← Blogi

Miksi eurooppalainen tekoälysovellus EUStella ei ole niin eurooppalainen kuin miltä se kuulostaa

Miksi eurooppalainen tekoälysovellus EUStella ei ole niin eurooppalainen kuin miltä se kuulostaa

TL;DR: Tämä eurooppalainen tekoälysovellus EUStella markkinoi datasuvereniteettia, mutta ohjaa käyttäjiä Yhdysvaltain infrastruktuurin kautta Google- ja Apple-kirjautumisten sekä RevenueCatin tilausten hallinnan kautta — tuotevalintoja, ei teknisiä pakotteita. CLOUD Act antaa Yhdysvaltain viranomaisille mahdollisuuden pakottaa amerikkalaiset yritykset luovuttamaan dataa riippumatta palvelinten sijainnista, ja transatlanttinen Data Privacy Framework on romahduksen partaalla sen jälkeen, kun Trumpin hallinto on tyhjentänyt valvontaelimet. Käyttäjille, jotka valitsivat EUStellan juuri amerikkalaisen datankäsittelyn välttämiseksi, «eurooppalainen»-merkintä kuvaa pikemminkin tavoitetta kuin arkkitehtuuria.

Tämä eurooppalainen tekoälysovellus EUStella myy yksinkertaista lupausta: datasi pysyy Euroopassa, kaukana amerikkalaisesta valvontalainsäädännöstä ja niistä yritysekosysteemeistä, jotka sitä ruokkivat. Tuo lupaus houkuttelee juuri niitä käyttäjiä, jotka ovat käyneet skeptisiksi suurista Yhdysvaltain alustoista. Tarkempi tarkastelu sovelluksen taustalla olevista alihankkijoista paljastaa kuitenkin paljon kertovan tuotepäätöksen: sosiaalisen kirjautumisen vaihtoehdot, jotka ohjaavat dataa Yhdysvaltain identiteetti-infrastruktuurin kautta, ja tilausten hallinta RevenueCatin kautta, San Franciscolaisen yrityksen. Molemmat ovat valintoja, eivät rajoitteita. Molemmat ovat Yhdysvalloissa sijaitsevia yrityksiä. «Eurooppalainen»-merkintä osoittautuu kuvaavan pikemminkin tavoitetta kuin arkkitehtuuria.

Tämä opas tarkastelee, minne käyttäjädata todella kulkee, miksi palvelimen sijainti yksinään ei tarkoita suvereniteettia, ja ovatko eurooppalaiset vaihtoehdot, jotka EUStellan oma dokumentaatio sivuuttaa olemattomina, oikeasti olemassa. Vastaukset ovat erityisen tärkeitä kaikille, jotka valitsivat tämän sovelluksen juuri siksi, että he eivät luota amerikkalaiseen datankäsittelyyn.

EUStellan eurooppalainen lupaus

Tämä eurooppalainen tekoälysovellus EUStella, jonka on kehittänyt wieniläinen startup AI Newsrooms Technology GmbH, asemoituu eurooppalaiseksi vaihtoehdoksi hallitseville amerikkalaisille tekoälyalustoille ja esittelee sovelluksen kumppaniksi, joka on rakennettu eurooppalaisten arvojen pohjalta — viesti, joka resonoi käyttäjissä, jotka epäröivät antaa dataansa Silicon Valleylle.

Markkinointi vs. pienellä präntätty

Julkinen tarina on suoraviivainen: eurooppalainen yritys, eurooppalainen infrastruktuuri ja yleinen tietosuoja-asetus (GDPR) sisäänrakennettuna alusta alkaen. Tämä kehys houkuttelee yksityisyydestä huolestuneita käyttäjiä, jotka käyttävät maantiedettä turvallisuuden sijaisena. Alihankkijasivu kertoo kuitenkin monimutkaisemman tarinan.

Mitä alihankkijasivu oikeasti sanoo

EUStellan alihankkijailmoitus, viimeksi päivitetty 22. kesäkuuta 2026, alkaa sitoutumisella selkeään kieleen juridisen jargongin sijaan.[1] Yritys lupaa selittää jokaiselle EU:n ulkopuoliselle palveluntarjoajalle, miksi «aidosti ei ole eurooppalaista vaihtoehtoa, joka voisi tehdä saman työn.» Tätä lausetta kannattaa pitää mielessä lukiessa varsinaista listaa. Sivun keskeiset kohdat ovat:

  • Alihankkijat toimivat EUStellan ohjeiden mukaan eivätkä voi käyttää dataasi itsenäisesti.

