⚖Rechtsleitfaden20. April 2026·blogPost.legalAspectsReviewsUsEu.readTime min read

Die Rechtslage für Online-Bewertungen: Ein Vergleich zwischen USA und EU 2026

Ein praktischer Überblick über FTC-Regeln, DSGVO-Pflichten, das Gesetz über digitale Dienste und was jeder Unternehmer wissen muss, bevor er sich mit seinen Bewertungen befasst.

Zwei Rechtsordnungen. Ein Problem. Gefälschte Bewertungen, unterdrückte Kritik, erzwungene Testimonials und die rechtlichen Grauzonen bei bezahlten Empfehlungen haben die Regulierungsbehörden auf beiden Seiten des Atlantiks zum Handeln gezwungen – und das auf sehr unterschiedliche Weise. Wenn Ihr Unternehmen Online-Bewertungen sammelt, anzeigt oder darauf antwortet, agieren Sie nun unter einem Flickenteppich sich überschneidender Gesetze, die Sie Strafen aussetzen können, die von 51.744 $ pro FTC-Verstoß in den USA bis zu DSGVO-Bußgeldern von bis zu 20 Millionen € oder 4 % des weltweiten Jahresumsatzes in der EU reichen. Dieser Leitfaden kartiert das Terrain – ohne Übertreibung, ohne Vereinfachung – damit Sie genau wissen, wo die Grenzen verlaufen.

Das amerikanische Bewertungsrecht ist kein einzelnes Gesetz. Es ist ein mehrschichtiges System aus Bundesvorschriften, einem Verbraucherrechtsgesetz von 2016 und einer FTC-Verordnung von 2024, die den Regulierungsbehörden endlich die seit Jahren fehlende Strafbefugnis verlieh.

Der Consumer Review Fairness Act von 2016 war die erste große bundesweite Intervention. Am 14. Dezember 2016 von Präsident Obama unterzeichnet, erklärte er jede nicht verhandelbare Klausel in Standardverträgen für nichtig, die Verbraucher daran hindert, Bewertungen zu schreiben, sie dafür bestraft oder von ihnen verlangt, ihre geistigen Eigentumsrechte an Bewertungen abzutreten. Im Klartext: Wenn in Ihren AGB steht „Sie stimmen zu, keine negativen Bewertungen zu hinterlassen“, ist diese Klausel nicht durchsetzbar und die FTC kann gegen Sie vorgehen.

Aber der CRFA hatte eine Lücke: Er schützte das Recht der Verbraucher, Bewertungen zu hinterlassen, gab der FTC aber keine Befugnis, zivilrechtliche Strafen für gefälschte Bewertungen zu verhängen. Das änderte sich im August 2024.

Die FTC-Regel zu Verbraucherbewertungen und Testimonials von 2024

Die am 21. Oktober 2024 in Kraft getretene endgültige Regel der FTC zu Verbraucherbewertungen und Testimonials (16 CFR Part 465) ist die umfassendste Bewertungsregulierung in der Geschichte der USA. Sie legt sechs Kernverbote fest – und knüpft an jedes eine zivilrechtliche Strafe von 51.744 $ pro Verstoß.

Die sechs verbotenen Praktiken sind: (1) Erstellen oder Verbreiten gefälschter Bewertungen von nicht existierenden Personen oder Personen ohne echte Produkterfahrung; (2) Kauf oder Verkauf von Bewertungen, die an die Äußerung einer bestimmten Meinung geknüpft sind; (3) Veröffentlichen von Insider-Bewertungen ohne Offenlegung der wesentlichen Verbindung; (4) Einholen von Bewertungen von Familie oder Mitarbeitern ohne transparente Offenlegung; (5) Unterdrücken negativer Bewertungen durch unbegründete rechtliche Drohungen, Einschüchterung oder falsche Anschuldigungen; und (6) Kauf von gefälschtem Social-Media-Engagement zur Vortäuschung von Einfluss.

