⚖Juridisk guide20. april 2026·blogPost.legalAspectsReviewsUsEu.readTime min read

Det juridiske landskapet for nettanmeldelser: USA vs EU i 2026

En praktisk gjennomgang av FTC-reglene, GDPR-forpliktelser, Digital Services Act, og hva enhver bedriftseier må vite før de rører anmeldelsene sine.

To jurisdiksjoner. Ett problem. Falske anmeldelser, undertrykt kritikk, tvungne attester og de juridiske gråsonene rundt betalte anbefalinger har tvunget regulatorer på begge sider av Atlanteren til å handle – og de har gjort det på svært forskjellige måter. Hvis bedriften din samler inn, viser frem eller svarer på nettanmeldelser, opererer du nå under et lappeteppe av overlappende lover som kan utsette deg for straffer som spenner fra $51 744 per FTC-overtredelse i USA til GDPR-bøter på opptil 20 millioner euro eller 4 % av global årlig omsetning i EU. Denne guiden kartlegger terrenget – uten overdrivelser, uten forenklinger – slik at du vet nøyaktig hvor grensene går.

Amerikansk lovgivning om anmeldelser er ikke én enkelt lov. Det er et lagdelt system av føderale regler, en forbrukerrettighetslov fra 2016, og en FTC-regelendring fra 2024 som endelig ga tilsynsmyndighetene den sanksjonsmyndigheten de hadde manglet i årevis.

Consumer Review Fairness Act fra 2016 var den første store føderale intervensjonen. Loven ble signert av president Obama 14. desember 2016, og den ugyldiggjorde enhver ikke-forhandlingsbar standardkontraktbestemmelse som begrenser, straffer eller krever at forbrukere overdrar sine immaterielle rettigheter til anmeldelser. Enkelt sagt: hvis vilkårene dine sier «du samtykker i å ikke legge igjen negative anmeldelser», er den klausulen ikke rettskraftig, og FTC kan gå etter deg.

Men CRFA hadde et hull: den beskyttet forbrukernes rett til å legge igjen anmeldelser, men den ga ikke FTC myndighet til å ilegge sivilrettslige bøter for falske anmeldelser. Det endret seg i august 2024.

FTCs regelverk fra 2024: Consumer Reviews and Testimonials Rule

Med virkning fra 21. oktober 2024 er FTCs endelige regelverk om forbrukeranmeldelser og attester (16 CFR Part 465) den mest omfattende reguleringen av anmeldelser i USAs historie. Den etablerer seks kjerneforbud – og knytter en sivilrettslig bot på $51 744 per overtredelse til hver av dem.

De seks forbudte praksisene er: (1) å lage eller distribuere falske anmeldelser fra ikke-eksisterende personer eller personer uten ekte produkterfaring; (2) å kjøpe eller selge anmeldelser betinget av at de uttrykker en bestemt holdning; (3) å publisere anmeldelser fra innsidere uten å opplyse om den vesentlige tilknytningen; (4) å be om anmeldelser fra familie eller ansatte uten åpen og tydelig informasjon om dette; (5) å undertrykke negative anmeldelser gjennom grunnløse juridiske trusler, trusler eller falske anklager; og (6) å kjøpe falskt engasjement på sosiale medier for å gi et misvisende bilde av innflytelse.

Regelen dekker eksplisitt AI-genererte anmeldelser. Dette var ikke standardtekst: FTC anerkjente at marginalkostnaden for å generere tusenvis av troverdig-klingende falske anmeldelser via store språkmodeller hadde falt til nær null, og handlet deretter. Den 22. desember 2025 sendte FTC ut advarselsbrev til 10 selskaper som sitt første håndhevelsestiltak – et signal om at overgangsperioden er over.

