GitHub Copilot AVV und DSGVO: Leitfaden für deutsche Unternehmen
Kurzantwort
GitHub Copilot enthält einen AVV über Microsofts Standard-DPA. Für den DSGVO-konformen Einsatz in Deutschland benötigen Sie Copilot Business oder Enterprise mit aktivierter EU-Datenhaltung und einem unterzeichneten Auftragsverarbeitungsvertrag, bevor personenbezogene Daten verarbeitet werden.
- Nur Copilot Business oder Enterprise nutzen – Individual-Pläne enthalten keinen AVV und dürfen nicht für geschäftlichen Code verwendet werden.
- Den GitHub-AVV unterzeichnen und bestätigen, dass er Ihren konkreten Tarif und Ihre Datenverarbeitungszwecke abdeckt.
- EU-Datenhaltung für Enterprise aktivieren, um Inferenz und Datenverarbeitung in Microsoft-Azure-EU-Regionen zu gewährleisten.
- Den Betriebsrat nach §87 Abs. 1 Nr. 6 BetrVG vor dem Rollout einbinden.
GitHub Copilot enthält einen Auftragsverarbeitungsvertrag über Microsofts Standard-AVV – für den DSGVO-konformen Einsatz in Deutschland benötigen Sie jedoch Copilot Business oder Enterprise mit aktivierter EU-Datenhaltung und einem unterzeichneten AVV, bevor personenbezogene Daten das System passieren. Einkauf, Rechtsabteilung und Entwicklungsleitung müssen fünf Bereiche prüfen: AVV-Struktur, EU-Datenhaltungsoptionen, DSGVO-Anforderungen, arbeitsrechtliche Pflichten nach BetrVG sowie Urheberrechtsfragen nach deutschem Recht. Einen Überblick über weitere KI-Tools für den deutschen Unternehmenseinsatz finden Sie in der KI-Tools-Übersicht.
Verfügt GitHub Copilot über einen Auftragsverarbeitungsvertrag (AVV)?
Ja – GitHub Copilot enthält einen Auftragsverarbeitungsvertrag für Business- und Enterprise-Abonnenten. Der GitHub-AVV ist Bestandteil des GitHub-Kundenvertrags und begründet Microsoft/GitHub als Auftragsverarbeiter gemäß Art. 28 DSGVO. Ohne unterzeichneten AVV fehlt die Rechtsgrundlage für die Übertragung personenbezogener Daten – einschließlich Code, der Mitarbeiterkenndaten oder Kundendaten enthält – an GitHubs Infrastruktur.
So erhalten Sie den GitHub-AVV:
- Prüfen Sie den GitHub Data Protection Agreement, der als Teil des GitHub-Kundenvertrags veröffentlicht ist. Enterprise-Kunden sollten sicherstellen, dass GitHub Copilot ausdrücklich in den Geltungsbereich fällt – dies kann je nach Vertragsversion variieren.
- Bestätigen Sie, dass Ihr Tarif abgedeckt ist. Copilot-Individual-Abonnenten sind nicht durch den AVV geschützt und dürfen den Dienst nicht für die geschäftliche Verarbeitung von Code nutzen.
- Wenn Ihr Unternehmen einen gesondert unterzeichneten AVV benötigt, nehmen Sie Kontakt mit GitHub Enterprise Sales auf. Bei größeren Rollouts werden häufig ergänzende Datenschutzklauseln verhandelt.
Was der GitHub-AVV regelt:
- Art. 28-DSGVO-Auftragsverarbeiterpflichten – GitHub verpflichtet sich, personenbezogene Daten nur gemäß Ihren dokumentierten Weisungen zu verarbeiten.
- Unterauftragsverarbeiter – GitHub veröffentlicht die Liste der Unterauftragsverarbeiter einschließlich der Microsoft-Azure-Infrastruktur. Enterprise-Kunden können Ergänzungen widersprechen.
- Trainingsausschluss – Der AVV bestätigt vertraglich, dass Code von Business- und Enterprise-Kunden nicht für das Modelltraining genutzt wird.
- Datenlöschung – Prompts und Vorschläge werden transient behandelt; der AVV legt Aufbewahrungsfristen und Löschpflichten fest.
- Technisch-organisatorische Maßnahmen – Sicherheitsmaßnahmen sind im GitHub Security Addendum beschrieben.
