← Blog

Miért nem olyan európai az EUStella MI-alkalmazás, mint amilyennek tűnik

Miért nem olyan európai az EUStella MI-alkalmazás, mint amilyennek tűnik

TL;DR: Az EUStella MI-alkalmazás adatszuverenitást ígér, de amerikai infrastruktúrán keresztül irányítja a felhasználókat — Google- és Apple közösségi bejelentkezéseken és RevenueCat előfizetés-kezelésen át: termékdöntések, nem technikai korlátok. A CLOUD Act lehetővé teszi az amerikai hatóságok számára, hogy amerikai cégeket kényszerítsenek adatszolgáltatásra a szerverek helyétől függetlenül, a transzatlanti Data Privacy Framework pedig összeomlás fenyegeti, miután a Trump-kormányzat kiürítette felügyeleti testületeit. Azok számára, akik kifejezetten az amerikai adatkezelés elkerülésére választották az EUStellát, az «európai» címke inkább törekvést ír le, mint architektúrát.

Az EUStella MI-alkalmazás egyszerű ígéretre épít: az adataid Európában maradnak, távol az amerikai megfigyelési jogtól és azoktól a vállalati ökoszisztémáktól, amelyek táplálják. Ez az ígéret pontosan azokat a felhasználókat vonzza, akik szkeptikussá váltak a nagy amerikai platformokkal szemben. De az alkalmazás mögötti alvállalkozók közelebbi vizsgálata egy sokatmondó termékdöntést tár fel: közösségi bejelentkezési lehetőségek, amelyek amerikai tulajdonú identitás-infrastruktúrán keresztül irányítják az adatokat, és előfizetés-kezelés a san franciscói RevenueCaton keresztül. Mindkettő választás, nem korlát. Mindkettő amerikai székhelyű cég. Az «európai» címke inkább törekvést ír le, mint architektúrát.

Ez az útmutató azt vizsgálja, hová kerülnek valójában a felhasználói adatok, miért nem egyenlő a szerver helye a szuverenitással, és léteznek-e valóban azok az európai alternatívák, amelyeket az EUStella saját dokumentációja elérhetetlenként elutasít. A válaszok különösen azoknak számítanak, akik azért választották ezt az alkalmazást, mert nem bíznak az amerikai adatkezelésben.

Az EUStella európai ígérete

Az EUStella MI-alkalmazás, amelyet a bécsi AI Newsrooms Technology GmbH startup fejleszt, európai alternatívaként pozicionálja magát a domináns amerikai MI-platformokkal szemben, és az alkalmazást európai értékekkel épített társnak mutatja be — üzenet, amely rezonál azokban, akik haboznak adataikat a Silicon Valley-nek átadni.

Marketing vs. apró betűs rész

A nyilvános történet egyszerű: európai cég, európai infrastruktúra és az általános adatvédelmi rendelet (GDPR) kezdetektől beépítve. Ez a keretezés adatvédelem-tudatos felhasználókat vonz, akik a földrajzot biztonság helyettesítőjeként használják. Az alvállalkozói oldal bonyolultabb történetet mesél.

Mit mond valójában az alvállalkozói oldal

Az EUStella alvállalkozói közlése, utoljára 2026. június 22-én frissítve, az átláthatóság vállalásával kezdődik érthető nyelven, nem jogi zsargonban.[1] A cég azt ígéri, hogy minden nem uniós szolgáltatónál elmagyarázza, miért «valóban nincs olyan európai alternatíva, amely ugyanazt a feladatot el tudná végezni.» Ezt a mondatot érdemes szem előtt tartani a tényleges lista olvasásakor. Az oldal fő pontjai:

  • Az alvállalkozók az EUStella utasításai szerint járnak el, és nem használhatják az adataidat önállóan.

  • A GDPR 28. cikke megköveteli az összes harmadik fél feldolgozó közlését.

  • A nem uniós szolgáltatók indoklással szerepelnek.

  • A lista frissül, amikor alvállalkozókat adnak hozzá vagy lényegesen módosítanak.

  • A dedikált Business to Business (B2B) ügyfelek külön, egyedileg tárgyalt feltételek mellett működnek.

Amit az oldal nem rejt el: több ilyen alvállalkozó amerikai cég — és itt bonyolódik az európai ígéret.

Az amerikai szolgáltatások az európai homlokzat mögött

Az EUStella alvállalkozói listája átlátható valamiről, ami ellentmond a termék központi marketingjének. A felsorolt harmadik fél szolgáltatások közül kettő amerikai cég, amely érzékeny adatérintkezési pontokat kezel: közösségi bejelentkezés és előfizetés-kezelés.[1]

Sign in with Google és Apple kínálata

Az EUStella Firebase Authenticationt használ, de csak egy konkrét útvonalon: Google-fiókkal való bejelentkezésre. Ha e-mail címmel és jelszóval regisztrálsz, a Firebase soha nem vesz részt. Ez fontos árnyalat, amelyet az alvállalkozói oldal helyesen ír le.