Sunday Riley-prejudikatet

Før 2024-regelen eksisterte, var FTCs mest illustrerende sak Sunday Riley Modern Skincare. Mellom 2015 og 2017 fikk selskapet – på eksplisitt ordre fra administrerende direktør – ansatte til å opprette falske Sephora-kontoer, bruke VPN-er for å skjule identiteten sin og legge igjen femstjerners anmeldelser. En varsler lekket interne e-poster. FTC inngikk forlik i 2020, men påla kontroversielt ingen økonomisk straff, noe som førte til dissens fra kommissærene Chopra og Slaughter, som kalte det «grov svindel med falske anmeldelser». 2024-regelen tettet det smutthullet: den samme handlingen i dag ville medført bøter i millionklassen.

EUs tilnærming er strukturelt annerledes enn den amerikanske modellen. I stedet for én regel for anmeldelser, har EU tre separate juridiske instrumenter som samhandler: GDPR styrer hvordan anmeldelsesdata håndteres; Omnibus-direktivet (implementert via UCPD) styrer hvordan anmeldelser presenteres og verifiseres; og Digital Services Act styrer hva plattformer må gjøre med falske anmeldelser i stor skala.

Å forstå hvilken lov som gjelder for hvilken aktør er det første steget. GDPR gjelder for enhver organisasjon som håndterer personopplysninger om EU-borgere – noe som inkluderer data i anmeldelser. UCPD (Direktivet om urimelig handelspraksis) gjelder for næringsdrivende som opererer i EU-markedet. DSA gjelder primært for nettplattformer, med mye strengere forpliktelser for svært store nettplattformer (VLOPs) med over 45 millioner EU-brukere.

GDPR og retten til sletting av anmeldelser

Artikkel 17 i GDPR – «retten til å bli glemt» – er en av de oftest påberopte rettighetene mot bedrifter som hoster anmeldelser. En anmelder i Tyskland kan be en bedrift eller plattform om å slette en anmeldelse som inneholder personopplysningene deres. Bedriften har én måned på seg til å svare. Unnlatelse av å etterkomme kan føre til klager til det nasjonale datatilsynet.

Her er den kritiske nyansen de fleste guider overser: retten til sletting er ikke absolutt. Hvis en anmeldelse inneholder personlige meninger om kvaliteten på profesjonelle tjenester, har domstoler og datatilsyn gjentatte ganger funnet at hensynet til ytringsfrihet og den legitime informasjonsinteressen til fremtidige forbrukere kan veie tyngre enn en sletteforespørsel. Det europeiske personvernrådets (EDPB) koordinerte håndhevelsesaksjon i 2025 rettet seg spesifikt mot utilstrekkelige sletteprosedyrer – men den klargjorde også disse motstridende interessene.

Hva dette betyr i praksis: hvis en rørlegger ved navn Hans Schmidt legger igjen en enstjerners anmeldelse som inkluderer fullt navn og adresse, kan han be om sletting av sin identifiserende informasjon. Men bedriften kan ikke tvinges til å slette innholdet i en legitim klage bare fordi anmelderen ombestemte seg.

Omnibus-direktivet: Verifiserte anmeldelser krever nå obligatorisk opplysning

Omnibus-direktivet fra 2019 – innlemmet i nasjonal lovgivning i EUs medlemsland innen mai 2022 – la til en spesifikk regel i direktivet om urimelig handelspraksis: næringsdrivende må opplyse om og hvordan de verifiserer at anmeldelser kommer fra faktiske kjøpere. Hvis du hevder at anmeldelser er verifiserte og de ikke er det, er det en urimelig handelspraksis som er gjenstand for nasjonal håndhevelse.

Straffer under UCPD som endret av Omnibus-direktivet: medlemslandene må sørge for bøter på minst 4 % av den næringsdrivendes årlige omsetning, eller minst 2 millioner euro når omsetningen ikke kan fastslås. Italia, Frankrike, Tyskland og Nederland har alle startet etterforskninger under disse bestemmelsene.