Die Regel erfasst ausdrücklich KI-generierte Bewertungen. Dies war kein Standardtext: Die FTC erkannte, dass die Grenzkosten für die Erzeugung Tausender plausibel klingender gefälschter Bewertungen mittels großer Sprachmodelle auf nahezu null gesunken waren, und handelte entsprechend. Am 22. Dezember 2025 versandte die FTC als ersten Durchsetzungsschritt Warnschreiben an 10 Unternehmen – ein Signal, dass die Schonfrist vorbei ist.

Der Sunday-Riley-Präzedenzfall

Bevor die Regel von 2024 existierte, war der aufschlussreichste Fall der FTC der von Sunday Riley Modern Skincare. Zwischen 2015 und 2017 ließ das Unternehmen – auf ausdrückliche Anweisung der CEO – Mitarbeiter gefälschte Sephora-Konten erstellen, VPNs zur Verschleierung ihrer Identität verwenden und Fünf-Sterne-Bewertungen hinterlassen. Ein Whistleblower leakte interne E-Mails. Die FTC einigte sich 2020, verhängte aber kontroverserweise keine Geldstrafe, was zu abweichenden Meinungen der Kommissare Chopra und Slaughter führte, die es als „ungeheuerlichen Betrug mit gefälschten Bewertungen“ bezeichneten. Die Regel von 2024 schloss diese Lücke: Dasselbe Verhalten würde heute Strafen in Millionenhöhe nach sich ziehen.

Der Ansatz der Europäischen Union unterscheidet sich strukturell vom US-Modell. Anstelle einer einzigen Regel für Bewertungen hat die EU drei separate Rechtsinstrumente, die zusammenspielen: Die DSGVO regelt den Umgang mit Bewertungsdaten; die Omnibus-Richtlinie (umgesetzt durch die UCPD) regelt, wie Bewertungen präsentiert und verifiziert werden; und das Gesetz über digitale Dienste (DSA) regelt, was Plattformen gegen gefälschte Bewertungen im großen Stil tun müssen.

Der erste Schritt ist zu verstehen, welches Gesetz für welchen Akteur gilt. Die DSGVO gilt für jede Organisation, die personenbezogene Daten von EU-Bürgern verarbeitet – was auch in Bewertungen enthaltene Daten einschließt. Die UCPD gilt für Händler, die auf dem EU-Markt tätig sind. Der DSA gilt hauptsächlich für Online-Plattformen, mit viel strengeren Verpflichtungen für sehr große Online-Plattformen (VLOPs) mit mehr als 45 Millionen EU-Nutzern.

DSGVO und das Recht auf Löschung von Bewertungen

Artikel 17 der DSGVO – das „Recht auf Vergessenwerden“ – ist eines der am häufigsten geltend gemachten Rechte gegenüber Unternehmen, die Bewertungen hosten. Ein Rezensent in Deutschland kann von einem Unternehmen oder einer Plattform verlangen, eine Bewertung mit seinen personenbezogenen Daten zu löschen. Das Unternehmen hat einen Monat Zeit, um zu antworten. Die Nichteinhaltung kann zu Beschwerden bei einer nationalen Datenschutzbehörde führen.

Hier ist die entscheidende Nuance, die die meisten Leitfäden übersehen: Das Recht auf Löschung ist nicht absolut. Wenn eine Bewertung persönliche Meinungen über die Qualität professioneller Dienstleistungen enthält, haben Gerichte und Datenschutzbehörden wiederholt festgestellt, dass die Interessen der Meinungsfreiheit und das legitime Informationsinteresse zukünftiger Verbraucher einen Löschan-trag überwiegen können. Die koordinierte Durchsetzungsmaßnahme des Europäischen Datenschutzausschusses von 2025 zielte speziell auf unzureichende Löschverfahren ab – klärte aber auch diese konkurrierenden Interessen.