De más kérdést vet fel. Ha az EUStella valóban elkötelezett az európai adatszuverenitás mellett, miért kínál Sign in with Google-t és Sign in with Apple-t egyáltalán? Ez az első, amit az új felhasználók látnak. Mindkét lehetőség szándékosan amerikai tulajdonú identitás-infrastruktúrán keresztül irányítja a bejelentkezést. Ez nem technikai korlát. Termékdöntés. Úgy döntöttek, hozzáadják ezeket a gombokat, tudva, hogy minden érintő felhasználó hitelesítési adatokat küld Google- vagy Apple-szerverekre.

Az ellenérvelés a kényelem: a közösségi bejelentkezés csökkenti a súrlódást és javítja a konverziót. Lehet, hogy igaz. De üzleti kompromisszum, nem szükséglet. Az európai értékeket adatvédelem-tudatos felhasználóknak hirdető termék aktívan amerikai adatinfrastruktúra felé tereli őket. Az európai hitelesítési alternatívák e-mailt, passkeyket és közösségi bejelentkezést kezelnek amerikai függőség nélkül. A Google- és Apple-bejelentkezés megtartása választás — és kínosan illik a szuverenitás üzenetéhez.

RevenueCat az előfizetés-kezeléshez

Az előfizetés-kezelés a san franciscói RevenueCaton keresztül fut. Amikor az alkalmazásnak ellenőriznie kell, aktív-e az előfizetésed, érvényesítenie kell egy Apple- vagy Google-vásárlást, vagy fel kell oldania a megfelelő funkciókat a fiókodhoz, ez a logika amerikai kereskedelmi entitáson át halad. A tényleges fizetésfeldolgozás egy szinttel a RevenueCat felett van: mobilon az Apple és a Google gyűjti a kártyaadatokat és merchant of record szerepet töltenek be. A RevenueCat soha nem látja a kártyaszámodat. Amit kap: pszeudonim felhasználói azonosító, eszköztípus, előfizetés állapota és vásárlási bizonylat adatai.[1] Ez még mindig amerikai kezekben lévő adat, és még mindig amerikai joghatóság alá esik.

Az EUStella alvállalkozói oldala Adaptyt és Qonversiont értékelte alternatívaként, és helyesen jegyezte meg, hogy mindkettő Delaware-ben van bejegyezve. De ez az értékelés túl szűken fogja meg a problémát. A kérdés nem az, hogy létezik-e európai RevenueCat-klón; hanem az, hogy az EUStellának egyáltalán szüksége van-e előfizetés-SDK-ra. 2026 óta a Digital Markets Act (DMA) megköveteli, hogy az Apple és a Google engedélyezzék az alkalmazásoknak, hogy külső fizetési oldalakra irányítsák a felhasználókat, teljesen megkerülve az in-app checkoutot. A felhasználó rákattint egy linkre, európai processzoron keresztül fizet egy weboldalon, az alkalmazás pedig megadja a jogosultságot. Nincs RevenueCat, nincs amerikai cég a láncban. Ez az út létezik — az EUStella nem járta be.

Miért számít: amerikai adathozzáférési törvények

Az amerikai CLOUD Act magyarázata

A 2018-ban elfogadott Clarifying Lawful Overseas Use of Data (CLOUD) Act lehetővé teszi az amerikai hatóságok számára, hogy amerikai cégeket kényszerítsenek az általuk kezelt adatok átadására, függetlenül attól, hol tárolódnak fizikailag.[3] Ez a megkülönböztetés fontos. Európai szerveren lévő, de amerikai székhelyű cég által kezelt adat érvényes jogi végzés alatt továbbra is elérhető. Amikor hitelesítési azonosítóid a Firebasen keresztül mennek, vagy előfizetési előzményeid a RevenueCatnál vannak — mindkettő amerikai entitások által működtetve —, ezek a rekordok ebbe a jogi hatókörbe esnek.

Politikai bizonytalanság és a Trump-kormányzat

A jelenleg az EU és az USA közötti adatátviteleket engedélyező transzatlanti adatkeret politikai megállapodás, nem állandó tény. Két elődje, a Safe Harbor és a Privacy Shield, európai bíróságok által bukott. A jelenlegi Data Privacy Framework (DPF) már ugyanazokat a repedéseket mutatja.