Digital Services Act: Plattformforpliktelser siden februar 2024

DSA (Forordning EU 2022/2065) trådte i full kraft 17. februar 2024. Spesifikt for anmeldelsesplattformer introduserte den krav til åpenhet og ansvarlighet som går langt utover det noen tidligere EU-lov krevde. VLOP-er som Google, Tripadvisor og Booking.com må implementere systematiske risikovurderinger for falskt innhold, publisere åpenhetsrapporter om modereringstiltak, og gi forskere tilgang til data.

DSAs maksimale bot for manglende etterlevelse er 6 % av global årlig omsetning – og for gjentatte systematiske brudd kan plattformer bli midlertidig suspendert fra å operere i EU. Europakommisjonen åpnet sine første saker om manglende etterlevelse under DSA i 2024, rettet mot X (tidligere Twitter) for systematiske feil i innholdsmoderering.

Et strategisk søksmål mot offentlig deltakelse (SLAPP) er et søksmål som ikke anlegges for å vinne, men for å skremme. En restauranteier som saksøker en kritiker for $50 000 for en enstjerners anmeldelse, prøver ikke egentlig å kreve inn $50 000 – de prøver å få anmelderen til å ansette en advokat og bruke tid på å forsvare seg, vel vitende om at de fleste bare vil slette anmeldelsen og trekke seg.

Denne taktikken er godt dokumentert i en database vedlikeholdt av First Amendment-organisasjonen FIRE: fem hundre SLAPP-saker ble registrert bare i 2024. Domstoler og lovgivere har slått hardt tilbake. Per 2025 har 33 amerikanske stater, District of Columbia og Guam vedtatt anti-SLAPP-lover. I California, Texas og Florida – tre av de mest økonomisk betydningsfulle statene for småbedrifter – er disse lovene robuste og inkluderer bestemmelser om kostnadsdekning: hvis søksmålet ditt blir ansett som et SLAPP-søksmål, betaler du anmelderens advokatutgifter.

Den strategiske kalkylen har endret seg. En bedrift som saksøker en anmelder i California for ærekrenkelse risikerer: (a) å tape på anti-SLAPP-begjæringen, (b) å betale anmelderens saksomkostninger, og (c) å generere langt mer negativ publisitet enn den opprinnelige anmeldelsen noensinne ville ha gjort. Forbrukerrettighetsadvokater kaller dette Streisand-effekten i anmeldelsessaker.

I EU blir den tilsvarende bekymringen håndtert gjennom SLAPP-direktivet (Direktiv 2024/1069), som Europaparlamentet vedtok i april 2024. Det retter seg primært mot grenseoverskridende saker og krever at domstolene avviser åpenbart grunnløse saker tidlig i prosessen, med idømmelse av saksomkostninger mot saksøker.

Å tilby en kunde 10 % rabatt i bytte mot en anmeldelse er ikke automatisk ulovlig. Men det blir ulovlig – både under FTC-regler og EU-lov – i det øyeblikket du betinger fordelen av at anmeldelsen er positiv, eller unnlater å opplyse om den vesentlige tilknytningen.

Under FTC-reglene krever insentivbaserte anmeldelser en «klar og tydelig» opplysning i selve anmeldelsen eller rett ved siden av den. Opplysningen må være «uunngåelig» på sosiale medieplattformer og presenteres med samme fremtredende plass som anmeldelsesinnholdet. En liten stjerne nederst på en side kvalifiserer ikke.

EUs Omnibus-direktiv legger til et lag: hvis plattformen din viser rangeringer, må du fortelle brukerne om disse rangeringene inkluderer verifiserte kjøp, uverifiserte innsendinger eller insentivbasert innhold – og i hvilke proporsjoner. Å presentere et gjennomsnitt på 4,8 stjerner som delvis stammer fra insentivbaserte anmeldelser uten å opplyse om det, er en urimelig handelspraksis.

Den viktige distinksjonen mange småbedrifter overser: du kan be om anmeldelser. Du kan følge opp med en e-post etter kjøpet. Du kan gjøre prosessen enkel. Du kan ikke betale for positiv stemning, undertrykke negativt innhold eller gi et feilaktig bilde av opprinnelsen til rangeringene dine.

