Zum Inhalt springen
Zurück zum Blog
DSGVO GDPR KI Coding Datenschutz EU Compliance

DSGVO & KI-Coding-Tools: Was europäische Entwickler wissen müssen (2025)

Veröffentlicht am 9. Juni 2025 · Aktualisiert 3. April 2025 · 8 Min. Lesezeit · von Lurus Team

KI-Coding-Tools sind in fast jedem Entwickler-Workflow angekommen. GitHub Copilot, Cursor, Claude Code – die Tools versprechen höhere Produktivität, schnelleres Debuggen, bessere Code-Qualität. Aber für Entwickler und Unternehmen in der EU stellt sich eine Frage, die oft ignoriert wird: Was passiert mit meinem Quellcode?

Dieser Artikel erklärt, warum das für europäische Entwickler ein rechtlich relevantes Thema ist – nicht nur ein theoretisches Datenschutzproblem.

Die DSGVO und Quellcode: Warum das zusammenhängt

Viele Entwickler denken: „Quellcode ist kein personenbezogenes Datum, also gilt die DSGVO nicht.” Das ist zu kurz gedacht.

Die DSGVO gilt, sobald personenbezogene Daten verarbeitet werden. Und Quellcode enthält häufiger personenbezogene Daten als man denkt:

  • Kommentare: // Ticket von Max Mustermann, 2025-01-15
  • Test-Fixtures: User.create(email: "kunde@beispiel.de")
  • Konfigurationen: Webhook-URLs, API-Endpoints mit Kundenbezug
  • Logs im Code: logger.info("User #{user.name} performed action")
  • Seed-Daten: Reale Kundennamen in Entwicklungsdatenbanken
  • Git-History: E-Mail-Adressen, Namen in Commit-Messages

Sobald ein KI-Tool diesen Code verarbeitet, wird es zum Auftragsverarbeiter im Sinne der DSGVO. Und Auftragsverarbeiter brauchen einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

Was Schrems II für KI-Tools bedeutet

Im Juli 2020 hat der Europäische Gerichtshof das Privacy Shield-Abkommen zwischen der EU und den USA für ungültig erklärt (Schrems II). Das Urteil hat die Datenübertragung in die USA fundamental neu bewertet.

Die Kernaussage: US-Recht, insbesondere FISA Section 702 und Executive Order 12333, erlaubt US-Behörden den Zugriff auf Daten von US-Unternehmen – auch wenn diese Daten auf EU-Servern liegen, wenn das Unternehmen US-amerikanisch ist.

Konkret bedeutet das für KI-Coding-Tools:

Wenn du deinen Quellcode an GitHub Copilot, Cursor oder andere US-basierte KI-Dienste sendest, übertragst du potenziell Daten in eine Jurisdiction, in der FISA 702-Anfragen möglich sind. Standard Contractual Clauses (SCCs) schützen davor teilweise – aber nur, wenn das Unternehmen diese auch in der Praxis umsetzen kann. Bei US-Unternehmen ist das strukturell problematisch.

Was FISA 702 konkret ermöglicht

FISA Section 702 erlaubt US-Geheimdiensten:

  • Zugriff auf Daten bei US-Unternehmen – unabhängig davon, wo die Daten physisch gespeichert sind
  • Geheimhaltungspflichten – das betroffene Unternehmen darf den Betroffenen nicht informieren
  • Keine richterliche Einzelfallprüfung für ausländische Zielpersonen

Für europäische Unternehmen bedeutet das: Wenn dein Quellcode (mit personenbezogenen Daten) bei einem US-Unternehmen verarbeitet wird, kannst du nicht garantieren, dass keine US-Behörde Zugriff erhält. Das ist nicht Paranoia, sondern die Rechtslage.

Was KI-Coding-Tools mit deinem Code machen

Unterschiedliche Tools haben unterschiedliche Datenmodelle. Es lohnt sich, genau hinzuschauen:

Training auf Nutzerdaten

Viele KI-Dienste trainieren ihre Modelle auf Nutzerdaten, sofern Nutzer nicht aktiv opt-out. Das bedeutet: dein proprietärer Quellcode könnte in zukünftigen Modelltrainings landen und damit potenziell in Ausgaben anderer Nutzer auftauchen.

