GitHub Copilot — DSGVO-Compliance-Profil

DSGVO-Compliance

Ausschließliche EU-Datenhaltung

Inferenz verbleibt in der EU

Auftragsverarbeitungsvertrag (AVV) ↗(online acceptance)

Kein Training mit Kundendaten

Opt-out möglich

Standardvertragsklauseln (SCC)

Angemessenheitsbeschluss (Hauptsitz)

EU + SCCAVVKein Training

Datenverarbeitung

Regionen

US, CA, BE, DE, IS, SG

GitHub gibt an, dass personenbezogene Daten in der lokalen Region, in den Vereinigten Staaten und in anderen Ländern gespeichert und verarbeitet werden können, in denen GitHub-Tochtergesellschaften, verbundene Unternehmen oder Unterauftragsverarbeiter tätig sind. Die öffentliche Liste der Unterauftragsverarbeiter von GitHub weist KI-Inferenz und damit verbundene Verarbeitungsvorgänge in den Vereinigten Staaten, Kanada, Belgien, Deutschland, Island und Singapur aus, abhängig vom jeweiligen Anbieter. Es wurde keine GitHub-Copilot-Dokumentation gefunden, die eine ausschließlich in der EU erfolgende Verarbeitung für die Inferenz garantiert.

Aufbewahrungsrichtlinie

Für Copilot Business und Copilot Enterprise gibt GitHub an, dass Kundendaten nicht zum Training von KI-Modellen verwendet werden und durch den GitHub-Auftragsverarbeitungsvertrag (AVV) geschützt sind. In der allgemeinen Datenschutzerklärung von GitHub heißt es, dass personenbezogene Daten aufbewahrt werden, solange das Konto aktiv ist und soweit dies für vertragliche, rechtliche, streitbeilegungsbezogene und durchsetzungsbezogene Zwecke erforderlich ist. Konkrete Copilot-bezogene Telemetriebeispiele in der Dokumentation umfassen eine Aufbewahrungsfrist von 90 Tagen für Aktivitäts-/Authentifizierungsmetriken und eine Aufbewahrungsfrist von 28 Tagen für Telemetriedaten zu benutzerdefinierten Modellen, wenn diese optionale Funktion aktiviert ist.

Weitere Details

GitHub gibt an, dass Kundendaten aus Copilot Business oder Copilot Enterprise nicht zum Training von KI-Modellen verwendet werden. In der Dokumentation zum Modell-Hosting heißt es, GitHub habe mit OpenAI für Copilot, mit Anthropic für allgemein verfügbare Funktionen und mit xAI für Grok Code Fast 1 Vereinbarungen zur Null-Datenspeicherung getroffen; Google erklärt, dass Prompts/Antworten nicht zum Training seiner Modelle verwendet werden. Für individuelle Copilot-Free-/Pro-/Pro+-Tarife gibt GitHub an, dass es ab dem 24. April 2026 Interaktionen, einschließlich Eingaben, Ausgaben, Code-Snippets und zugehörigem Kontext, für das Modelltraining verwenden kann, mit einer persönlichen Opt-out-Einstellung.

Unterauftragsverarbeiter

✓Offengelegt ↗(enthält EU-Einheiten)

Zertifizierungen & EU-KI-Verordnung

Keine Zertifizierungen angegeben.

Status EU-KI-Verordnung

monitoring

GitHub erklärt öffentlich, dass es den Responsible AI Standard von Microsoft befolgt, die Implementierung am NIST AI Risk Management Framework ausrichtet und für seine KI-Produkte eine Responsible AI Impact Assessment sowie Sicherheits- und Datenschutzprüfungen abgeschlossen hat. Es wurde keine Aussage aus einer Primärquelle gefunden, die ausdrücklich eine Konformität von GitHub Copilot mit dem EU AI Act beansprucht.

Verifizierung

Zuletzt verifiziert2026-04-11

Verifiziert vonKI-gestützter Entwurf (ausstehende Überprüfung)

Preismodellfree tier

Quellen

Hinweise

GitHub stellt einen öffentlichen AVV, eine Datenschutzerklärung und eine Liste der Unterauftragsverarbeiter bereit, und für Daten von Copilot Business/Enterprise wird ausdrücklich angegeben, dass diese nicht für das Training von KI-Modellen verwendet werden. GitHub garantiert jedoch öffentlich keine ausschließlich auf die EU beschränkte Inferenz für Copilot, und die offengelegten KI-Unterauftragsverarbeiter/Auftragsverarbeiter umfassen mehrere Nicht-EU-Länder, insbesondere die Vereinigten Staaten. Für Copilot konnte aus einer aktuellen Primärquelle keine produktspezifische Sicherheitszertifizierung bestätigt werden; Zertifizierungen bleiben daher leer.