⚖Juridisk guide20 april 2026·blogPost.legalAspectsReviewsUsEu.readTime min read

Juridiska aspekter av onlinerecensioner: USA vs EU 2026

En praktisk genomgång av FTC:s regler, GDPR-skyldigheter, Digital Services Act och allt en företagare behöver veta innan de hanterar sina recensioner.

Två jurisdiktioner. Ett problem. Falska recensioner, undertryckt kritik, påtvingade vittnesmål och de juridiska gråzonerna kring betalda rekommendationer har tvingat tillsynsmyndigheter på båda sidor av Atlanten att agera – och de har gjort det på mycket olika sätt. Om ditt företag samlar in, visar eller svarar på onlinerecensioner, verkar du nu under ett lapptäcke av överlappande lagar som kan utsätta dig för påföljder som sträcker sig från $51,744 per FTC-överträdelse i USA till GDPR-böter på upp till 20 miljoner euro eller 4 % av den globala årsomsättningen i EU. Denna guide kartlägger terrängen – utan hyperbol, utan förenkling – så att du vet exakt var gränserna går.

Amerikansk lagstiftning om recensioner är inte en enda lag. Det är ett system i flera lager av federala regler, en konsumenträttslag från 2016 och en FTC-regel från 2024 som slutligen gav tillsynsmyndigheterna den sanktionsbefogenhet de saknat i åratal.

Consumer Review Fairness Act från 2016 var det första stora federala ingripandet. Lagen, som undertecknades av president Obama den 14 december 2016, ogiltigförklarar alla standardavtalsvillkor som begränsar, bestraffar eller kräver att konsumenter överlåter sina immateriella rättigheter i recensioner. På ren svenska: om dina användarvillkor säger "du samtycker till att inte lämna negativa recensioner", är den klausulen inte verkställbar och FTC kan vidta åtgärder mot dig.

Men CRFA hade en lucka: den skyddade konsumenternas rätt att lämna recensioner, men den gav inte FTC befogenhet att utdöma civilrättsliga böter för falska recensioner. Det ändrades i augusti 2024.

FTC:s regel från 2024 om konsumentrecensioner och vittnesmål

FTC:s slutgiltiga regel om konsumentrecensioner och vittnesmål (16 CFR Part 465), som trädde i kraft den 21 oktober 2024, är den mest omfattande recensionsregleringen i USA:s historia. Den fastställer sex grundläggande förbud – och kopplar en civilrättslig påföljd på $51,744 per överträdelse till vart och ett.

De sex förbjudna metoderna är: (1) skapa eller sprida falska recensioner från obefintliga personer eller personer utan genuin produktupplevelse; (2) köpa eller sälja recensioner som är villkorade av att uttrycka en viss känsla; (3) publicera insiderrecensioner utan att avslöja den väsentliga kopplingen; (4) efterfråga recensioner från familj eller anställda utan transparent information; (5) undertrycka negativa recensioner genom ogrundade juridiska hot, skrämseltaktik eller falska anklagelser; och (6) köpa falskt engagemang på sociala medier för att vilseleda om inflytande.

Regeln täcker uttryckligen AI-genererade recensioner. Detta var inte en standardformulering: FTC insåg att marginalkostnaden för att generera tusentals trovärdigt klingande falska recensioner via stora språkmodeller hade sjunkit till nära noll, och agerade därefter. Den 22 december 2025 utfärdade FTC varningsbrev till 10 företag som ett första steg i tillsynen – en signal om att fristen är över.

Prejudikatet Sunday Riley

Innan 2024 års regel existerade var FTC:s mest illustrativa fall Sunday Riley Modern Skincare. Mellan 2015 och 2017 lät företaget – på VD:ns uttryckliga order – anställda skapa falska Sephora-konton, använda VPN för att dölja sina identiteter och lämna femstjärniga recensioner. En visselblåsare läckte interna e-postmeddelanden. FTC nådde en förlikning 2020, men kontroversiellt nog utdömdes inga monetära böter, vilket ledde till avvikande åsikter från kommissionärerna Chopra och Slaughter som kallade det "flagrant bedrägeri med falska recensioner". Regeln från 2024 täppte till det kryphålet: samma agerande idag skulle leda till böter i miljonklassen.

Europeiska unionens tillvägagångssätt är strukturellt annorlunda än den amerikanska modellen. Istället för en enda regel för recensioner har EU tre separata rättsakter som samverkar: GDPR styr hur recensionsdata hanteras; Omnibusdirektivet (genomfört via UCPD) styr hur recensioner presenteras och verifieras; och Digital Services Act (DSA) styr vad plattformar måste göra åt falska recensioner i stor skala.

Att förstå vilken lag som gäller för vilken aktör är det första steget. GDPR gäller för alla organisationer som hanterar personuppgifter om EU-invånare – vilket inkluderar data som är inbäddad i recensioner. UCPD gäller för näringsidkare som är verksamma på EU-marknaden. DSA gäller främst onlineplattformar, med mycket strängare skyldigheter för mycket stora onlineplattformar (VLOPs) med över 45 miljoner EU-användare.

