← Blogg

Hvorfor den europeiske KI-appen EUStella ikke er så europeisk som det høres ut

Hvorfor den europeiske KI-appen EUStella ikke er så europeisk som det høres ut

TL;DR: Den europeiske KI-appen EUStella markedsfører datasuverenitet, men leder brukere via amerikansk infrastruktur gjennom Google- og Apple-innlogging og RevenueCat for abonnementshåndtering — produktvalg, ikke tekniske begrensninger. CLOUD Act gir amerikanske myndigheter mulighet til å tvinge amerikanske selskaper til å utlevere data uansett hvor serverne står, og det transatlantiske Data Privacy Framework risikerer kollaps etter at Trump-administrasjonen har tømt sine tilsynsorganer. For brukere som valgte EUStella nettopp for å unngå amerikansk databehandling, beskriver merket «europeisk» en ambisjon mer enn en arkitektur.

Som europeiske KI-appen EUStella selger produktet seg på et enkelt løfte: dataene dine blir i Europa, borte fra amerikansk overvåkningslovgivning og bedriftsøkosystemene som nærer den. Det løftet tiltrekker nettopp de brukerne som er blitt skeptiske til store amerikanske plattformer. Men et nærmere blikk på underleverandørene bak appen avslører en talende produktbeslutning: sosiale innloggingsalternativer som leder data gjennom amerikansk identitetsinfrastruktur, og abonnementshåndtering via RevenueCat, et selskap i San Francisco. Begge er valg, ikke begrensninger. Begge er selskaper med hovedkontor i USA. Merket «europeisk» viser seg å beskrive en ambisjon mer enn en arkitektur.

Denne guiden undersøker hvor brukerdata faktisk beveger seg, hvorfor serverplassering alene ikke tilsvarer suverenitet, og om de europeiske alternativene som EUStellas egen dokumentasjon avviser som utilgjengelige, virkelig finnes. Svarene betyr mest for alle som valgte denne appen fordi de ikke stoler på amerikansk databehandling.

EUStellas europeiske løfte

Den europeiske KI-appen EUStella posisjonerer Wiener-startupen AI Newsrooms Technology GmbH seg som alternativ til de dominerende amerikanske AI-plattformene og presenterer appen som en følgesvenn bygget med europeiske verdier — et budskap som resonerer hos brukere som nøler med å gi dataene sine til Silicon Valley.

Markedsføring vs. det med smått

Den offentlige historien er enkel: europeisk selskap, europeisk infrastruktur og personvernforordningen (GDPR) innebygd fra starten. Den innrammingen tiltrekker personvernbevisste brukere som bruker geografi som sikkerhetsproxy. Underleverandør-siden forteller en mer komplisert historie.

Hva underleverandør-siden faktisk sier

EUStellas underleverandør-opplysning, sist oppdatert 22. juni 2026, åpner med et løfte om transparens i klart språk fremfor juridisk sjargong.[1] Selskapet lover å forklare, for hver ikke-EU-leverandør, hvorfor «det genuint ikke finnes et europeisk alternativ som kan gjøre samme jobb.» Den setningen er verdt å ha i bakhodet når du leser den faktiske listen. Sidens viktigste punkter er:

  • Underleverandører handler etter EUStellas instruksjoner og kan ikke bruke dataene dine uavhengig.

  • GDPR artikkel 28 krever opplysning om alle tredjepartsbehandlere.

  • Ikke-EU-leverandører er listet med begrunnelser for bruken.

  • Listen oppdateres når underleverandører legges til eller endres vesentlig.

  • Dedikerte Business to Business (B2B)-kunder opererer under separate, individuelt forhandlede vilkår.

Det siden ikke skjuler, er at flere av disse underleverandørene er amerikanske selskaper — og der blir det europeiske løftet komplisert.

De amerikanske tjenestene bak den europeiske fasaden

EUStellas underleverandør-liste er transparent om noe som går imot produktets kjernemarkedsføring. To av de listede tredjepartstjenestene er amerikanske selskaper som håndterer sensitive datapunkter: sosial innlogging og abonnementshåndtering.[1]

Tilby Sign in with Google og Apple

EUStella bruker Firebase Authentication, men bare for én spesifikk vei: innlogging med Google-kontoen din. Hvis du registrerer deg med e-post og passord, er Firebase aldri involvert. Det er en viktig nyanse som underleverandør-siden beskriver korrekt.

