Warum die europäische KI-App EUStella nicht wirklich europäisch ist
TL;DR: Die europäische KI-App EUStella wirbt mit Datensouveränität, leitet Nutzer aber über US-Infrastruktur – per Google- und Apple-Social-Logins sowie RevenueCat für die Abo-Verwaltung. Das sind Produktentscheidungen, keine technischen Zwänge. Der CLOUD Act erlaubt US-Behörden, amerikanische Unternehmen zur Herausgabe von Daten zu zwingen – unabhängig vom Serverstandort. Und das transatlantische Data Privacy Framework steht nach dem Abbau der Aufsichtsgremien durch die Trump-Administration vor dem Kollaps. Wer EUStella gezielt wählte, um amerikanische Datenverarbeitung zu meiden, bekommt mit dem Label „europäisch“ eher eine Absicht als eine Architektur.
Die europäische KI-App EUStella verkauft sich mit einem einfachen Versprechen: Ihre Daten bleiben in Europa – fern von amerikanischem Überwachungsrecht und den Unternehmensökosystemen, die es speisen. Genau das zieht Nutzer an, die großen US-Plattformen misstrauen. Ein genauerer Blick auf die Auftragsverarbeiter hinter der App offenbart jedoch eine aufschlussreiche Produktentscheidung: Social-Login-Optionen, die Daten über US-eigene Identitätsinfrastruktur leiten, und Abo-Verwaltung über RevenueCat, ein Unternehmen aus San Francisco. Beides sind Entscheidungen, keine Zwänge. Beides sind US-Unternehmen. Das Label „europäisch“ beschreibt eher eine Absicht als eine Architektur.
Dieser Leitfaden untersucht, wohin Nutzerdaten tatsächlich fließen, warum der Serverstandort allein keine Souveränität bedeutet und ob die europäischen Alternativen, die EUStellas eigene Dokumentation als nicht verfügbar abtut, wirklich existieren. Die Antworten sind vor allem für alle relevant, die diese App gezielt wählten, weil sie amerikanischer Datenverarbeitung misstrauen.
EUStellas europäisches Versprechen
Die europäische KI-App EUStella positioniert sich durch ihr Wiener Unternehmen AI Newsrooms Technology GmbH als europäische Alternative zu den dominanten amerikanischen KI-Plattformen und präsentiert die App als Begleiter, der mit europäischen Werten entwickelt wurde – ein Versprechen, das bei Nutzern ankommt, die zögern, ihre Daten an Silicon Valley abzugeben.
Marketing vs. Kleingedrucktes
Die öffentliche Geschichte ist klar: ein europäisches Unternehmen, europäische Infrastruktur und die Datenschutz-Grundverordnung (DSGVO) von Anfang an. Diese Darstellung zieht datenschutzbewusste Nutzer an, die Geografie als Sicherheitsgarantie missverstehen. Die Auftragsverarbeiter-Seite erzählt jedoch eine kompliziertere Geschichte.
Was die Auftragsverarbeiter-Seite wirklich sagt
EUStellas Auftragsverarbeiter-Offenlegung, zuletzt aktualisiert am 22. Juni 2026, beginnt mit dem Versprechen transparenter Alltagssprache statt juristischer Floskeln.[1] Das Unternehmen verspricht, für jeden Nicht-EU-Anbieter zu erklären, warum „es wirklich keine europäische Alternative gibt, die dieselbe Aufgabe erfüllen kann.“ Diese Formulierung lohnt sich beim Lesen der tatsächlichen Liste im Hinterkopf zu behalten. Die wichtigsten Punkte der Seite:
-
Auftragsverarbeiter handeln nach EUStellas Anweisungen und dürfen Ihre Daten nicht eigenständig nutzen.
-
DSGVO Artikel 28 verlangt die Offenlegung aller Drittanbieter-Verarbeiter.
-
Nicht-EU-Anbieter werden mit Begründungen für ihren Einsatz aufgeführt.
-
Die Liste wird aktualisiert, wenn Auftragsverarbeiter hinzugefügt oder wesentlich geändert werden.
-
Dedizierte Business-to-Business (B2B)-Kunden unterliegen separaten, individuell ausgehandelten Bedingungen.
Was die Seite nicht verschweigt: Mehrere dieser Auftragsverarbeiter sind US-Unternehmen – und genau dort wird das europäische Versprechen kompliziert.
