Zum Inhalt springen
Zurück zum Blog
DSGVO GitHub Copilot Datenschutz EU Compliance Microsoft

Ist GitHub Copilot DSGVO-konform? Eine Plan-für-Plan-Analyse

Veröffentlicht am 8. Juli 2025 · Aktualisiert 3. April 2025 · 6 Min. Lesezeit · von Lurus Team

GitHub Copilot ist das meistgenutzte KI-Coding-Tool weltweit. Mit GitHubs Enterprise-Reichweite und Microsofts Infrastruktur verfügt es auch über eines der ausgereiftesten Compliance-Frameworks im KI-Coding-Bereich. Aber bedeutet das, dass es für Ihre spezifische Situation DSGVO-konform ist?

Die Antwort lautet: Es hängt stark davon ab, welchen Plan Sie nutzen — und selbst der beste Plan hat eine strukturelle Compliance-Herausforderung, die kein AVV vollständig lösen kann.

Die entscheidende Variable: Welchen Plan Sie nutzen

GitHubs Datenpraktiken unterscheiden sich erheblich zwischen Individual- und Business-Plänen. Das ist der wichtigste Faktor für die DSGVO-Konformität:

PlanTrainiert mit Ihrem Code?Zero Retention (IDE)?AVV verfügbar?
FreeJa, standardmäßig (Opt-out möglich)NeinNein
Pro / Pro+Ja, standardmäßig (Opt-out möglich)NeinNein
BusinessNiemalsJaJa (herunterladbar)
EnterpriseNiemalsJaJa (herunterladbar)

Wenn Sie einen Free- oder Pro-Plan nutzen und sich nicht explizit vom Training-Daten-Einsatz abgemeldet haben (github.com/settings/copilot/features), kann GitHub Ihre Prompts und Vorschläge zur Verbesserung von KI-Modellen verwenden. Für EU-Entwickler, die mit Kundencodes arbeiten, ist das problematisch.

Zero Data Retention: Was das für Copilot bedeutet

Für Business- und Enterprise-Kunden, die Copilot in einer IDE nutzen, bietet GitHub standardmäßig Zero Data Retention für Prompts und Vorschläge:

“GitHub behält keine Prompts oder Vorschläge für die IDE-Nutzung in Copilot Business- und Enterprise-Plänen.”

Das ist die stärkste Retention-Garantie unter den großen KI-Coding-Tools für Enterprise-Pläne. In der Praxis: Wenn Sie eine Code-Vervollständigung oder einen Chat in Ihrer IDE auslösen, wird die Anfrage verarbeitet und die Antwort zurückgegeben — nichts wird gespeichert.

Die Nuance: Diese Zero-Retention-Garantie gilt speziell für IDE-basierte Vervollständigungen und Chats. Für andere Copilot-Oberflächen (github.com-Chat, Mobile, CLI) werden Prompts und Vorschläge auf Business/Enterprise-Plänen 28 Tage aufbewahrt — notwendig für die Thread-History-Funktionalität.

Nutzungs-Telemetrie (pseudonyme Metadaten) wird auf allen Plänen 2 Jahre aufbewahrt — das ist nicht dasselbe wie die Aufbewahrung Ihres tatsächlichen Codes.

GitHubs AVV: Der zugänglichste auf dem Markt

Hier sticht GitHub Copilot wirklich hervor: GitHub veröffentlicht einen frei herunterladbaren Auftragsverarbeitungsvertrag, der Copilot explizit abdeckt.

Verfügbar unter: github.com/customer-terms/github-data-protection-agreement

Der AVV:

  • Deckt GitHub Enterprise Cloud, Teams und GitHub Copilot explizit ab
  • Referenziert EU-Standardvertragsklauseln (SCC) für EWR/UK-Datentransfers
  • Bestätigt Business/Enterprise: kein Training mit Daten
  • Ist ein Standardformular — keine Verhandlung erforderlich, für alle qualifizierenden Kunden verfügbar

Für DSGVO-Artikel-28-Compliance ist das, was Sie brauchen. GitHubs Transparenz hier ist deutlich besser als bei den meisten Wettbewerbern.

Die FISA-702-Herausforderung: Kein AVV kann das lösen

GitHub, Inc. ist eine Tochtergesellschaft der Microsoft Corporation — eines US-Unternehmens. Das schafft eine unauflösbare strukturelle Compliance-Spannung.

Nach FISA Section 702 können US-Geheimdienste US-amerikanische Anbieter elektronischer Kommunikationsdienste zur Offenlegung von Daten über ausländische Zielpersonen verpflichten. Diese Befugnis:

  • Gilt für GitHub/Microsoft unabhängig vom physischen Speicherort der Daten
  • Kann nicht durch SCC gemindert werden — SCC adressieren kommerzielle Transfers, nicht staatliche Zugriffsanordnungen
  • Gilt auch bei 0-Tage-Retention — Daten im Transit bei der Anfrageverarbeitung bleiben zugänglich

Für die meisten EU-Entwickler: Das praktische Risiko ist theoretisch. GitHub verarbeitet enorme Mengen Enterprise-Daten unter FISA-Jurisdiktion ohne bekannte Vorfälle bei Entwickler-Code.