2025 januárjában a Trump-kormányzat kirúgta a demokrata tagokat mind a Data Protection Review Courtból (DPRC), mind a Privacy and Civil Liberties Oversight Boardból (PCLOB) — a két testületből, amelyekre az európai felhasználók számítanak jogorvoslatért, ha az amerikai hírszerző szolgálatok rosszul kezelik adataikat. A PCLOB nevezi ki a DPRC tagjait; mindkettő egy lépésben kiürítése kvórum nélkül hagyta az egész felügyeleti láncot, gyakorlatilag megbénítva. Az végrehajtó hatalomnak is közvetlen ellenőrzést adott olyan intézmények felett, amelyeknek az EU adequacy-joga szerint függetlennek kell lenniük.[5]

2026 júniusában az amerikai Legfelső Bíróság a Trump v. Slaughter ügyben úgy döntött, hogy a Federal Trade Commission (FTC) tagjainak törvényi elbocsátási védelme alkotmányellenes. Az FTC a DPF egyik kulcsfontosságú felügyeleti testülete, az EU joga pedig kifejezetten független adatvédelmi hatóságokat követel. Napokon belül a NOYB felszólította az Európai Bizottságot, hogy vonja vissza a DPF-et érvénytelenség miatt, és bejelentette, hogy pert indít annak érvénytelenítésére.[5]

A DPF talán már haladékon él. Ha megbukik, az EUStella amerikai alvállalkozóira vonatkozó Standard Contractual Clause megállapodásait újra kell értékelni, és ezen adatátvitelek jogalapja kérdéses lenne. Azok számára, akik MI-alkalmazást választanak éppen azért, mert nem bíznak a nagy amerikai platformokban, az adatok amerikai cégeken keresztüli irányítása pontosan azt az kitettséget hozza vissza, amit el akartak kerülni.

Európai alternatívák, amelyek ma léteznek

Az EUStella alvállalkozói oldala azt állítja, hogy «valóban nincs európai alternatíva» egyes amerikai szolgáltatásaihoz.[1] Ez az állítás megérdemli a vizsgálatot, mert a működő európai eszközök piaca pontosan ezeket a kategóriákat fedi le.

Hitelesítési lehetőségek

A BetterAuth egy open source hitelesítési könyvtár, amely teljes egészében a fejlesztő által irányított infrastruktúrán futhat. A Hanko self-hosted verziót és felhőopciót is kínál európai adatrezidenciával. A Zitadel egy másik open source identitásszolgáltató self-hostingre és felhőopciókra építve, anélkül hogy bejelentkezési adatokat amerikai rendszeren keresztül kellene irányítani. Mindhárom kezeli a standard hitelesítési folyamatokat, amelyekre egy fogyasztói MI-alkalmazásnak szüksége lenne.

Fizetésfeldolgozási lehetőségek

A kép árnyaltabb, mint amit az EUStella alvállalkozói oldala sugall. Adaptyt és Qonversiont értékelték RevenueCat alternatívaként — mindkettő Delaware-ben bejegyezve. Ez a kutatás pontosnak tűnik: 2026 közepén egyetlen EU-székhelyű cég sem kínál production-ready cross-platform mobil előfizetés-SDK-t egyenértékű funkciókészlettel.[1]

De a fontosabb kérdés az, hogy az előfizetések amerikai cégen keresztüli irányítása egyáltalán elkerülhetetlen-e. 2026 óta nem az. A Digital Markets Act (DMA) most megköveteli, hogy az Apple és a Google engedélyezzék az alkalmazásoknak, hogy külső fizetési oldalakra irányítsák a felhasználókat, teljesen az App Store vagy Play Store checkouton kívül. A fejlesztő weboldalra irányíthatja a felhasználót, európai processzoron keresztül szedhet be fizetést, és megadhatja a megfelelő jogosultságot az alkalmazásban. Nincs RevenueCat, nincs szükség amerikai előfizetés-SDK-ra.

Az európai fizetésprocesszorok, amelyek lefedik ezt az use case-t, elérhetők és production-ready állapotban vannak. A hollandiai székhelyű Mollie kezeli az előfizetéseket és az ismétlődő számlázást Európa-szerte. A Frisbii és a Stancer további európai opciók az előfizetés-kezeléshez. Egyik sem jelent szerződéses kapcsolatot amerikai anyavállalattal. Ha az EUStella webalapú előfizetési folyamatot kínálna e processzorok egyikén keresztül, az adatszuverenitásra figyelő felhasználóknak lenne valódi választásuk. Ez a lehetőség jelenleg nem létezik a termékben.