Die US-Dienste hinter der europäischen Fassade
EUStellas Auftragsverarbeiterliste ist transparent über etwas, das dem Kern-Marketing widerspricht. Zwei der gelisteten Drittanbieter sind amerikanische Unternehmen, die sensible Datenberührungspunkte abdecken: Social Login und Abo-Verwaltung.[1]
Anmeldung mit Google und Apple
EUStella nutzt Firebase Authentication, aber nur für einen spezifischen Weg: die Anmeldung mit Google-Konto. Registrieren Sie sich per E-Mail und Passwort, ist Firebase nie involviert. Das ist eine wichtige Nuance, die ihre Auftragsverarbeiter-Seite korrekt darstellt.
Doch das wirft eine andere Frage auf. Wenn EUStella wirklich europäischer Datensouveränität verpflichtet ist – warum bietet die App überhaupt Anmeldung mit Google und Apple an? Das ist das Erste, was neue Nutzer sehen. Beide Optionen leiten Ihre Anmeldung von vornherein über US-eigene Identitätsinfrastruktur. Das ist kein technischer Zwang. Es ist eine Produktentscheidung. EUStella hat diese Buttons bewusst hinzugefügt, wissend, dass jeder Tipp Authentifizierungsdaten an Google- oder Apple-Server sendet.
Das Gegenargument ist Komfort: Social Login reduziert Reibung und steigert die Anmeldungsrate. Das mag stimmen. Aber es ist ein geschäftlicher Kompromiss, keine Notwendigkeit. Ein Produkt, das europäische Werte an datenschutzbewusste Nutzer vermarktet, schiebt mit diesen Buttons aktiv in Richtung US-Dateninfrastruktur. Europäische Authentifizierungsalternativen handhaben E-Mail, Passkeys und Social Login ohne US-Abhängigkeit. Google- und Apple-Login beizubehalten ist eine Wahl – und sie passt schlecht zum Souveränitätsversprechen.
RevenueCat für Abo-Verwaltung
Die Abo-Verwaltung läuft über RevenueCat, ein Unternehmen mit Sitz in San Francisco. Wenn die App prüfen muss, ob Ihr Abo aktiv ist, einen Kauf bei Apple oder Google validiert oder die richtigen Features freischaltet, fließt diese Logik durch ein US-Unternehmen. Die eigentliche Zahlungsabwicklung liegt eine Ebene darüber: Auf Mobilgeräten erfassen Apple und Google Kartendaten und agieren als Händler. RevenueCat sieht Ihre Kartennummer nie. Was es erhält, sind pseudonyme Nutzerkennungen, Gerätetyp, Abo-Status und Kaufbeleg-Daten.[1] Das sind dennoch Daten in US-Händen – und sie fallen unter amerikanische Rechtszuständigkeit.
EUStellas Auftragsverarbeiter-Seite prüfte Adapty und Qonversion als Alternativen und stellte korrekt fest, dass beide in Delaware eingetragen sind. Doch diese Bewertung rahmt das Problem zu eng ein. Die Frage ist nicht, ob ein europäisches RevenueCat-Pendant existiert – sondern ob EUStella überhaupt ein Abo-SDK braucht. Seit 2026 verlangt der Digital Markets Act (DMA), dass Apple und Google Apps erlauben, Nutzer auf externe Zahlungsseiten zu verlinken und den In-App-Checkout zu umgehen. Nutzer tippt auf einen Link, zahlt über einen europäischen Zahlungsdienstleister auf einer Webseite, die App schaltet die Berechtigung frei. Kein RevenueCat, kein US-Unternehmen in der Kette. Dieser Weg existiert – EUStella ist ihn nicht gegangen.
Warum das wichtig ist: US-Datenzugriffsrecht
Der US CLOUD Act erklärt
Der Clarifying Lawful Overseas Use of Data (CLOUD) Act von 2018 gibt US-Behörden die Möglichkeit, amerikanische Unternehmen zur Herausgabe kontrollierter Daten zu zwingen – unabhängig vom physischen Speicherort.[3] Diese Unterscheidung ist wichtig. Daten auf einem europäischen Server, verwaltet von einem US-Unternehmen, sind bei gültiger Anordnung weiterhin erreichbar. Wenn Authentifizierungskennungen durch Firebase laufen oder die Abo-Historie bei RevenueCat liegt – beides US-Unternehmen – fallen diese Datensätze in diese rechtliche Reichweite.
