← Blogg

Varför den europeiska AI-appen EUStella inte är så europeisk som det låter

Varför den europeiska AI-appen EUStella inte är så europeisk som det låter

TL;DR: Den europeiska AI-appen EUStella marknadsför datasuveränitet men leder användare via amerikansk infrastruktur genom Google- och Apple-inloggningar samt RevenueCat för prenumerationshantering — produktval, inte tekniska begränsningar. CLOUD Act gör det möjligt för amerikanska myndigheter att tvinga amerikanska företag att lämna ut data oavsett var servrarna står, och det transatlantiska Data Privacy Framework riskerar kollaps efter att Trump-administrationen har urholkat sina tillsynsorgan. För användare som valde EUStella just för att undvika amerikansk databehandling beskriver etiketten «europeisk» en ambition mer än en arkitektur.

Den europeiska AI-appen EUStella marknadsförs med ett enkelt löfte: dina data stannar i Europa, borta från amerikansk övervakningslagstiftning och de företagsekosystem som matar den. Det löftet lockar precis de användare som blivit skeptiska till stora amerikanska plattformar. Men en närmare titt på underbiträdena bakom appen avslöjar ett talande produktval: sociala inloggningsalternativ som leder data genom amerikansk identitetsinfrastruktur, och prenumerationshantering via RevenueCat, ett företag i San Francisco. Båda är val, inte begränsningar. Båda är företag med huvudkontor i USA. Etiketten «europeisk» visar sig beskriva en ambition mer än en arkitektur.

Den här guiden granskar var användardata faktiskt tar vägen, varför serverplats ensam inte motsvarar suveränitet, och om de europeiska alternativ som EUStellas egen dokumentation avfärdar som otillgängliga verkligen finns. Svaren är särskilt viktiga för alla som valde den här appen just för att de misstror amerikansk databehandling.

EUStellas europeiska löfte

Den europeiska AI-appen EUStella, från Wienstartupen AI Newsrooms Technology GmbH, positionerar sig som alternativ till de dominerande amerikanska AI-plattformarna och presenterar appen som en följeslagare byggd med europeiska värderingar — ett budskap som resonerar hos användare som tvekar att lämna sina data till Silicon Valley.

Marknadsföring vs. det finstilta

Den offentliga berättelsen är rak: europeiskt företag, europeisk infrastruktur och allmän dataskyddsförordning (GDPR) inbyggd från start. Den inramningen lockar integritetsmedvetna användare som använder geografi som säkerhetsproxy. Underbiträdessidan berättar en mer komplicerad historia.

Vad deras underbiträdessida faktiskt säger

EUStellas underbiträdesupplysning, senast uppdaterad 22 juni 2026, inleds med ett åtagande om transparens i klarspråk snarare än juridisk jargong.[1] Företaget lovar att förklara, för varje icke-EU-leverantör, varför «det verkligen inte finns något europeiskt alternativ som kan göra samma jobb.» Den frasen är värd att ha i åtanke när du läser den faktiska listan. Sidans viktigaste punkter är:

  • Underbiträden agerar på EUStellas instruktioner och får inte använda dina data självständigt.

  • GDPR artikel 28 kräver att alla tredjepartsbehandlare redovisas.

  • Icke-EU-leverantörer listas med motiveringar för deras användning.

  • Listan uppdateras när underbiträden läggs till eller väsentligt ändras.

  • Dedikerade Business to Business (B2B)-kunder omfattas av separata, individuellt förhandlade villkor.

Det sidan inte döljer är att flera av dessa underbiträden är amerikanska företag — och där blir det europeiska löftet komplicerat.

De amerikanska tjänsterna bakom den europeiska fasaden

EUStellas underbiträdeslista är transparent om något som går emot produktens kärnmarknadsföring. Två av de listade tredjepartstjänsterna är amerikanska företag som hanterar känsliga datapunkter: social inloggning och prenumerationshantering.[1]

Erbjuda Sign in with Google och Apple

EUStella använder Firebase Authentication, men bara för en specifik väg: inloggning med ditt Google-konto. Om du registrerar dig med e-post och lösenord är Firebase aldrig inblandat. Det är en viktig nyans som deras underbiträdessida beskriver korrekt.