GDPR och rätten till radering av recensioner

Artikel 17 i GDPR – "rätten att bli bortglömd" – är en av de mest åberopade rättigheterna gentemot företag som hanterar recensioner. En recensent i Tyskland kan be ett företag eller en plattform att radera en recension som innehåller deras personuppgifter. Företaget har en månad på sig att svara. Underlåtenhet att följa detta kan leda till klagomål hos en nationell dataskyddsmyndighet.

Här är den kritiska nyansen som de flesta guider missar: rätten till radering är inte absolut. Om en recension innehåller personliga åsikter om kvaliteten på professionella tjänster har domstolar och dataskyddsmyndigheter upprepade gånger funnit att intresset för yttrandefrihet och det legitima informationsintresset hos framtida konsumenter kan väga tyngre än en begäran om radering. Europeiska dataskyddsstyrelsens samordnade tillsynsinsats 2025 riktade sig specifikt mot otillräckliga raderingsrutiner – men klargjorde också dessa motstridiga intressen.

Vad detta innebär i praktiken: om en rörmokare vid namn Hans Schmidt lämnar en enstjärnig recension som inkluderar hans fullständiga namn och adress, kan han begära radering av sina identifierande uppgifter. Men företaget kan inte tvingas att radera innehållet i ett legitimt klagomål bara för att recensenten har ändrat sig.

Omnibusdirektivet: Verifierade recensioner kräver nu obligatorisk information

Omnibusdirektivet från 2019 – som införlivades i nationell lagstiftning i EU:s medlemsstater i maj 2022 – lade till en specifik regel i direktivet om otillbörliga affärsmetoder: näringsidkare måste informera om och hur de verifierar att recensioner kommer från faktiska köpare. Om du påstår att recensioner är verifierade och de inte är det, är det en otillbörlig affärsmetod som kan leda till nationella sanktioner.

Påföljder enligt UCPD som ändrats genom Omnibusdirektivet: medlemsstaterna måste föreskriva böter på minst 4 % av näringsidkarens årsomsättning, eller minst 2 miljoner euro när omsättningen inte kan fastställas. Italien, Frankrike, Tyskland och Nederländerna har alla inlett utredningar enligt dessa bestämmelser.

Digital Services Act: Plattformsskyldigheter sedan februari 2024

DSA (förordning EU 2022/2065) trädde i full kraft den 17 februari 2024. För recensionsplattformar specifikt införde den krav på transparens och ansvarsskyldighet som går långt utöver vad någon tidigare EU-lag har krävt. VLOPs som Google, Tripadvisor och Booking.com måste implementera systematiska riskbedömningar för falskt innehåll, publicera transparensrapporter om modereringsåtgärder och ge forskare tillgång till data.

DSA:s maximala bötesbelopp för bristande efterlevnad är 6 % av den globala årsomsättningen – och för upprepade systematiska överträdelser kan plattformar tillfälligt stängas av från att verka inom EU. Europeiska kommissionen inledde sina första förfaranden för bristande efterlevnad enligt DSA under 2024, riktade mot X (tidigare Twitter) för systematiska brister i innehållsmoderering.

En strategisk stämning mot allmänhetens deltagande (SLAPP) är en stämning som inte lämnas in för att vinna, utan för att skrämma. En restaurangägare som stämmer en kritiker på $50,000 för en enstjärnig recension försöker inte egentligen få $50,000 – de försöker få recensenten att anlita en advokat och lägga tid på att försvara sig, med vetskapen om att de flesta helt enkelt kommer att radera recensionen och dra sig undan.

Denna taktik är väldokumenterad i en databas som underhålls av First Amendment-organisationen FIRE: femhundra SLAPP-fall registrerades bara under 2024. Domstolar och lagstiftare har slagit tillbaka hårt. Från och med 2025 har 33 amerikanska delstater, District of Columbia och Guam infört anti-SLAPP-lagar. I Kalifornien, Texas och Florida – tre av de mest ekonomiskt betydelsefulla delstaterna för småföretag – är dessa lagar robusta och inkluderar bestämmelser om kostnadsansvar: om din stämning bedöms vara en SLAPP, betalar du recensentens advokatkostnader.

Den strategiska kalkylen har förändrats. Ett företag som stämmer en recensent i Kalifornien med förtal som grund riskerar att: (a) förlora på anti-SLAPP-yrkandet, (b) betala recensentens advokatkostnader, och (c) generera mycket mer negativ publicitet än den ursprungliga recensionen någonsin skulle ha gjort. Konsumenträttsjurister kallar detta för Streisandeffekten inom recensionsjuridik.

Inom EU hanteras motsvarande problem genom SLAPP-direktivet (direktiv 2024/1069), som Europaparlamentet antog i april 2024. Det riktar sig främst mot gränsöverskridande fall och kräver att domstolar avvisar uppenbart ogrundade fall tidigt i processen, med kostnadsansvar för käranden.