Politische Unsicherheit und die Trump-Administration
Der transatlantische Datenrahmen, der derzeit EU-US-Transfers erlaubt, ist eine politische Vereinbarung – kein Dauerzustand. Seine beiden Vorgänger Safe Harbor und Privacy Shield wurden von europäischen Gerichten gekippt. Das aktuelle Data Privacy Framework (DPF) zeigt dieselben Bruchlinien.
Im Januar 2025 entließ die Trump-Administration die demokratischen Mitglieder sowohl des Data Protection Review Court (DPRC) als auch des Privacy and Civil Liberties Oversight Board (PCLOB) – die beiden Gremien, auf die europäische Nutzer bei Beschwerden über US-Geheimdienste setzen. Das PCLOB ernennt DPRC-Mitglieder; beide Gremien in einem Schlag zu entleeren, ließ die gesamte Aufsichtskette ohne Beschlussfähigkeit und praktisch lahmgelegt. Es übergab der Exekutive zudem direkte Kontrolle über Institutionen, die das EU-Angemessenheitsrecht als unabhängig voraussetzt.[5]
Im Juni 2026 entschied der US Supreme Court in Trump v. Slaughter, dass gesetzlicher Kündigungsschutz für Federal Trade Commission (FTC)-Mitglieder verfassungswidrig ist. Die FTC ist eines der zentralen Aufsichtsgremien des DPF – und das EU-Recht verlangt ausdrücklich unabhängige Datenschutzbehörden. Innerhalb weniger Tage forderte NOYB die Europäische Kommission auf, das DPF als ungültig aufzuheben, und kündigte eine Klage zur Annullierung an.[5]
Das DPF lebt möglicherweise schon auf Kredit. Wird es gekippt, müssten alle Standardvertragsklausel-Regelungen, die EUStella für US-Auftragsverarbeiter eingerichtet hat, neu bewertet werden – und die Rechtsgrundlage dieser Transfers wäre fraglich. Wer eine KI-App gezielt wählt, weil er großen amerikanischen Plattformen misstraut, führt mit jedem Datenfluss durch US-Unternehmen genau die Exposition wieder ein, die er vermeiden wollte.
Europäische Alternativen, die heute existieren
EUStellas Auftragsverarbeiter-Seite behauptet, es gebe „wirklich keine europäische Alternative“ für einige US-Dienste.[1] Diese Behauptung verdient Prüfung – ein funktionierender Markt europäischer Tools deckt genau diese Kategorien ab.
Authentifizierungsoptionen
BetterAuth ist eine Open-Source-Authentifizierungsbibliothek, die vollständig auf vom Entwickler kontrollierter Infrastruktur laufen kann. Hanko bietet Selfhosting und Cloud mit europäischer Datenresidenz. Zitadel ist ein weiterer Open-Source-Identitätsanbieter für Selfhosting und Cloud – ohne US-Systeme in der Anmeldekette. Alle drei decken Standard-Authentifizierungsabläufe ab, die eine KI-App für Endnutzer braucht.
Zahlungsabwicklungsoptionen
Das Bild ist nuancierter, als EUStellas Auftragsverarbeiter-Seite suggeriert. Adapty und Qonversion wurden als RevenueCat-Alternativen geprüft – beide in Delaware eingetragen. Diese Recherche scheint korrekt: Mitte 2026 bietet kein EU-Unternehmen ein produktionsreifes plattformübergreifendes Mobile-Abo-SDK mit vergleichbarem Funktionsumfang.[1]
Doch die wichtigere Frage ist, ob Abos überhaupt durch ein US-Unternehmen laufen müssen. Seit 2026: nein. Der Digital Markets Act (DMA) verlangt, dass Apple und Google Apps auf externe Zahlungsseiten verlinken dürfen – außerhalb von App Store und Play Store. Entwickler leiten Nutzer auf eine Webseite, kassieren über einen europäischen Zahlungsdienstleister und schalten die Berechtigung in der App frei. Kein RevenueCat, kein US-Abo-SDK nötig.
Europäische Zahlungsdienstleister für diesen Anwendungsfall sind verfügbar und produktionsreif. Mollie mit Sitz in den Niederlanden handhabt Abos und wiederkehrende Abrechnung in Europa. Frisbii und Stancer sind weitere europäische Optionen. Keine involviert eine US-Muttergesellschaft. Biete EUStella einen webbasierten Abo-Flow über einen dieser Anbieter, hätten souveränitätsbewusste Nutzer eine echte Option. Die existiert im Produkt derzeit nicht.