  • GDPR:n 28 artikla edellyttää kaikkien kolmannen osapuolen käsittelijöiden ilmoittamista.

  • EU:n ulkopuoliset palveluntarjoajat on listattu perusteluineen.

  • Lista päivitetään, kun alihankkijoita lisätään tai muutetaan olennaisesti.

  • Omistetut Business to Business (B2B) -asiakkaat toimivat erillisillä, yksilöllisesti neuvotuilla ehdoilla.

Mitä sivu ei peitä, on se, että useat näistä alihankkijoista ovat Yhdysvalloissa sijaitsevia yrityksiä — ja siinä eurooppalainen lupaus monimutkaistuu.

Yhdysvaltain palvelut eurooppalaisen julkisivun takana

EUStellan alihankkijalista on avoin asiasta, joka on ristiriidassa tuotteen ydinmarkkinoinnin kanssa. Kaksi listatuista kolmannen osapuolen palveluista on amerikkalaisia yrityksiä, jotka käsittelevät arkaluonteisia datapisteitä: sosiaalinen kirjautuminen ja tilausten hallinta.[1]

Sign in with Google ja Apple -tarjoaminen

EUStella käyttää Firebase Authenticationia, mutta vain yhteen tiettyyn polkuun: Google-tilillä kirjautumiseen. Jos rekisteröidyt sähköpostilla ja salasanalla, Firebase ei koskaan ole mukana. Tämä on tärkeä vivahde, jonka alihankkijasivu kuvaa oikein.

Mutta se herättää toisen kysymyksen. Jos EUStella on aidosti sitoutunut eurooppalaiseen datasuvereniteettiin, miksi se tarjoaa Sign in with Googlea ja Sign in with Applea ollenkaan? Se on ensimmäinen asia, jonka uudet käyttäjät näkevät. Molemmat vaihtoehdot ohjaavat kirjautumisesi Yhdysvaltain identiteetti-infrastruktuurin kautta suunnittelun mukaan. Se ei ole tekninen pakote. Se on tuotepäätös. He valitsivat lisätä nuo painikkeet tietäen, että jokainen niitä napauttava käyttäjä lähettää tunnistautumisdataa Google- tai Apple-palvelimille.

Vastaväitteenä on mukavuus: sosiaalinen kirjautuminen vähentää kitkaa ja parantaa konversiota. Se voi pitää paikkansa. Mutta se on liiketoimintakompromissi, ei välttämättömyys. Tuote, joka markkinoi eurooppalaisia arvoja yksityisyydestä huolestuneille käyttäjille, ohjaa aktiivisesti kohti Yhdysvaltain datainfrastruktuuria. Eurooppalaiset tunnistautumisvaihtoehdot käsittelevät sähköpostia, passkeyjä ja sosiaalista kirjautumista ilman Yhdysvaltain riippuvuutta. Google- ja Apple-kirjautumisen säilyttäminen on valinta — ja se istuu kömpelösti suvereniteettiviestin rinnalle.

RevenueCat tilausten hallintaan

Tilausten hallinta kulkee RevenueCatin kautta, San Franciscossa sijaitsevan yrityksen. Kun sovelluksen täytyy tarkistaa, onko tilauksesi aktiivinen, vahvistaa osto Applen tai Googlen kanssa tai avata oikeat ominaisuudet tilillesi, tuo logiikka kulkee Yhdysvaltain kaupallisen yksikön kautta. Varsinainen maksunkäsittely on RevenueCatin yläpuolella: mobiilissa Apple ja Google keräävät korttitiedot ja toimivat merchant of record -roolissa. RevenueCat ei koskaan näe korttinumeroasi. Se saa pseudonymisen käyttäjätunnisteen, laitetyypin, tilaustilan ja ostokuitin tiedot.[1] Ne ovat silti dataa Yhdysvaltain käsissä, ja ne kuuluvat silti amerikkalaisen oikeudenkäytön piiriin.

