance — GDPR-samtykke opfylder ikke automatisk ePrivacy-krav, og omvendt.

ePrivacy-direktiv vs ePrivacy-forordning: hvad der ændres for AI

2002-direktivet (som ændret i 2009) er et juridisk instrument transponeret forskelligt i hvert EU-land, hvilket er grunden til, at tysk TDDDG, nederlandsk Telecommunicatiewet og britisk PECR alle ligner hinanden overfladisk, men adskiller sig i detaljer. Den foreslåede ePrivacy-forordning ville have erstattet lappetæppet med en enkelt direkte anvendelig tekst, der stramede reglerne om cookies, maskine-til-maskine-trafik og metadata-behandling. Efter otte år med dødvande trak Kommissionen formelt filen tilbage den 11. februar 2025.

For AI-implementatorer er den praktiske konsekvens, at intet ændres straks: direktivet forbliver i kraft, og det samme opt-in-drevne regime fortsætter med at gælde for udgående AI-beskeder. Men Digital Omnibus-pakken foreslået i november 2025 indeholder målrettede ePrivacy-ændringer — navnlig om cookie-samtykke-træthed og lovlig-interesse-grunde til analyser — der sandsynligvis lander i 2027. AI-leverandører bør designe deres samtykkeindsamling i dag, så det juridiske grundlag kan ommappes uden at genindsamle samtykke.

Vigtige artikler for AI-implementatorer

Article 13 — Uopfordret kommunikation

Kræver forudgående opt-in samtykke inden afsendelse af direkte markedsføring via automatiserede opkaldssystemer, e-mail, SMS, fax eller ethvert elektronisk meddelelsessystem. Dette er teknologineutralt: en AI, der sender en markedsførings-e-mail, behandles identisk med et menneske, der sender en.

AI-chatbot, der initierer en WhatsApp-besked → samtykke krævet
AI, der sender markedsførings-e-mails → samtykke krævet
AI-genererede SMS-kampagner → samtykke krævet
Udgående AI voice-opkald → samtykke krævet

Article 13(2) — Blødt opt-in undtagelse

En undtagelse, der tillader markedsføring uden nyt samtykke hvis: (a) e-mailadressen blev opnået i forbindelse med et salg eller en tjeneste, (b) markedsføring er til lignende produkter/tjenester, og (c) en let opt-out gives ved indsamling og i hver besked.

Article 5(3) — Cookies og enhedsadgang

Kræver samtykke inden lagring eller adgang til oplysninger på en brugers terminaludstyr. For AI-chatbots gælder dette, når chatbotten placerer sporings-cookies — ikke til selve samtalen.

Cookie samtykke og AI tracking under ePrivacy

Article 5(3) er teknologineutral: den gælder for enhver lagring af eller adgang til oplysninger på en brugers terminaludstyr. Det dækker klassiske HTTP-cookies, men også browser lokal lagring, fingerprint-biblioteker og de SDK'er, som AI-personaliseringssystemer integrerer i websites og mobilapps. Hvis dataene efterfølgende indlæses i en anbefalingsmodel eller en adfærdsbaseret AI, skal det juridiske grundlag for den indledende læsning eller skrivning stadig være gyldigt GDPR-samtykke — indsamlet inden scriptet kører. CNIL, Garante og den nederlandske AP har alle bekræftet, at 'afvis alle' skal være ligeså let som 'accepter alle'.

For AI voice- eller chat-agenter er cookie-spørgsmålet normalt begrænset til den omgivende web-ejendom — men AI-drevne web push, in-app messaging og on-device talemodeller udløser 5(3), i det øjeblik de cacher tilstand. Audact behandler enhver samtykkebeslutning som en reviderbar hændelse, hvilket lader kunder bevise cookie-gyldighed selv når frontend-stakken ændres.

B2B undtagelser under ePrivacy for AI kommunikation

B2B-behandling er den mest fragmenterede del af ePrivacy. Direktivet tillader EU-lande at tillade direkte markedsføring til juridiske personer på et opt-out-grundlag, men kræver det ikke. UK's PECR fritager virksomhedsabonnenter fra det strenge opt-in til live opkald og faxer (men ikke til SMS eller e-mail til individuelle medarbejdere). Frankrig tillader ligeledes opt-out markedsføring til professionelle adresser, forudsat at beskeden vedrører modtagerens job. Tyskland tager den modsatte holdning: §7 UWG kræver forudgående eksplicit samtykke selv for B2B-e-mail med meget snævre undtagelser.