Men det väcker en annan fråga. Om EUStella verkligen är engagerade i europeisk datasuveränitet — varför erbjuder de Sign in with Google och Sign in with Apple alls? Det är det första nya användare ser. Båda alternativen leder din inloggning genom amerikansk identitetsinfrastruktur by design. Det är ingen teknisk begränsning. Det är ett produktval. De valde att lägga till de knapparna, med vetskapen att varje användare som trycker på en skickar autentiseringsdata till Google- eller Apple-servrar.

Motargumentet är bekvämlighet: social inloggning minskar friktion och förbättrar konvertering. Det kan stämma. Men det är en affärsavvägning, inte en nödvändighet. En produkt som marknadsför europeiska värderingar till integritetsmedvetna användare knuffar aktivt mot amerikansk datainfrastruktur. Europeiska autentiseringsalternativ hanterar e-post, passkeys och social inloggning utan amerikanskt beroende. Att behålla Google- och Apple-inloggning är ett val — och det passar illa bredvid suveränitetsbudskapet.

RevenueCat för prenumerationshantering

Prenumerationshantering går via RevenueCat, ett företag med huvudkontor i San Francisco. När appen behöver kontrollera om din prenumeration är aktiv, validera ett köp med Apple eller Google, eller låsa upp rätt funktioner för ditt konto, flödar den logiken genom en amerikansk kommersiell enhet. Själva betalningshanteringen ligger ett steg ovanför RevenueCat: på mobil samlar Apple och Google kortuppgifter och agerar som merchant of record. RevenueCat ser aldrig ditt kortnummer. Vad det får är en pseudonym användaridentifierare, din enhetstyp, prenumerationsstatus och kvittodata.[1] Det är fortfarande data i amerikanska händer, och det faller fortfarande under amerikansk rättslig jurisdiktion.

EUStellas underbiträdessida utvärderade Adapty och Qonversion som alternativ och noterade korrekt att båda är registrerade i Delaware. Men den utvärderingen avgränsar problemet för snävt. Frågan är inte om en europeisk RevenueCat-klon finns; det är om EUStella behöver ett prenumerations-SDK alls. Sedan 2026 kräver Digital Markets Act (DMA) att Apple och Google tillåter appar att länka användare till externa betalningssidor och helt kringgå in-app-kassan. Användaren trycker på en länk, betalar via en europeisk processor på en webbsida, och appen beviljar motsvarande åtkomst. Ingen RevenueCat, inget amerikanskt företag i kedjan. Den vägen finns — EUStella har inte tagit den.

Varför det spelar roll: amerikanska datalagstiftningar

Den amerikanska CLOUD Act förklarad

Clarifying Lawful Overseas Use of Data (CLOUD) Act, antagen 2018, ger amerikanska myndigheter möjlighet att tvinga amerikanska företag att lämna ut data de kontrollerar, oavsett var data fysiskt lagras.[3] Den skillnaden är viktig. Data på en europeisk server men hanterad av ett företag med huvudkontor i USA är fortfarande nåbar med en giltig rättslig order. När dina autentiseringsidentifierare passerar genom Firebase eller din prenumerationshistorik finns hos RevenueCat — båda drivna av amerikanska enheter — faller de posterna inom det rättsliga räckviddsområdet.

Politisk osäkerhet och Trump-administrationen

Det transatlantiska dataramverk som för närvarande tillåter överföringar mellan EU och USA är en politisk överenskommelse, inte en permanent fixture. Dess två föregångare, Safe Harbor och Privacy Shield, slopades av europeiska domstolar. Det nuvarande Data Privacy Framework (DPF) visar redan samma sprickor.