GitHub Copilot for Business und Enterprise bieten einen „No Training”-Modus. Das individuelle GitHub Copilot Free/Pro hingegen nutzt standardmäßig Daten für Training (Stand 2025, mit Opt-out-Option).

Datenspeicherung und -retention

Wie lange wird dein Code auf den Servern des Anbieters gespeichert? Für Prompts, für Completions, für Logs? Viele Anbieter kommunizieren das nicht transparent.

Typische Retention-Perioden:

  • Prompts: 0-90 Tage je nach Anbieter
  • Completions: Oft identisch mit Prompts
  • Nutzungs-Telemetrie: Oft 1-2 Jahre
  • Logs: Variiert stark

Die entscheidende Frage: Wird dein Code nur für die aktuelle Anfrage verarbeitet (Zero-Retention) oder irgendwo persistiert?

Subprozessoren und Drittanbieter

Auch wenn ein Tool auf EU-Servern läuft, können Subprozessoren (Logging-Dienste, Monitoring, Support-Tools) in den USA sein und dort Datensplitter aufnehmen.

Wichtig zu prüfen:

  • Gibt es eine vollständige Subprozessor-Liste?
  • Sind alle Subprozessoren in der EU ansässig?
  • Was genau wird an Subprozessoren weitergegeben?

Die wichtigsten Fragen für deinen KI-Tool-Anbieter

Bevor du ein KI-Coding-Tool für dein Unternehmen einführst, solltest du diese Fragen klären:

1. Wo werden KI-Inferenzen verarbeitet? EU-Server, US-Server, oder beides? Gibt es eine Option für EU-only-Processing?

2. Wird mein Quellcode für Modell-Training genutzt? Opt-in oder Opt-out? Enterprise-spezifische Regelungen?

3. Wie lange wird mein Code gespeichert? Vollständige Zero-Retention möglich? Was genau wird wie lange aufbewahrt?

4. Ist ein AVV (Auftragsverarbeitungsvertrag) verfügbar? Artikel 28 DSGVO verlangt einen AVV, wenn ein Auftragsverarbeiter personenbezogene Daten verarbeitet. Quellcode kann personenbezogene Daten enthalten (Namen in Kommentaren, Kundendaten in Test-Fixtures etc.).

5. Welche Subprozessoren werden genutzt? Sind diese in der EU ansässig? Gibt es eine vollständige Liste?

6. Gibt es einen Datensicherheitsvorfall-Plan? Was passiert, wenn der Anbieter gehackt wird und dein Quellcode betroffen ist?

Zusätzliche Fragen für regulierte Branchen

Wenn du in einer regulierten Branche arbeitest (Fintech, Medtech, öffentlicher Sektor), solltest du zusätzlich fragen:

7. Gibt es branchenspezifische Zertifizierungen? ISO 27001, SOC 2, BSI C5, HDS (für Gesundheitsdaten)?

8. Ist eine dedizierte Instanz möglich? Manche Regulierungen verlangen, dass keine Multi-Tenant-Infrastruktur genutzt wird.

9. Gibt es ein Verzeichnis der Verarbeitungstätigkeiten? Für deine eigene DSGVO-Dokumentation brauchst du Details zur Verarbeitung.

10. Wie sieht der Exit-Plan aus? Was passiert mit deinen Daten, wenn du den Anbieter wechselst?

DSGVO-Checkliste für KI-Coding-Tools

Nutze diese Checkliste für die Evaluierung:

  • EU-Datenresidenz bestätigt – KI-Inferenzen laufen ausschließlich auf EU-Servern
  • Kein Training auf Kundendaten – kein Opt-out notwendig, es gibt kein Training
  • Zero-Retention möglich – Quellcode wird nach der Session gelöscht
  • AVV verfügbar – Art. 28 DSGVO abgedeckt
  • EU-basierte Subprozessoren – keine US-Dienste in der Verarbeitungskette
  • Transparent über Datenflüsse – vollständige Dokumentation öffentlich
  • Kein US-Mutterunternehmen – kein FISA-702-Risiko

Wie Lurus Code das löst

Lurus Code ist ein in Deutschland entwickeltes KI-Coding-Tool, das explizit für EU-Compliance gebaut wurde:

  • Alle KI-Inferenzen laufen auf EU-Servern
  • Kein Training auf Kundendaten – Quellcode wird ausschließlich zur Bearbeitung der aktuellen Anfrage genutzt
  • Zero-Retention – Quellcode wird nach Ende der Session gelöscht und ist nicht auf Lurus-Servern persistiert
  • AVV nach Art. 28 DSGVO für alle bezahlten Pläne
  • Deutsches Unternehmen, kein US-Mutterkonzern, kein FISA-702-Risiko

Für Entwickler in regulierten Branchen – Fintech (unter DORA), Medtech (MDR), öffentliche Verwaltung – ist das oft keine Wahlentscheidung, sondern eine rechtliche Anforderung.

Fazit

DSGVO-Compliance bei KI-Coding-Tools ist kein theoretisches Problem. Sie betrifft:

  • Unternehmen mit proprietärem Code
  • Teams mit Kundendaten in Fixtures und Tests
  • Regulierte Branchen mit Compliance-Anforderungen
  • Jedes Unternehmen, das Art. 28 DSGVO ernst nimmt

Die gute Nachricht: Es gibt inzwischen EU-native Alternativen zu US-dominierten Tools. Die Entscheidung für ein DSGVO-konformes KI-Coding-Tool ist keine Einschränkung – moderne EU-Tools bieten denselben Funktionsumfang wie ihre US-Pendants, mit dem Unterschied, dass sie rechtlich sauber sind.

Praktische nächste Schritte

  1. Audit deiner aktuellen Tools: Welche KI-Coding-Tools nutzt du/dein Team? Wo werden die Daten verarbeitet?

  2. Checkliste durchgehen: Nutze die obige Checkliste für jeden Anbieter.

  3. AVV prüfen: Gibt es einen AVV? Ist er unterzeichnet? Ist er im Verzeichnis der Verarbeitungstätigkeiten dokumentiert?

  4. Alternativen evaluieren: Falls dein aktuelles Tool nicht DSGVO-konform ist, welche EU-nativen Alternativen gibt es?

  5. Team informieren: DSGVO-Compliance ist keine Einmal-Aktion. Stelle sicher, dass neue Tools den gleichen Prüfprozess durchlaufen.

Häufig gestellte Fragen

Gilt die DSGVO auch für Einzelentwickler? Ja, wenn du personenbezogene Daten verarbeitest. Das gilt auch für Freelancer mit Kundenprojekten.

Reicht ein Opt-out vom Training? Nein. Training-Opt-out verhindert nur, dass dein Code fürs Training genutzt wird. Die Frage der Datenübertragung und des Behördenzugriffs bleibt.

Ist Open-Source-Code von der DSGVO ausgenommen? Nein. Auch wenn der Code öffentlich ist, können personenbezogene Daten (E-Mails in Commits, Namen in Kommentaren) darin enthalten sein.

Was passiert bei einem Verstoß? DSGVO-Bußgelder können bis zu 4% des weltweiten Jahresumsatzes betragen. Für die meisten Unternehmen ist das Reputationsrisiko aber gravierender als die Geldstrafe.

Weitere Artikel

DSGVO Cursor

Ist Cursor DSGVO-konform? Was EU-Entwickler wissen müssen

Eine sachliche Analyse des DSGVO-Status von Cursor: Serverstandorte, Privacy Mode, AVV-Verfügbarkeit und was EU-Entwickler vor dem professionellen Einsatz beachten sollten.

DSGVO GitHub Copilot

Ist GitHub Copilot DSGVO-konform? Eine Plan-für-Plan-Analyse

Eine detaillierte Aufschlüsselung der DSGVO-Konformität von GitHub Copilot nach Plan: Welche Pläne trainieren mit Ihren Daten, was Zero Retention wirklich bedeutet, AVV-Verfügbarkeit und die FISA-702-Herausforderung.

DSGVO Startup

DSGVO-Checkliste für Startups: KI-Tools rechtskonform einsetzen (2025)

Wie setzen Startups KI-Tools DSGVO-konform ein? Eine praktische Checkliste mit den wichtigsten Fragen zu Hosting, AVV, Training-Opt-out und Datenkategorien.