For AI-udgående systemer er den operationelle regel enkel: et enkelt globalt 'B2B-undtagelse'-flag er non-compliant af design. Policy-motoren skal løse modtagerens land, kanalen og beskedens natur inden hvert send og logge den beslutning til regulatoren. Audact leverer disse per-jurisdiktion regler ud af boksen.

B2B vs. B2C

B2C kræver altid opt-in. B2B-behandling varierer fra medlemsstat til medlemsstat: nogle (f.eks. Storbritannien, Frankrig) tillader at kontakte erhvervs-e-mailadresser på et opt-out-grundlag; andre (f.eks. Tyskland, Italien) kræver opt-in selv for B2B-kommunikation. Audact's Policy Engine validerer samtykkestatus pr. land før enhver udgående AI-kommunikation.

Håndhævelse & straffe

Håndhævet af nationale myndigheder (typisk Datatilsynsmyndigheder). Da ePrivacy er et direktiv — ikke en forordning — varierer bøder per EU-land:

Tyskland (TDDDG): Op til €300.000
UK (PECR): Bøder under PECR, med højere straffe mulige, hvor overtrædelser overlapper med GDPR
Nederlandene: Nederlandsk DPA advarede 50 organisationer i april 2025 om cookie-overtrædelser
Frankrig (CNIL): Stram håndhævelse, blokerer cookies inden samtykke, forbyder mørke mønstre

EDPB har bekræftet, at ePrivacy-overtrædelser kan indgå i GDPR-bøder, hvor den samme myndighed håndhæver begge.

ePrivacy-forordning — hvad skete der?

Den selvstændige ePrivacy-forordning blev formelt trukket tilbage af Europa-Kommissionen den 11. februar 2025 efter flere års mislykkede forhandlinger. I stedet er målrettede ePrivacy-ændringer nu en del af Digital Omnibus-pakken (foreslået november 2025), som forhandles på nuværende tidspunkt med politisk enighed forventet i slutningen af 2026.

Sådan hjælper Audact

Samtykkeverifikation: Policy Engine validerer opt-in-status før enhver udgående AI-kommunikation sendes
Land-specifikke regler: Audact anvender ePrivacy-regler pr. medlemsstat (B2B vs. B2C, opt-in vs. opt-out) ud fra modtagerens jurisdiktion
Kryptografisk samtykke-bevis: Hver udgående kommunikation forsegles med en verificerbar samtykke-record som en del af kvitteringskæden

Ofte stillede spørgsmål

Gælder ePrivacy for AI-genererede beskeder?

Ja. ePrivacy er teknologineutral — en AI, der sender en markedsførings-e-mail, SMS eller WhatsApp-besked, behandles identisk med et menneske, der sender en.

Opfylder GDPR-samtykke ePrivacy?

Nej. ePrivacy er lex specialis og kræver separat compliance. GDPR-samtykke opfylder ikke automatisk ePrivacy's forudgående opt-in-krav.

Hvad med B2B udgående?

B2C kræver altid opt-in. B2B-regler varierer per EU-land — nogle tillader opt-out til virksomhedsadresser, andre (f.eks. Tyskland) anvender strengere regler.

Kommer ePrivacy-forordningen?

Den selvstændige forordning blev trukket tilbage i februar 2025. Målrettede ePrivacy-ændringer er nu en del af Digital Omnibus-pakken under forhandling.

Sammenlign EU AI compliance-love

Lov	Deadline	Hvem	Straf
EU AI Act Art. 50	2. aug 2026	Alle AI-implementatorer i EU	€7,5M / 1,5% omsætning
NL Telecomwet	1. jul 2026	Udgående markedsføring til NL forbrugere	€900K / 10% omsætning
GDPR	I kraft	Enhver behandler af EU-persondata	€20M / 4% omsætning
DSA	I kraft (feb 2024)	Mellemmænd & VLOP'er	6% global omsætning
ePrivacy	I kraft	Afsendere af elektronisk kommunikation	Varierer per EU-land

Relaterede compliance-ressourcer

Ansvarsfraskrivelse: Denne side er udelukkende til informationsformål og udgør ikke juridisk rådgivning. Konsulter kvalificeret juridisk rådgiver for dine specifikke compliance-forpligtelser.

← Tilbage til hjem

ePrivacy AI compliance for elektronisk kommunikation