Was das praktisch bedeutet: Wenn ein Klempner namens Hans Schmidt eine Ein-Stern-Bewertung hinterlässt, die seinen vollen Namen und seine Adresse enthält, kann er die Löschung seiner identifizierenden Informationen verlangen. Aber das Unternehmen kann nicht gezwungen werden, den Inhalt einer legitimen Beschwerde zu löschen, nur weil der Rezensent seine Meinung geändert hat.

Die Omnibus-Richtlinie: Verifizierte Bewertungen sind jetzt eine Offenlegungspflicht

Die Omnibus-Richtlinie von 2019 – die bis Mai 2022 in allen EU-Mitgliedstaaten in nationales Recht umgesetzt wurde – fügte der Richtlinie über unlautere Geschäftspraktiken eine spezielle Regel hinzu: Händler müssen offenlegen, ob und wie sie überprüfen, ob Bewertungen von tatsächlichen Käufern stammen. Wenn Sie behaupten, Bewertungen seien verifiziert, und sie sind es nicht, ist das eine unlautere Geschäftspraktik, die national geahndet werden kann.

Strafen unter der UCPD in der durch die Omnibus-Richtlinie geänderten Fassung: Die Mitgliedstaaten müssen Bußgelder von mindestens 4 % des Jahresumsatzes des Händlers oder mindestens 2 Millionen € vorsehen, wenn der Umsatz nicht ermittelt werden kann. Italien, Frankreich, Deutschland und die Niederlande haben alle Untersuchungen nach diesen Bestimmungen eingeleitet.

Das Gesetz über digitale Dienste: Plattform-Pflichten seit Februar 2024

Der DSA (Verordnung EU 2022/2065) trat am 17. Februar 2024 vollständig in Kraft. Speziell für Bewertungsplattformen führte er Transparenz- und Rechenschaftspflichten ein, die weit über das hinausgehen, was jedes frühere EU-Gesetz forderte. VLOPs wie Google, Tripadvisor und Booking.com müssen systematische Risikobewertungen für gefälschte Inhalte durchführen, Transparenzberichte über Moderationsmaßnahmen veröffentlichen und Forschern Datenzugang gewähren.

Das maximale Bußgeld des DSA bei Nichteinhaltung beträgt 6 % des weltweiten Jahresumsatzes – und bei wiederholten systemischen Verstößen können Plattformen vorübergehend vom Betrieb in der EU suspendiert werden. Die Europäische Kommission eröffnete 2024 ihr erstes Nicht-Konformitätsverfahren nach dem DSA und zielte auf X (ehemals Twitter) wegen systemischer Mängel bei der Inhaltsmoderation ab.

Eine strategische Klage gegen öffentliche Beteiligung (Strategic Lawsuit Against Public Participation, SLAPP) ist eine Klage, die nicht eingereicht wird, um zu gewinnen, sondern um einzuschüchtern. Ein Restaurantbesitzer, der einen Kritiker wegen einer Ein-Stern-Bewertung auf 50.000 $ verklagt, versucht nicht wirklich, 50.000 $ einzutreiben – er versucht, den Rezensenten dazu zu bringen, einen Anwalt zu engagieren und Zeit mit der Verteidigung zu verbringen, wissend, dass die meisten Leute einfach die Bewertung löschen und aufgeben werden.

Diese Taktik ist in einer von der First-Amendment-Organisation FIRE geführten Datenbank gut dokumentiert: Allein im Jahr 2024 wurden fünfhundert SLAPP-Fälle erfasst. Gerichte und Gesetzgeber haben hart gegengesteuert. Bis 2025 haben 33 US-Bundesstaaten, der District of Columbia und Guam Anti-SLAPP-Gesetze erlassen. In Kalifornien, Texas und Florida – drei der wirtschaftlich bedeutendsten Bundesstaaten für kleine Unternehmen – sind diese Gesetze robust und enthalten Gebührenverlagerungsbestimmungen: Wenn Ihre Klage als SLAPP eingestuft wird, zahlen Sie die Anwaltskosten des Rezensenten.