EUStellan alihankkijasivu arvioi Adaptyn ja Qonversionin vaihtoehtoina ja totesi oikein, että molemmat on rekisteröity Delawaresta. Mutta arviointi rajaa ongelman liian kapeasti. Kysymys ei ole siitä, onko olemassa eurooppalaista RevenueCat-kloonia; kysymys on, tarvitseeko EUStella tilaus-SDK:ta ollenkaan. Vuodesta 2026 Digital Markets Act (DMA) edellyttää, että Apple ja Google sallivat sovellusten ohjata käyttäjiä ulkoisille maksusivuille, ohittaen sovelluksen sisäisen kassan kokonaan. Käyttäjä napauttaa linkkiä, maksaa eurooppalaisen käsittelijän kautta verkkosivulla, ja sovellus myöntää vastaavan oikeuden. Ei RevenueCatia, ei Yhdysvaltain yritystä ketjussa. Tuo polku on olemassa, mutta EUStella ei ole sitä ottanut.

Miksi tällä on merkitystä: Yhdysvaltain datalait

Yhdysvaltain CLOUD Act selitettynä

Clarifying Lawful Overseas Use of Data (CLOUD) Act, hyväksytty vuonna 2018, antaa Yhdysvaltain viranomaisille mahdollisuuden pakottaa amerikkalaiset yritykset luovuttamaan hallitsemansa data riippumatta siitä, missä data fyysisesti sijaitsee.[3] Tämä erottelu on tärkeä. Eurooppalaisella palvelimella oleva mutta Yhdysvalloissa sijaitsevan yrityksen hallinnoima data on silti saavutettavissa pätevällä oikeudellisella määräyksellä. Kun tunnistautumistunnisteet kulkevat Firebasen kautta tai tilaushistoriasi on RevenueCatilla — molemmat Yhdysvaltain yksiköiden operoimia — ne tiedot kuuluvat tähän oikeudelliseen ulottuvuuteen.

Poliittinen epävarmuus ja Trumpin hallinto

Transatlanttinen datakehys, joka tällä hetkellä sallii siirrot EU:n ja Yhdysvaltain välillä, on poliittinen sopimus, ei pysyvä tila. Sen kaksi edeltäjää, Safe Harbor ja Privacy Shield, kumottiin eurooppalaisissa tuomioistuimissa. Nykyinen Data Privacy Framework (DPF) näyttää jo samoja halkeamia.

Tammikuussa 2025 Trumpin hallinto erotti demokraattiset jäsenet sekä Data Protection Review Courtista (DPRC) että Privacy and Civil Liberties Oversight Boardista (PCLOB) — kahdesta elimestä, joihin eurooppalaiset käyttäjät luottavat oikeussuojaan, jos Yhdysvaltain tiedustelupalvelut kohtelevat heidän dataansa väärin. PCLOB nimittää DPRC:n jäsenet; molempien tyhjentäminen yhdellä iskulla jätti koko valvontaketjun ilman päätösvaltaa ja käytännössä lamautuneeksi. Se antoi myös toimeenpanovallan suoraa kontrollia instituutioista, joiden EU:n adequacy-laki edellyttää olevan riippumattomia.[5]

Kesäkuussa 2026 Yhdysvaltain korkein oikeus päätti Trump v. Slaughter -tapauksessa, että Federal Trade Commissionin (FTC) jäsenten lakisääteiset erottamissuojat ovat perustuslain vastaisia. FTC on yksi DPF:n keskeisistä valvontaelimistä, ja EU-laki edellyttää nimenomaisesti riippumattomia tietosuojaviranomaisia. Päivien kuluessa NOYB kehotti Euroopan komissiota kumoamaan DPF:n virheellisenä ja ilmoitti nostavansa kanteen sen mitätöimiseksi.[5]

DPF saattaa jo elää lainalla. Jos se kumotaan, kaikki Standard Contractual Clause -järjestelyt, jotka EUStella on tehnyt Yhdysvalloissa sijaitseville alihankkijoilleen, on arvioitava uudelleen, ja näiden siirtojen oikeudellinen perusta olisi kyseenalainen. Käyttäjille, jotka valitsevat tekoälysovelluksen juuri siksi, että he eivät luota suuriin amerikkalaisiin alustoihin, datan ohjaaminen Yhdysvaltain yritysten kautta palauttaa juuri sen altistumisen, jota he yrittivät välttää.

Eurooppalaiset vaihtoehdot, jotka ovat olemassa tänään

EUStellan alihankkijasivu väittää, ettei «aidosti ole eurooppalaista vaihtoehtoa» joillekin Yhdysvalloissa sijaitseville palveluilleen.[1] Tämä väite ansaitsee tarkastelun, sillä toimiva markkina eurooppalaisista työkaluista kattaa juuri nämä kategoriat.