I USA styres datalagring for anmeldelser primært av din egen personvernerklæring og gjeldende delstatslover (med Californias CCPA som den mest betydningsfulle). Det finnes ingen føderal lov om hvor lenge du må oppbevare anmeldelsesdata. Men det er en plikt til konsistens: hvis personvernerklæringen din sier at du sletter brukerdata etter to år, kan du ikke selektivt beholde anmeldelser som er positive.

Under GDPR krever prinsippet om lagringsbegrensning (Artikkel 5(1)(e)) at personopplysninger ikke skal lagres lenger enn det som er nødvendig for formålet de ble samlet inn for. For anmeldelser er «nødvendig» omdiskutert – men EDPBs veiledning antyder at anmeldelser som tjener et pågående kommersielt formål (å hjelpe fremtidige kunder med å ta beslutninger) kan beholdes så lenge de forblir nøyaktige og relevante.

Den praktiske implikasjonen: en anmeldelse fra 2018 om en kokk som forlot restauranten din i 2021, er kanskje ikke lenger nøyaktig, og å beholde den uten gjennomgang kan utsette deg for både GDPR-sletteforespørsler og påstander om villedning av forbrukere. EU-bedrifter bør revidere sine anmeldelsesarkiver årlig.

Å vite hvilken regulator som kan komme etter deg – og for hvor mye – er avgjørende for proporsjonal risikostyring. Håndhevelseslandskapet i 2026 er mer komplekst enn de fleste veiledninger for etterlevelse anerkjenner.

Section 230 i Communications Decency Act forblir grunnfjellet i amerikansk internettlovgivning. Plattformer som Google, Yelp og Tripadvisor er ikke ansvarlige som utgivere for brukergenererte anmeldelser – de behandles som passive formidlere. Dette er grunnen til at en amerikansk bedrift ikke kan saksøke Google for å hoste en ærekrenkende anmeldelse; søksmålet må rettes mot den opprinnelige anmelderen.

Høyesteretts avgjørelser i 2023 i Gonzalez v. Google og Twitter v. Taamneh avslo å innsnevre beskyttelsen i Section 230, og lot det grunnleggende rammeverket forbli intakt. Plattformer mister imidlertid denne beskyttelsen hvis de aktivt skaper eller medutvikler det problematiske innholdet – et faktum som saker om algoritmisk forsterkning i økende grad tester.

I EU erstattet DSA ansvarsrammeverket fra e-handelsdirektivet fra 2000. Plattformer som har «faktisk kunnskap» om ulovlig innhold (inkludert falske anmeldelser) og unnlater å handle raskt, mister sin immunitet. Dette er en betydelig forskjell fra Section 230: EU-lovgivningen skaper en «varslings- og handlingsplikt», mens Section 230 ikke inneholder noe tilsvarende krav.

For fullstendighetens skyld står bedrifter som betjener britiske kunder overfor et distinkt tredje regime. Digital Markets, Competition and Consumers Act 2024 (DMCCA) trådte i kraft med sine bestemmelser om falske anmeldelser 6. april 2025. Den lister eksplisitt opp falske anmeldelser og uopplyste insentivbaserte anmeldelser som forbudt praksis – automatisk ulovlig, uten behov for å bevise at de var «urimelige» fra sak til sak.

Storbritannias Competition and Markets Authority (CMA) kan bøtelegge bedrifter med opptil 10 % av global årlig omsetning, eller £300 000 – avhengig av hvilket beløp som er høyest. Daglige bøter for manglende etterlevelse på opptil 5 % av daglig global omsetning eller £15 000 gjelder for vedvarende brudd. CMA lanserte fem etterforskninger i 2025 rettet mot Autotrader, Feefo, Dignity, Just Eat og Pasta Evangelists.

Direktører og ledere kan holdes personlig ansvarlige for brudd de bevisst har tillatt – en bestemmelse som ikke har noen direkte parallell i det nåværende amerikanske føderale rammeverket, der beskyttelsen av selskapsansvaret generelt er sterkere.