Att erbjuda en kund 10 % rabatt i utbyte mot en recension är inte automatiskt olagligt. Men det blir olagligt – enligt både FTC:s regler och EU-lag – i det ögonblick du villkorar förmånen med att recensionen är positiv, eller underlåter att informera om den väsentliga kopplingen.

Enligt FTC:s regler kräver incitamentsbaserade recensioner en "tydlig och framträdande" information i själva recensionen eller i omedelbar anslutning till den. Informationen måste vara "oundviklig" på sociala medieplattformar och presenteras med samma framträdande plats som recensionens innehåll. En liten asterisk längst ner på en sida är inte tillräckligt.

EU:s Omnibusdirektiv lägger till ett lager: om din plattform visar betyg måste du informera användarna om dessa betyg inkluderar verifierade köp, overifierade bidrag eller incitamentsbaserat innehåll – och i vilka proportioner. Att presentera ett genomsnittsbetyg på 4.8 stjärnor som delvis kommer från incitamentsbaserade recensioner utan information är en otillbörlig affärsmetod.

Den viktiga skillnaden som många småföretag missar: du får be om recensioner. Du kan följa upp med ett e-postmeddelande efter köpet. Du kan göra processen enkel. Du får inte betala för positiva omdömen, undertrycka negativt innehåll eller vilseleda om dina betygs ursprung.

I USA styrs datalagring för recensioner främst av din egen integritetspolicy och tillämpliga delstatslagar (där Kaliforniens CCPA är den mest betydelsefulla). Det finns inget federalt mandat för hur länge du måste spara recensionsdata. Men det finns en skyldighet att vara konsekvent: om din integritetspolicy säger att du raderar användardata efter två år, kan du inte selektivt behålla recensioner som är fördelaktiga.

Enligt GDPR kräver principen om lagringsbegränsning (artikel 5.1 e) att personuppgifter inte sparas längre än vad som är nödvändigt för det ändamål de samlades in för. För recensioner är "nödvändigt" omtvistat – men EDPB:s vägledning tyder på att recensioner som tjänar ett pågående kommersiellt syfte (att hjälpa framtida kunder att fatta beslut) kan behållas så länge de förblir korrekta och relevanta.

Den praktiska innebörden: en recension från 2018 om en kock som lämnade din restaurang 2021 kanske inte längre är korrekt, och att behålla den utan granskning kan utsätta dig för både GDPR-raderingsförfrågningar och anklagelser om vilseledande av konsumenter. Företag i EU bör granska sina recensionsarkiv årligen.

Att veta vilken tillsynsmyndighet som kan agera mot dig – och för hur mycket – är avgörande för en proportionerlig riskhantering. Tillsynslandskapet 2026 är mer komplext än vad de flesta guider för efterlevnad medger.

Section 230 i Communications Decency Act förblir grundbulten i amerikansk internetlagstiftning. Plattformar som Google, Yelp och Tripadvisor är inte ansvariga som utgivare för användargenererade recensioner – de behandlas som passiva förmedlare. Det är därför ett amerikanskt företag inte kan stämma Google för att hysa en förtalande recension; stämningen måste riktas mot den ursprungliga recensenten.

Högsta domstolens beslut 2023 i Gonzalez v. Google och Twitter v. Taamneh avstod från att inskränka skyddet i Section 230, vilket lämnade det grundläggande ramverket intakt. Plattformar förlorar dock detta skydd om de aktivt skapar eller medutvecklar det problematiska innehållet – ett faktum som alltmer prövas i fall som rör algoritmisk förstärkning.

I EU ersatte DSA ansvarsramverket från e-handelsdirektivet från 2000. Plattformar som har "faktisk kännedom" om olagligt innehåll (inklusive falska recensioner) och underlåter att agera skyndsamt förlorar sin immunitet. Detta är en betydande skillnad från Section 230: EU-lagstiftningen skapar en "anmälan och åtgärd"-plikt, medan Section 230 inte innehåller något motsvarande krav.

För fullständighetens skull står företag som betjänar brittiska kunder inför ett distinkt tredje regelverk. Digital Markets, Competition and Consumers Act 2024 trädde i kraft med sina bestämmelser om falska recensioner den 6 april 2025. Lagen listar uttryckligen falska recensioner och oredovisade incitamentsbaserade recensioner som förbjudna metoder – automatiskt olagliga, utan behov av att bevisa att de var "otillbörliga" från fall till fall.

Storbritanniens konkurrens- och marknadsmyndighet (CMA) kan bötfälla företag med upp till 10 % av den globala årsomsättningen, eller £300,000 – beroende på vilket som är högst. Dagliga böter för bristande efterlevnad på upp till 5 % av den dagliga globala omsättningen eller £15,000 gäller för ihållande överträdelser. CMA inledde fem utredningar under 2025 riktade mot Autotrader, Feefo, Dignity, Just Eat och Pasta Evangelists.

Styrelseledamöter och chefer kan bli personligt ansvariga för överträdelser de medvetet tillåtit – en bestämmelse som inte har någon direkt motsvarighet i det nuvarande amerikanska federala ramverket, där skyddet för bolagets juridiska person generellt är starkare.