Men det reiser et annet spørsmål. Hvis EUStella er genuint engasjert i europeisk datasuverenitet — hvorfor tilbyr de Sign in with Google og Sign in with Apple i det hele tatt? Det er det første nye brukere ser. Begge alternativene leder innloggingen din gjennom amerikansk identitetsinfrastruktur by design. Det er ikke en teknisk begrensning. Det er en produktbeslutning. De valgte å legge til de knappene, vel vitende om at hver bruker som trykker på en, sender autentiseringsdata til Google- eller Apple-servere.

Motargumentet er bekvemmelighet: sosial innlogging reduserer friksjon og forbedrer konvertering. Det kan stemme. Men det er en forretningsmessig avveining, ikke en nødvendighet. Et produkt som markedsfører europeiske verdier til personvernbevisste brukere, skyver aktivt mot amerikansk datainfrastruktur. Europeiske autentiseringsalternativer håndterer e-post, passkeys og sosial innlogging uten amerikansk avhengighet. Å beholde Google- og Apple-innlogging er et valg — og det sitter dårlig ved siden av suverenitetspitchen.

RevenueCat for abonnementshåndtering

Abonnementshåndtering går via RevenueCat, et selskap med hovedkontor i San Francisco. Når appen må sjekke om abonnementet ditt er aktivt, validere et kjøp hos Apple eller Google, eller låse opp riktige funksjoner for kontoen din, flyter den logikken gjennom en amerikansk kommersiell enhet. Selve betalingsbehandlingen ligger ett lag over RevenueCat: på mobil samler Apple og Google kortopplysninger og fungerer som merchant of record. RevenueCat ser aldri kortnummeret ditt. Det mottar en pseudonym brukeridentifikator, enhetstypen din, abonnementsstatus og kjøpskvitteringsdata.[1] Det er fortsatt data i amerikanske hender, og det faller fortsatt innenfor amerikansk rettskompetanse.

EUStellas underleverandør-side evaluerte Adapty og Qonversion som alternativer og noterte korrekt at begge er registrert i Delaware. Men den evalueringen innrammer problemet for smalt. Spørsmålet er ikke om en europeisk RevenueCat-klon finnes; det er om EUStella i det hele tatt trenger et abonnements-SDK. Siden 2026 krever Digital Markets Act (DMA) at Apple og Google tillater apper å lenke brukere til eksterne betalingssider og helt omgå in-app-kassen. Brukeren trykker på en lenke, betaler via en europeisk prosessor på en nettside, og appen tildeler tilsvarende tilgang. Ingen RevenueCat, intet amerikansk selskap i kjeden. Den veien finnes — EUStella har ikke tatt den.

Hvorfor det betyr noe: amerikanske datalover

Den amerikanske CLOUD Act forklart

Clarifying Lawful Overseas Use of Data (CLOUD) Act, vedtatt i 2018, gir amerikanske myndigheter mulighet til å tvinge amerikanske selskaper til å utlevere data de kontrollerer, uansett hvor data fysisk lagres.[3] Det skillet er viktig. Data på en europeisk server, men administrert av et selskap med hovedkontor i USA, er fortsatt tilgjengelige med en gyldig rettslig ordre. Når autentiseringsidentifikatorene dine passerer gjennom Firebase, eller abonnementshistorikken din ligger hos RevenueCat — begge drevet av amerikanske enheter — faller disse postene innenfor den juridiske rekkevidden.

Politisk usikkerhet og Trump-administrasjonen

Det transatlantiske datarammeverket som for tiden tillater overføringer mellom EU og USA, er en politisk avtale, ikke en permanent tilstand. Dets to forgjengere, Safe Harbor og Privacy Shield, ble slått ned av europeiske domstoler. Det nåværende Data Privacy Framework (DPF) viser allerede de samme sprekkene.