Tunnistautumisvaihtoehdot

BetterAuth on avoimen lähdekoodin tunnistautumiskirjasto, joka voi toimia kokonaan kehittäjän hallitsemassa infrastruktuurissa. Hanko tarjoaa sekä itse isännöitävän version että pilvivaihtoehdon eurooppalaisella datansijainnilla. Zitadel on toinen avoimen lähdekoodin identiteettipalveluntarjoaja, joka on rakennettu itse isännöintiin ja pilvivaihtoehtoihin ilman vaatimusta ohjata kirjautumisdataa Yhdysvaltain järjestelmien kautta. Kaikki kolme käsittelevät vakiomuotoisia tunnistautumisvirtoja, joita kuluttajatekoälysovellus tarvitsee.

Maksunkäsittelyvaihtoehdot

Kuva on monimutkaisempi kuin EUStellan alihankkijasivu antaa ymmärtää. He arvioivat Adaptyn ja Qonversionin RevenueCatin vaihtoehtoina ja totesivat molempien olevan rekisteröity Delawaresta. Tutkimus vaikuttaa paikkansapitävältä: kesällä 2026 mikään EU:ssa sijaitseva yritys ei tarjoa tuotantovalmista cross-platform-mobiilitilaus-SDK:ta vastaavalla ominaisuusjoukolla.[1]

Mutta tärkeämpi kysymys on, onko tilausten ohjaaminen Yhdysvaltain yrityksen kautta oikeasti väistämätöntä. Vuodesta 2026 se ei ole. Digital Markets Act (DMA) edellyttää nyt, että Apple ja Google sallivat sovellusten ohjata käyttäjiä ulkoisille maksusivuille, App Store- tai Play Store -kassan ulkopuolelle kokonaan. Kehittäjä voi ohjata käyttäjän verkkosivulle, kerätä maksun eurooppalaisen käsittelijän kautta ja myöntää vastaavan oikeuden sovelluksessa. Ei RevenueCatia, ei Yhdysvaltain tilaus-SDK:ta.

Eurooppalaiset maksunkäsittelijät, jotka kattavat tämän käyttötapauksen, ovat saatavilla ja tuotantovalmiita. Mollie, jonka pääkonttori on Alankomaissa, käsittelee tilauksia ja toistuvaa laskutusta koko Euroopassa. Frisbii ja Stancer ovat lisäeurooppalaisia vaihtoehtoja tilausten hallintaan. Mikään ei sisällä sopimussuhdetta Yhdysvaltain emoyhtiön kanssa. Jos EUStella tarjoaisi verkkopohjaisen tilausvirran jonkin näistä käsittelijöistä, datasuvereniteetistä välittävillä käyttäjillä olisi todellinen vaihtoehto. Tuo vaihtoehto ei tällä hetkellä ole olemassa tuotteessa.

Suvereenin infrastruktuurin löytäminen

DentroChat ylläpitää julkista resurssia nimeltä awesome-eu-infra, joka luettelee eurooppalaisia infrastruktuurivaihtoehtoja suvereniteettitason mukaan. Ero on merkityksellinen: joillakin palveluilla on eurooppalainen pääkonttori mutta Yhdysvaltain pilvialueita, kun taas toiset tarjoavat aitoa datasuvereniteettia ilman Yhdysvaltain yritysomistusta ketjussa. Europe-first-tuotteita rakentavilla kehittäjillä on käytännön viite näiden erojen ymmärtämiseen. Vaihtoehdot ovat olemassa. Niiden käyttö on tuotepäätös, ei tekninen mahdottomuus.

App Store- ja Play Store -ongelma

Yksi alue, jossa EUStellan Yhdysvaltain riippuvuus on aidosti vaikea välttää: jakelu. Julkaiseminen Apple App Storessa ja Google Playssa tarkoittaa näiden alustojen hyväksymistä portinvartijoina — molemmat amerikkalaisia yrityksiä. Tämä on todellinen rajoite.