Für regulierte Branchen (Gesundheit, Finanzen, Recht, öffentlicher Sektor): Ihr Datenschutzbeauftragter und Ihre Rechtsabteilung müssen dieses Risiko explizit bewerten, besonders im Rahmen des EU-KI-Gesetzes.

EU-Datenresidenz: Wo verarbeitet Copilot tatsächlich?

GitHub betreibt auf Microsofts globaler Azure-Infrastruktur. Es gibt keine Copilot-spezifische EU-Datenresidenz-Option, die sicherstellt, dass Ihr Code ausschließlich in EU-Rechenzentren verarbeitet wird.

GitHub Enterprise Cloud-Kunden können von Microsofts breiteren Azure-Datenresidenz-Verpflichtungen profitieren, aber diese sind nicht als Copilot-spezifisches Feature dokumentiert. Für die meisten Business-Plan-Kunden werden Daten auf GitHubs global verteilter Infrastruktur verarbeitet.

Praktische Handlungsempfehlungen nach Team-Typ

Einzelne Entwickler (Free/Pro):

  • Melden Sie sich sofort vom Training-Daten-Einsatz ab unter github.com/settings/copilot/features, wenn Sie an Kunden- oder Arbeitgebercodes arbeiten
  • Verstehen Sie: Ihr Code geht unabhängig vom Opt-out-Status auf GitHubs US-Infrastruktur
  • Der Opt-out verhindert Training, nicht Transfer

Kleine Teams (Business-Plan):

  • Wechseln Sie von Free/Pro auf Business für Zero-Retention und AVV-Abdeckung — das ist das DSGVO-Mindestsetup
  • Laden Sie den GitHub AVV herunter und unterzeichnen Sie ihn für formale Artikel-28-Compliance
  • Prüfen Sie, ob Ihre Kunden EU-Datenresidenz vertraglich fordern

Enterprise-Teams in regulierten Branchen:

  • Der AVV ist verfügbar und umfassend
  • Die FISA-702-Exposition erfordert rechtliche Bewertung
  • Dokumentieren Sie Ihre Bewertung im DSGVO-Verzeichnis der Verarbeitungstätigkeiten (VVT)

Öffentlicher Sektor / Behörden:

  • Die meisten EU-Beschaffungsanforderungen verlangen EU-basierte Verarbeitung
  • GitHub Copilot erfüllt diese Anforderungen ohne Microsofts dediziertes Government-Cloud-Produkt wahrscheinlich nicht

Zusammenfassung

FrageFree/ProBusiness/Enterprise
Trainiert mit Ihrem Code?Ja, standardmäßig (Opt-out möglich)Niemals
Zero Data Retention (IDE)?NeinJa
AVV verfügbar?NeinJa — öffentlich herunterladbar
EU-Datenresidenz?NeinNein (globale Infrastruktur)
Unterliegt FISA 702?JaJa (GitHub ist ein US-Unternehmen)
Geeignet für professionelle EU-B2B-Nutzung?Nicht empfohlenJa, mit Bewertung

Fazit: Wenn Sie GitHub Copilot für professionelle EU-Arbeit nutzen, ist Business oder Enterprise der einzige Plan mit einem praktikablen DSGVO-Setup. Free- und Pro-Pläne trainieren standardmäßig mit Ihren Daten und haben keinen AVV. Selbst auf Business/Enterprise erfordern das Fehlen EU-exklusiver Verarbeitung und die FISA-702-Exposition explizite rechtliche Bewertung für regulierte Branchen.

Quellen: docs.github.com/en/copilot, github.com/features/copilot, github.com/customer-terms/github-data-protection-agreement — verifiziert April 2025.

Weitere Artikel

DSGVO GDPR

DSGVO & KI-Coding-Tools: Was europäische Entwickler wissen müssen (2025)

Welche KI-Coding-Tools sind DSGVO-konform? Wir erklären Schrems II, FISA 702, Datenresidenz und welche Fragen du deinem KI-Tool-Anbieter stellen solltest – mit praktischer Checkliste.

DSGVO Cursor

Ist Cursor DSGVO-konform? Was EU-Entwickler wissen müssen

Eine sachliche Analyse des DSGVO-Status von Cursor: Serverstandorte, Privacy Mode, AVV-Verfügbarkeit und was EU-Entwickler vor dem professionellen Einsatz beachten sollten.

DSGVO Startup

DSGVO-Checkliste für Startups: KI-Tools rechtskonform einsetzen (2025)

Wie setzen Startups KI-Tools DSGVO-konform ein? Eine praktische Checkliste mit den wichtigsten Fragen zu Hosting, AVV, Training-Opt-out und Datenkategorien.