I januari 2025 avskedade Trump-administrationen de demokratiska ledamöterna i både Data Protection Review Court (DPRC) och Privacy and Civil Liberties Oversight Board (PCLOB) — de två organ som europeiska användare förlitar sig på för prövning om amerikanska underrättelsetjänster hanterar deras data felaktigt. PCLOB utser DPRC-ledamöter; att tömma båda i ett slag lämnade hela tillsynskedjan utan beslutsmässighet och i praktiken förlamad. Det gav också exekutiven direkt kontroll över institutioner som EU-adequacy-lag kräver ska vara oberoende.[5]

I juni 2026 avgjorde USA:s högsta domstol i Trump v. Slaughter att lagstadgade avskedsskydd för Federal Trade Commission (FTC)-ledamöter är grundlagsstridiga. FTC är ett av de centrala tillsynsorgan som DPF förlitar sig på, och EU-lag kräver uttryckligen att dataskyddsmyndigheter är oberoende. Inom dagar uppmanade NOYB Europeiska kommissionen att upphäva DPF som ogiltigt och meddelade att man skulle väcka talan för att annullera det.[5]

DPF lever kanske redan på lånad tid. Om det slopas måste alla Standard Contractual Clause-avtal som EUStella satt upp för sina amerikanska underbiträden omvärderas, och den rättsliga grunden för dessa dataöverföringar skulle ifrågasättas. För användare som väljer en AI-app just för att de misstror stora amerikanska plattformar återinför routing av data via amerikanska företag exakt den exponering de försökte undvika.

Europeiska alternativ som finns idag

EUStellas underbiträdessida hävdar att det «verkligen inte finns något europeiskt alternativ» för vissa av dess amerikanska tjänster.[1] Det påståendet förtjänar granskning, eftersom en fungerande marknad av europeiskt byggda verktyg täcker just dessa kategorier.

Autentiseringsalternativ

BetterAuth är ett open source-autentiseringsbibliotek som kan köras helt på infrastruktur som utvecklaren kontrollerar. Hanko erbjuder både self-hosting och molnalternativ med europeisk datalagring. Zitadel är en annan open source-identitetsleverantör byggd för self-hosting och molnalternativ, utan krav att leda inloggningsdata genom något amerikanskt system. Alla tre hanterar standardautentiseringsflöden som en konsument-AI-app skulle behöva.

Betalningsalternativ

Bilden är mer nyanserad än EUStellas underbiträdessida antyder. De utvärderade Adapty och Qonversion som RevenueCat-alternativ och fann båda registrerade i Delaware. Den forskningen verkar korrekt: mitten av 2026 erbjuder inget EU-baserat företag ett produktionsklart cross-platform mobilt prenumerations-SDK med motsvarande funktionsuppsättning.[1]

Men den viktigare frågan är om routing av prenumerationer via ett amerikanskt företag verkligen är oundvikligt. Sedan 2026 är det inte det. Digital Markets Act (DMA) kräver nu att Apple och Google tillåter appar att länka användare till externa betalningssidor, helt utanför App Store- eller Play Store-kassan. En utvecklare kan dirigera användaren till en webbsida, ta betalt via en europeisk processor och bevilja motsvarande åtkomst i appen. Ingen RevenueCat, inget amerikanskt prenumerations-SDK krävs.

Europeiska betalningsprocessorer som täcker detta use case finns tillgängliga och produktionsklara. Mollie, med huvudkontor i Nederländerna, hanterar prenumerationer och återkommande fakturering i hela Europa. Frisbii och Stancer är ytterligare europeiska alternativ för prenumerationshantering. Ingen innebär avtalsrelation med ett amerikanskt moderbolag. Om EUStella erbjöd ett webbaserat prenumerationsflöde via en av dessa processorer skulle användare som bryr sig om datasuveränitet ha ett verkligt alternativ. Det alternativet finns inte i produkten idag.

Hitta suverän infrastruktur

DentroChat underhåller en offentlig resurs kallad awesome-eu-infra, som katalogiserar europeiska infrastrukturalternativ efter suveränitetsnivå. Skillnaden spelar roll: vissa tjänster har europeiskt huvudkontor men använder amerikanska molnregioner, medan andra erbjuder genuin datasuveränitet utan amerikanskt företagsägande i kedjan. Utvecklare som bygger Europe-first-produkter har en praktisk referens för att förstå dessa skillnader. Alternativen finns. Att använda dem är ett produktval, inte en teknisk omöjlighet.

