ECJ nel 2020 (vedi Max_Schrems) stabilisce che non puoi aggirare la GDPR mettendo i server in uno Stato non-UE che non fornisce una sufficiente protezione della privacy. Simili risultati nel 2022 dalla corte suprema austriaca, e leggo sul sito EFF anche dalle data protection authorities di Italia, Finlandia e Francia.
Il caso specifico degli USA è che, per legge e per giurisprudenza, sei costretto a fornire alle agenzie governative qualunque informazione ti viene richiesta, e non puoi informare alcuno (compreso il diretto interessato) che ti sono state richieste. Quindi il cliente europeo non sa in mano a chi possono andare i suoi dati, non può pretendere la cancellazione, non può ricorrere ad ECJ in caso di violazione del diritto umano che, in questo caso, è la privacy.
Quindi non si parla di una specifica tecnica o implementazione o azienda; il problema è avere i server dove la legge domestica non fornisce una sufficiente protezione dei diritti umani. (vedi risposta seguente)
Giungo qui dalla chat OpenStreetMap Italia (accessibile qui e qui) dove è stato postato il link ad un topic simile.