I januar 2025 sparket Trump-administrasjonen de demokratiske medlemmene av både Data Protection Review Court (DPRC) og Privacy and Civil Liberties Oversight Board (PCLOB) — de to organene europeiske brukere stoler på for rettsmidler hvis amerikanske etterretningstjenester mishandler dataene deres. PCLOB utnevner DPRC-medlemmer; å tømme begge på én gang etterlot hele tilsynskjeden uten quorum og i praksis lammet. Det ga også den utøvende makt direkte kontroll over institusjoner som EU-adequacy-lovgivning krever skal være uavhengige.[5]

I juni 2026 avgjorde USAs Høyesterett i Trump v. Slaughter at lovbestemte avskjedssikringer for Federal Trade Commission (FTC)-medlemmer er grunnlovsstridige. FTC er et av de sentrale tilsynsorganene DPF stoler på, og EU-lovgivning krever uttrykkelig uavhengige personvernmyndigheter. Innen få dager oppfordret NOYB Europa-Kommisjonen til å oppheve DPF som ugyldig og kunngjorde at de ville reise sak for å annullere det.[5]

DPF lever kanskje allerede på lånt tid. Hvis det slås ned, må alle Standard Contractual Clause-avtaler EUStella har satt opp for sine amerikanske underleverandører revurderes, og det juridiske grunnlaget for disse dataoverføringene ville være i tvil. For brukere som velger en AI-app nettopp fordi de ikke stoler på store amerikanske plattformer, gjeninnfører routing av data via amerikanske selskaper nøyaktig den eksponeringen de prøvde å unngå.

Europeiske alternativer som finnes i dag

EUStellas underleverandør-side hevder at det «genuint ikke finnes et europeisk alternativ» for noen av dens amerikanske tjenester.[1] Den påstanden fortjener gransking, fordi et fungerende marked av europeisk bygde verktøy dekker nettopp disse kategoriene.

Autentiseringsalternativer

BetterAuth er et open source-autentiseringsbibliotek som kan kjøre helt på infrastruktur utvikleren kontrollerer. Hanko tilbyr både self-hosting og sky-alternativ med europeisk datalagring. Zitadel er en annen open source-identitetsleverandør bygget for self-hosting og sky-alternativer uten krav om å lede innloggingsdata gjennom amerikanske systemer. Alle tre håndterer standard autentiseringsflyter en forbruker-AI-app ville trenge.

Betalingsbehandlingsalternativer

Bildet er mer nyansert enn EUStellas underleverandør-side antyder. De evaluerte Adapty og Qonversion som RevenueCat-alternativer og fant begge registrert i Delaware. Den forskningen virker korrekt: midt i 2026 tilbyr intet EU-basert selskap et produksjonsklart cross-platform mobilt abonnements-SDK med tilsvarende funksjonssett.[1]

Men det viktigere spørsmålet er om routing av abonnementer via et amerikansk selskap i det hele tatt er uunngåelig. Siden 2026 er det ikke det. Digital Markets Act (DMA) krever nå at Apple og Google tillater apper å lenke brukere til eksterne betalingssider, helt utenfor App Store- eller Play Store-kassen. En utvikler kan dirigere brukeren til en nettside, ta betaling via en europeisk prosessor og tildele tilsvarende tilgang i appen. Ingen RevenueCat, intet amerikansk abonnements-SDK nødvendig.

Europeiske betalingsprosessorer som dekker dette use caset er tilgjengelige og produksjonsklare. Mollie, med hovedkontor i Nederland, håndterer abonnementer og gjentakende fakturering i hele Europa. Frisbii og Stancer er ytterligere europeiske alternativer for abonnementshåndtering. Ingen involverer kontraktsforhold med et amerikansk morselskap. Hvis EUStella tilbød et nettbasert abonnementsflyt via en av disse prosessorene, ville brukere som bryr seg om datasuverenitet ha et reelt alternativ. Det alternativet finnes ikke i produktet i dag.

Finne suveren infrastruktur

DentroChat vedlikeholder en offentlig ressurs kalt awesome-eu-infra, som katalogiserer europeiske infrastrukturalternativer etter suverenitetsnivå. Forskjellen betyr noe: noen tjenester har europeisk hovedkontor, men bruker amerikanske sky-regioner, mens andre tilbyr genuin datasuverenitet uten amerikansk bedriftseierskap i kjeden. Utviklere som bygger Europe-first-produkter har en praktisk referanse for å forstå disse forskjellene. Alternativene finnes. Å bruke dem er en produktbeslutning, ikke en teknisk umulighet.