App Store- och Play Store-problemet

Det finns ett område där EUStellas amerikanska beroende genuint är svårt att undvika: distribution. Att publicera i Apple App Store och Google Play innebär att acceptera dessa plattformar som gatekeepers — båda amerikanska företag. Den delen är en verklig begränsning.

På Android är begränsningen mjukare än den verkar. Tredjepartsappbutiker är en legitim distributionskanal, och vissa är betydligt mer suveränitetsvänliga än Google Play. F-Droid är det mest etablerade alternativet: ett gratis open source-förvar för Android-appar utan Google-konto och utan spårningsinfrastruktur. Aptoide, med huvudkontor i Lissabon, är ett europeiskt ägt alternativ med stor katalog. Ingen ersätter Play Stores räckvidd — men för en produkt som marknadsför sig till integritetsmedvetna européer skulle en F-Droid- eller Aptoide-listning vara en trovärdig signal. EUStella erbjuder ingen idag.

iOS är ett svårare problem. Apple upprätthåller ett strikt monopol på appinstallation på sina enheter på de flesta marknader, och även DMA:s sideloading-bestämmelser gäller bara inom EU och kommer med friktion som Apple medvetet byggt in. För tillfället är varje iPhone-app per nödvändighet en App Store-app. Det är en genuin begränsning, inte ett val EUStella gjorde.

Juridiska skydd är inte datasuveränitet

Begränsningarna i avtalsmässigt skydd

Standard Contractual Clauses (SCCs) är av EU-kommissionen godkända avtalsmallar som juridiskt kräver att amerikanska behandlare hanterar EU-personuppgifter enligt GDPR-likvärdiga standarder.[4] EUStellas underbiträdesdokumentation förlitar sig på SCCs för sina amerikanska leverantörer.[1] Problemet är att SCCs är avtalsförpliktelser, inte tekniska barriärer. De binder ett företags beteende på papper, men kan inte åsidosätta en amerikansk domstolsorder som tvingar företaget att lämna ut data. Data reser fortfarande till amerikansk infrastruktur. Den rättsliga exponeringen kvarstår.

Hur full europeisk datasuveränitet ser ut

Full datasuveränitet innebär att användardata aldrig hamnar i en jurisdiktion där amerikansk övervakningslag gäller — inte för att ett avtal säger att leverantören ska motstå, utan för att infrastrukturen fysiskt inte kan nås av den myndigheten. Det kräver europeiskt ägd, europeiskt driven tjänst från början till slut, inklusive autentisering och fakturering. Det är en högre ribba än GDPR-efterlevnad, och det är ribban som « europeisk AI »-varumärket implicit sätter. Avtal skyddar mot missbruk. Arkitektur skyddar mot tvungen utlämning.

Domen: europeiska AI-appen EUStella

Den europeiska AI-appen EUStella är GDPR-kompatibel och byggd av ett team som uppenbarligen tänker på integritet. Varumärket sätter dock en specifik förväntning: att dina data hålls helt utanför amerikansk räckvidd. Underbiträdessidan är transparent, den juridiska dokumentationen detaljerad, och avsikten verkar genuin. Men GDPR-efterlevnad och datasuveränitet är inte samma sak, och produktens marknadsföring blandas ihop dem.

Om du valde den här appen för att hålla dina data helt utanför amerikansk rättslig räckvidd levererar inte arkitekturen det — oavsett vad varumärket säger.

Europeiska alternativ för autentisering och betalningshantering finns och fungerar. Tills EUStella ersätter sina amerikanska underbiträden med genuint europeiska, är den ärliga beskrivningen en integritetsmedveten app byggd på delvis amerikansk infrastruktur.

Referenser

  1. Sub-Processors - eustella (eustella.com)

  2. firebase.google.com

  3. aws.amazon.com

  4. www.top.legal