Das strategische Kalkül hat sich verschoben. Ein Unternehmen, das einen Rezensenten in Kalifornien wegen Verleumdung verklagt, riskiert: (a) den Anti-SLAPP-Antrag zu verlieren, (b) die Anwaltskosten des Rezensenten zu zahlen und (c) weitaus mehr negative Publizität zu erzeugen, als die ursprüngliche Bewertung jemals hätte verursachen können. Verbraucherrechtsanwälte nennen dies den Streisand-Effekt der Bewertungsstreitigkeiten.

In der EU wird die entsprechende Sorge durch die SLAPP-Richtlinie (Richtlinie 2024/1069) angegangen, die das Europäische Parlament im April 2024 verabschiedet hat. Sie zielt hauptsächlich auf grenzüberschreitende Fälle ab und verpflichtet die Gerichte, offensichtlich unbegründete Fälle frühzeitig abzuweisen, wobei die Kosten dem Kläger auferlegt werden.

Einem Kunden einen Rabatt von 10 % im Austausch für eine Bewertung anzubieten, ist nicht automatisch illegal. Es wird jedoch illegal – sowohl nach den FTC-Regeln als auch nach EU-Recht –, sobald Sie diesen Vorteil an die Bedingung knüpfen, dass die Bewertung positiv ist, oder es versäumen, die wesentliche Verbindung offenzulegen.

Nach den FTC-Regeln erfordern Bewertungen mit Anreizen eine „klare und deutliche“ Offenlegung in der Bewertung selbst oder unmittelbar daneben. Die Offenlegung muss auf Social-Media-Plattformen „unvermeidbar“ sein und mit gleicher Hervorhebung wie der Bewertungsinhalt präsentiert werden. Ein winziges Sternchen am Ende einer Seite genügt nicht.

Die EU-Omnibus-Richtlinie fügt eine weitere Ebene hinzu: Wenn Ihre Plattform Bewertungen anzeigt, müssen Sie die Nutzer darüber informieren, ob diese Bewertungen verifizierte Käufe, nicht verifizierte Einreichungen oder Inhalte mit Anreizen enthalten – und in welchem Verhältnis. Eine durchschnittliche 4,8-Sterne-Bewertung zu präsentieren, die teilweise aus Bewertungen mit Anreizen stammt, ohne dies offenzulegen, ist eine unlautere Geschäftspraktik.

Die wichtige Unterscheidung, die viele kleine Unternehmen übersehen: Sie können um Bewertungen bitten. Sie können mit einer E-Mail nach dem Kauf nachfassen. Sie können den Prozess einfach gestalten. Sie können nicht für positive Stimmung bezahlen, negative Inhalte unterdrücken oder die Herkunft Ihrer Bewertungen falsch darstellen.

In den USA wird die Datenaufbewahrung für Bewertungen hauptsächlich durch Ihre eigene Datenschutzrichtlinie und die geltenden bundesstaatlichen Gesetze (wobei der CCPA in Kalifornien am bedeutendsten ist) geregelt. Es gibt keine bundesweite Vorschrift, wie lange Sie Bewertungsdaten aufbewahren müssen. Aber es gibt eine Konsistenzpflicht: Wenn Ihre Datenschutzrichtlinie besagt, dass Sie Nutzerdaten nach zwei Jahren löschen, können Sie nicht selektiv günstige Bewertungen behalten.

Unter der DSGVO verlangt der Grundsatz der Speicherbegrenzung (Artikel 5 Abs. 1 lit. e), dass personenbezogene Daten nicht länger als für den Zweck, für den sie erhoben wurden, erforderlich aufbewahrt werden dürfen. Für Bewertungen ist „erforderlich“ umstritten – aber die Leitlinien des EDPB deuten darauf hin, dass Bewertungen, die einem fortlaufenden kommerziellen Zweck dienen (zukünftigen Kunden bei Entscheidungen helfen), so lange aufbewahrt werden können, wie sie korrekt und relevant bleiben.