Souveräne Infrastruktur finden
DentroChat pflegt awesome-eu-infra – eine öffentliche Ressource, die europäische Infrastrukturoptionen nach Souveränitätsstufe katalogisiert. Der Unterschied zählt: Manche Dienste haben EU-Hauptsitz, nutzen aber US-Cloud-Regionen; andere bieten echte Datensouveränität ohne US-Eigentum in der Kette. Entwickler europäischer Produkte haben ein praktisches Nachschlagewerk. Die Alternativen existieren. Sie zu nutzen ist eine Produktentscheidung, keine technische Unmöglichkeit.
App Store und Play Store
Ein Bereich, in dem EUStellas US-Abhängigkeit wirklich schwer zu vermeiden ist: die Distribution. Wer im Apple App Store und Google Play publiziert, akzeptiert diese Gatekeeper – beides amerikanische Unternehmen. Das ist ein echter Zwang.
Auf Android ist der Zwang weicher als es wirkt. Drittanbieter-App-Stores sind legitime Kanäle – manche deutlich souveränitätsfreundlicher als Google Play. F-Droid ist die etablierteste Option: kostenloses Open-Source-Repository ohne Google-Konto und ohne Tracking. Aptoide mit Sitz in Lissabon ist eine europäisch geführte Alternative mit großem Katalog. Keiner ersetzt die Reichweite des Play Store – aber für ein Produkt, das datenschutzbewusste Europäer anspricht, wäre ein F-Droid- oder Aptoide-Listing ein glaubwürdiges Signal. EUStella bietet derzeit keines.
iOS ist schwieriger. Apple hält in den meisten Märkten ein striktes Installationsmonopol – selbst DMA-Sideloading gilt nur in der EU und kommt mit Reibung, die Apple bewusst eingebaut hat. Jede iPhone-App ist vorerst eine App-Store-App. Echter Zwang, keine EUStella-Wahl.
Rechtliche Schutzmaßnahmen sind keine Datensouveränität
Grenzen vertraglichen Schutzes
Standardvertragsklauseln (SCCs) sind von der Europäischen Kommission genehmigte Vertragsvorlagen, die US-Verarbeiter verpflichten, EU-Personendaten auf DSGVO-Niveau zu behandeln.[4] EUStellas Dokumentation stützt sich auf SCCs für US-Anbieter.[1] Das Problem: SCCs sind vertragliche Pflichten, keine technischen Barrieren. Sie binden Verhalten auf Papier – können aber keine US-Gerichtsanordnung zur Datenherausgabe überstimmen. Die Daten laufen trotzdem durch US-Infrastruktur. Die rechtliche Exposition bleibt.
Wie vollständige europäische Datensouveränität aussieht
Volle Datensouveränität heißt: Nutzerdaten gelangen nie in eine Rechtsordnung, in der US-Überwachungsrecht gilt – nicht weil ein Vertrag Widerstand verspricht, sondern weil die Infrastruktur physisch nicht erreichbar ist. Das erfordert durchgehend europäisches Eigentum und Betrieb – inklusive Authentifizierung und Abrechnung. Das ist eine höhere Latte als DSGVO-Konformität – und genau die Latte, die das Marketing mit „europäischer KI“ implizit setzt. Verträge schützen vor Missbrauch. Architektur schützt vor erzwungener Offenlegung.
Das Urteil: europäische KI-App EUStella
Die europäische KI-App EUStella ist eine DSGVO-konforme App von einem Team, das offensichtlich über Datenschutz nachdenkt. Das Marketing setzt jedoch eine konkrete Erwartung: Ihre Daten bleiben vollständig außerhalb amerikanischer Hände. Die Auftragsverarbeiter-Seite ist transparent, die Rechtsdokumentation detailliert, die Absicht wirkt echt. Aber DSGVO-Konformität und Datensouveränität sind nicht dasselbe – und das Marketing vermischt beides.
Wählten Sie diese App, weil Ihre Daten vollständig außerhalb amerikanischer Rechtsreichweite bleiben sollten, liefert die Architektur das nicht – egal was das Marketing sagt.
Europäische Alternativen für Authentifizierung und Zahlungsabwicklung existieren und funktionieren. Bis EUStella ihre US-Auftragsverarbeiter durch wirklich europäische ersetzt, ist die ehrliche Einordnung: eine datenschutzbewusste App auf teilweise amerikanischer Infrastruktur.