Androidilla rajoite on pehmeämpi kuin miltä se näyttää. Kolmannen osapuolen sovelluskaupat ovat laillinen jakelu kanava, ja jotkut ovat paljon suvereniteettiystävällisempiä kuin Google Play. F-Droid on vakiintunein vaihtoehto: ilmainen avoimen lähdekoodin Android-sovellusten arkisto ilman Google-tiliä ja ilman seurantainfrastruktuuria. Aptoide, jonka pääkonttori on Lissabonissa, on eurooppalaisomisteinen vaihtoehto laajalla valikoimalla. Kumpikaan ei korvaa Play Storen tavoittavuutta — mutta yksityisyydestä huolestuneille eurooppalaisille markkinoitavalle tuotteelle F-Droid- tai Aptoide-listaus olisi uskottava signaali. EUStella ei tällä hetkellä tarjoa kumpaakaan.

iOS on vaikeampi ongelma. Apple ylläpitää tiukkaa asennusmonopolia laitteillaan useimmilla markkinoilla, ja jopa DMA:n sideloading-säännökset koskevat vain EU:ta ja tulevat kitkan kanssa, jonka Apple on tarkoituksella rakentanut. Toistaiseksi jokainen iPhone-sovellus on välttämättä App Store -sovellus. Se on aito rajoite, ei EUStellan valinta.

Oikeudelliset suojatoimet eivät ole datasuvereniteettiä

Sopimussuojan rajat

Standard Contractual Clauses (SCCs) ovat Euroopan komission hyväksymiä sopimusmalleja, jotka velvoittavat Yhdysvalloissa sijaitsevia käsittelijöitä käsittelemään EU:n henkilötietoja GDPR-tasoisesti.[4] EUStellan alihankkijadokumentaatio perustuu SCC:ihin Yhdysvalloissa sijaitseville toimittajilleen.[1] Ongelma on, että SCC:t ovat sopimusvelvoitteita, eivät teknisiä esteitä. Ne sitovat yrityksen käyttäytymistä paperilla, mutta eivät voi ohittaa Yhdysvaltain tuomioistuimen määräystä, joka pakottaa yrityksen luovuttamaan dataa. Data kulkee silti Yhdysvaltain infrastruktuurin kautta. Oikeudellinen altistuminen säilyy.

Miltä täysi eurooppalainen datasuvereniteetti näyttää

Täysi datasuvereniteetti tarkoittaa, ettei käyttäjädata koskaan päädy lainkäyttöalueelle, jossa Yhdysvaltain valvontalaki pätee — ei siksi, että sopimus lupaa palveluntarjoajan vastustavan, vaan siksi, että infrastruktuuria ei fyysisesti voida saavuttaa. Se vaatii eurooppalaista omistusta ja eurooppalaista toimintaa päästä päähän, mukaan lukien tunnistautuminen ja laskutus. Se on korkeampi riman kuin GDPR-yhteensopivuus — ja se on riman, jonka « eurooppalainen tekoäly » -brändäys implisiittisesti asettaa. Sopimukset suojaavat väärinkäytöltä. Arkkitehtuuri suojaa pakotetulta paljastamiselta.

Arvio: eurooppalainen tekoälysovellus EUStella

Tämä eurooppalainen tekoälysovellus EUStella on GDPR-yhteensopiva tuote, jonka on rakentanut tiimi, joka selvästi pohtii yksityisyyttä. Brändäys asettaa kuitenkin tietyn odotuksen: että datasi pysyy kokonaan amerikkalaisten käsien ulkopuolella. Alihankkijasivu on avoin, oikeudellinen dokumentaatio yksityiskohtainen, ja aikomus vaikuttaa aidolta. Mutta GDPR-yhteensopivuus ja datasuvereniteetti eivät ole sama asia, ja tuotteen markkinointi sekoittaa ne.

Jos valitsit tämän sovelluksen, koska halusit datasi kokonaan amerikkalaisen oikeudellisen ulottuvuuden ulkopuolelle, arkkitehtuuri ei toteuta sitä — riippumatta siitä, mitä brändäys sanoo.

Eurooppalaiset vaihtoehdot tunnistautumiseen ja maksunkäsittelyyn ovat olemassa ja toimivat. Kunnes EUStella korvaa Yhdysvalloissa sijaitsevat alihankkijansa aidosti eurooppalaisilla, rehellinen kehys on yksityisyyttä huomioiva sovellus, joka on rakennettu osittain amerikkalaiseen infrastruktuuriin.

Lähteet

  1. Sub-Processors - eustella (eustella.com)

  2. firebase.google.com

  3. aws.amazon.com

  4. www.top.legal