Die praktische Konsequenz: Eine Bewertung aus dem Jahr 2018 über einen Koch, der Ihr Restaurant 2021 verlassen hat, ist möglicherweise nicht mehr korrekt, und die Beibehaltung ohne Überprüfung könnte Sie sowohl DSGVO-Löschanfragen als auch Ansprüchen wegen irreführender Verbraucherinformationen aussetzen. EU-Unternehmen sollten ihre Bewertungsarchive jährlich überprüfen.

Zu wissen, welche Regulierungsbehörde gegen Sie vorgehen kann – und in welcher Höhe – ist für ein angemessenes Risikomanagement unerlässlich. Die Durchsetzungslandschaft im Jahr 2026 ist komplexer, als die meisten Compliance-Leitfäden zugeben.

Section 230 des Communications Decency Act bleibt das Fundament des amerikanischen Internetrechts. Plattformen wie Google, Yelp und Tripadvisor haften nicht als Herausgeber für nutzergenerierte Bewertungen – sie werden als passive Vermittler behandelt. Aus diesem Grund kann ein US-Unternehmen Google nicht für das Hosten einer verleumderischen Bewertung verklagen; die Klage muss sich gegen den ursprünglichen Rezensenten richten.

Die Entscheidungen des Obersten Gerichtshofs von 2023 in den Fällen Gonzalez v. Google und Twitter v. Taamneh lehnten eine Einschränkung des Schutzes von Section 230 ab, sodass das Grundgerüst intakt blieb. Plattformen verlieren diesen Schutz jedoch, wenn sie den problematischen Inhalt aktiv erstellen oder mitentwickeln – eine Tatsache, die in Fällen von algorithmischer Verstärkung zunehmend auf die Probe gestellt wird.

In der EU hat der DSA den Haftungsrahmen der E-Commerce-Richtlinie aus dem Jahr 2000 ersetzt. Plattformen, die „tatsächliche Kenntnis“ von illegalen Inhalten (einschließlich gefälschter Bewertungen) haben und nicht zügig handeln, verlieren ihre Immunität. Dies ist ein wesentlicher Unterschied zu Section 230: Das EU-Recht schafft eine „Notice-and-Action“-Pflicht, während Section 230 keine entsprechende Anforderung enthält.

Der Vollständigkeit halber sehen sich Unternehmen, die Kunden im Vereinigten Königreich bedienen, einem dritten, eigenständigen Regime gegenüber. Das Digital Markets, Competition and Consumers Act 2024 trat mit seinen Bestimmungen zu gefälschten Bewertungen am 6. April 2025 in Kraft. Es listet gefälschte Bewertungen und nicht offengelegte Bewertungen mit Anreizen explizit als verbotene Praktiken auf – automatisch illegal, ohne dass von Fall zu Fall nachgewiesen werden muss, dass sie „unlauter“ waren.

Die britische Wettbewerbs- und Marktaufsichtsbehörde (CMA) kann Unternehmen mit bis zu 10 % des weltweiten Jahresumsatzes oder 300.000 £ bestrafen – je nachdem, welcher Betrag höher ist. Tägliche Strafen bei Nichteinhaltung von bis zu 5 % des täglichen weltweiten Umsatzes oder 15.000 £ gelten für andauernde Verstöße. Die CMA leitete 2025 fünf Untersuchungen ein, die auf Autotrader, Feefo, Dignity, Just Eat und Pasta Evangelists abzielten.

Direktoren und Manager können persönlich für Verstöße haften, die sie wissentlich zugelassen haben – eine Bestimmung, die im aktuellen US-Bundesrahmen, wo der Schutz durch die juristische Person im Allgemeinen stärker ist, keine direkte Parallele hat.