Szuverén infrastruktúra megtalálása

A DentroChat nyilvános erőforrást tart fenn awesome-eu-infra néven, amely szuverenitási szint szerint katalogizálja az európai infrastruktúra-lehetőségeket. A megkülönböztetés számít: egyes szolgáltatások európai székhellyel rendelkeznek, de amerikai felhőrégiókat használnak, míg mások valódi adatszuverenitást kínálnak amerikai vállalati tulajdon nélkül a láncban. Europe-first termékeket építő fejlesztők gyakorlati referenciát kapnak e különbségek megértéséhez. Az alternatívák léteznek. Használatuk termékdöntés, nem technikai lehetetlenség.

Az App Store és Play Store probléma

Van egy terület, ahol az EUStella amerikai függősége valóban nehezen kerülhető el: a disztribúció. Az Apple App Store-ban és a Google Playen való publikálás azt jelenti, hogy e platformokat gatekeeperként elfogadjuk — mindkettő amerikai cég. Ez valódi korlát.

Androidon a korlát lágyabb, mint amilyennek tűnik. Harmadik fél alkalmazásboltok legitim disztribúciós csatornák, és néhányuk sokkal szuverenitás-barátabb, mint a Google Play. Az F-Droid a leginkább kipróbált opció: ingyenes open source Android-alkalmazás-tár Google-fiók és követőinfrastruktúra nélkül. A lisszaboni székhelyű Aptoide európai tulajdonú alternatíva nagy katalógussal. Egyik sem helyettesíti a Play Store elérését — de adatvédelem-tudatos európaiaknak szánt terméknél F-Droid vagy Aptoide listázás hiteles jel lenne. Az EUStella jelenleg egyiket sem kínálja.

Az iOS nehezebb probléma. Az Apple a legtöbb piacon szigorú monopóliumot tart fenn az alkalmazások telepítésére eszközein, és még a DMA sideloading rendelkezései is csak az EU-n belül érvényesek, az Apple szándékosan beépített súrlódással. Egyelőre minden iPhone-alkalmazás szükségképpen App Store-alkalmazás. Ez valódi korlát, nem az EUStella választása.

Jogi garanciák nem adatszuverenitás

A szerződéses védelem határai

A Standard Contractual Clauses (SCCs) az Európai Bizottság által jóváhagyott szerződéssablonok, amelyek jogilag megkövetelik az amerikai feldolgozóktól az EU személyes adatok GDPR-szintű kezelését.[4] Az EUStella alvállalkozói dokumentációja SCC-kre támaszkodik amerikai szolgáltatóinál.[1] A probléma az, hogy az SCC-k szerződéses kötelezettségek, nem technikai akadályok. Papíron kötik a cég viselkedését, de nem írhatják felül az amerikai bírósági végzést, amely adatszolgáltatásra kényszeríti a céget. Az adatok továbbra is amerikai infrastruktúrára kerülnek. A jogi kitettség megmarad.

Hogyan néz ki a teljes európai adatszuverenitás

A teljes adatszuverenitás azt jelenti, hogy a felhasználói adatok soha nem kerülnek olyan joghatóságba, ahol amerikai megfigyelési jog érvényes — nem azért, mert egy szerződés azt ígéri, hogy a szolgáltató ellenáll, hanem mert az infrastruktúrát fizikailag nem érheti el az a hatóság. Ehhez végig európai tulajdonú, európai üzemeltetésű szolgáltatások kellenek, beleértve a hitelesítést és a számlázást. Magasabb léc, mint a GDPR-megfelelés — és ez az a léc, amelyet az « európai AI » branding implicit módon állít. A szerződések a visszaélés ellen védenek. Az architektúra a kényszerített közlés ellen.

Az EUStella MI-alkalmazás ítélete

Az EUStella MI-alkalmazás GDPR-kompatibilis termék, amelyet egyértelműen adatvédelemre gondoló csapat épített. A branding azonban konkrét elvárást támaszt: hogy az adataid teljesen kívül maradjanak az amerikai hatóságok elérésén. Az alvállalkozói oldal átlátható, a jogi dokumentáció részletes, a szándék hitelesnek tűnik. De a GDPR-megfelelés és az adatszuverenitás nem ugyanaz, és a termék marketingje összekeveri őket.

Ha azért választottad ezt az alkalmazást, mert az adataidat teljesen az amerikai jogi hatóság elérésén kívül akartad tartani, az architektúra ezt nem biztosítja — bármit is mond a branding.

Léteznek és működnek európai alternatívák hitelesítéshez és fizetésfeldolgozáshoz. Amíg az EUStella amerikai alvállalkozóit valóban európaiakra nem cseréli, az őszinte leírás: adatvédelem-tudatos alkalmazás, amely részben amerikai infrastruktúrára épül.

Források

  1. Sub-Processors - eustella (eustella.com)

  2. firebase.google.com

  3. aws.amazon.com

  4. www.top.legal