App Store- og Play Store-problemet

Det er ett område der EUStellas amerikanske avhengighet er genuint vanskelig å unngå: distribusjon. Å publisere i Apple App Store og Google Play betyr å akseptere disse plattformene som gatekeepers — begge amerikanske selskaper. Den delen er en reell begrensning.

På Android er begrensningen mykere enn det ser ut. Tredjeparts app-butikker er en legitim distribusjonskanal, og noen er langt mer suverenitetsvennlige enn Google Play. F-Droid er det mest etablerte alternativet: et gratis open source-arkiv for Android-apper uten Google-konto og uten sporingsinfrastruktur. Aptoide, med hovedkontor i Lisboa, er et europeisk eid alternativ med stort katalog. Ingen erstatter Play Stores rekkevidde — men for et produkt som markedsfører seg til personvernbevisste europeere, ville en F-Droid- eller Aptoide-listing være et troverdig signal. EUStella tilbyr ingen i dag.

iOS er et vanskeligere problem. Apple opprettholder et strengt monopol på app-installasjon på enhetene sine på de fleste markeder, og selv DMAs sideloading-bestemmelser gjelder bare innenfor EU og kommer med friksjon Apple bevisst har bygget inn. Foreløpig er enhver iPhone-app per nødvendighet en App Store-app. Det er en genuin begrensning, ikke et valg EUStella tok.

Juridiske sikkerhetstiltak er ikke datasuverenitet

Grensene for kontraktsbeskyttelse

Standard Contractual Clauses (SCCs) er EU-Kommisjonen-godkjente kontraktsmaler som juridisk krever at amerikanske behandlere håndterer EU-personopplysninger etter GDPR-lignende standarder.[4] EUStellas underleverandør-dokumentasjon støtter seg på SCCs for sine amerikanske leverandører.[1] Problemet er at SCCs er kontraktsforpliktelser, ikke tekniske barrierer. De binder en bedrifts atferd på papiret, men kan ikke overstyre en amerikansk domstolsordre som tvinger bedriften til å utlevere data. Data reiser fortsatt til amerikansk infrastruktur. Den juridiske eksponeringen forblir.

Hvordan full europeisk datasuverenitet ser ut

Full datasuverenitet betyr at brukerdata aldri kommer inn i en jurisdiksjon der amerikansk overvåkningslovgivning gjelder — ikke fordi en kontrakt sier at leverandøren vil motstå, men fordi infrastrukturen fysisk ikke kan nås av den myndigheten. Det krever europeisk eid, europeisk drevet tjeneste fra ende til ende, inkludert autentisering og fakturering. Det er en høyere bar enn GDPR-samsvar — og det er baren som « europeisk AI »-merkevare implisitt setter. Kontrakter beskytter mot misbruk. Arkitektur beskytter mot tvungen utlevering.

Dommen: europeiske KI-appen EUStella

Den europeiske KI-appen EUStella er GDPR-kompatibelt og bygget av et team som tydelig tenker på personvern. Merkevaren setter imidlertid en spesifikk forventning: at dataene dine forblir helt utenfor amerikansk rekkevidde. Underleverandør-siden er transparent, den juridiske dokumentasjonen detaljert, og intensjonen virker genuin. Men GDPR-samsvar og datasuverenitet er ikke det samme, og produktets markedsføring blander dem sammen.

Hvis du valgte denne appen fordi du ville ha dataene dine helt utenfor amerikansk juridisk rekkevidde, leverer ikke arkitekturen det — uansett hva merkevaren sier.

Europeiske alternativer for autentisering og betalingsbehandling finnes og fungerer. Inntil EUStella erstatter sine amerikanske underleverandører med genuint europeiske, er den ærlige beskrivelsen en personvernbevisst app bygget på delvis amerikansk infrastruktur.

Referanser

  1. Sub-Processors - eustella (eustella.com)

  2. firebase.google.com

  3. aws.amazon.com

  4. www.top.legal