- Meldepflichten bei Datenpannen – GitHub verpflichtet sich zur unverzüglichen Benachrichtigung bei Sicherheitsvorfällen.
- Prüfrechte – Kunden können Drittprüfungen der Compliance-Einhaltung durch GitHub beauftragen.
Ist Code personenbezogenes Datum? Code selbst ist in der Regel kein personenbezogenes Datum. Enthält er jedoch Kommentare mit Mitarbeiternamen, Kundenkennungen, E-Mail-Adressen oder API-Schlüsseln, kann es sich um personenbezogene Daten handeln. Legen Sie in einer Betriebsvereinbarung oder internen Nutzungsrichtlinie fest, was Entwickler in Copilot-Prompts eingeben dürfen.
Eine Übersicht der Pflichten nach Art. 28 DSGVO finden Sie im AVV-Leitfaden.
GitHub Copilot EU-Datenhaltung
Die EU-Datenhaltung legt fest, in welchen Rechenzentren GitHub Copilot Inferenzanfragen verarbeitet und zugehörige Telemetrie speichert. Für deutsche Unternehmen mit strikten Datensouveränitätsanforderungen, regulatorischen Pflichten oder öffentlichen Beschaffungsauflagen ist dies eine zentrale Compliance-Voraussetzung.
Copilot Enterprise: EU-Datenhaltung verfügbar. GitHub Copilot Enterprise unterstützt EU-Datenhaltung über Microsoft-Azure-EU-Regionen, darunter Frankfurt (Germany West Central) und die Niederlande (West Europe). Bei aktivierter EU-Datenhaltung erfolgen Inferenzanfragen und die zugehörige Datenverarbeitung innerhalb der EU. Das ist eine wesentliche Anforderung für Unternehmen in Finanzdienstleistungen, Gesundheitswesen und im öffentlichen Sektor, für die Datenlokalisierung gesetzlich vorgeschrieben ist.
Copilot Business: SCC-gestützte Transfers. Copilot Business bietet nicht die gleiche konfigurierbare EU-Datenhaltung wie Enterprise. Daten können auf globaler Microsoft-Azure-Infrastruktur verarbeitet werden, abgesichert durch Standardvertragsklauseln (SCCs) nach DSGVO Kapitel V. Für die meisten deutschen Unternehmen mit Standard-Produktivitätsanforderungen sind SCC-gestützte Transfers rechtlich ausreichend. Regulierte Branchen sollten prüfen, ob branchenspezifische Vorschriften eine explizite EU-Datenhaltung verlangen.
SOC 2 und ISO-Zertifizierungen. GitHub verfügt über SOC 2 Typ II und ISO 27001 Zertifizierungen für die Enterprise-Infrastruktur. Diese Zertifizierungen sind für DSGVO-Art.-32-Bewertungen technisch-organisatorischer Maßnahmen und für Unternehmens-Beschaffungsanforderungen relevant. Kopien sind unter NDA über das GitHub-Enterprise-Account-Team oder das GitHub Trust Center erhältlich.
GitHub Copilot und DSGVO
GitHub Copilot kann rechtssicher eingesetzt werden, wenn drei Bedingungen erfüllt sind:
- Copilot Business oder Enterprise ist gewählt. Diese Tarife enthalten den Auftragsverarbeitungsvertrag, organisationsweite Richtlinienkontrollen und die vertragliche Zusicherung, dass Kundendaten nicht für das Modelltraining genutzt werden. Der Individual-Plan enthält keinen AVV und darf für die geschäftliche Verarbeitung von Code nicht verwendet werden.
- Der GitHub-AVV ist unterzeichnet und in seinem Anwendungsbereich bestätigt. Ohne ihn fehlt die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch das Tool.
- Datenverarbeitungseinstellungen sind korrekt konfiguriert. Telemetrieeinstellungen, Snippet-Aufbewahrung und die Nutzung für Modellverbesserungen müssen je Deployment überprüft und festgelegt werden.
GitHub erklärt ausdrücklich, dass Code von Business- und Enterprise-Kunden nicht für das Training von Copilot-Modellen verwendet wird. Das ist der entscheidende datenschutzrechtliche Unterschied zur privaten oder unkontrollierten Nutzung: Eine Verarbeitung für Trainingszwecke ohne tragfähige Rechtsgrundlage wäre unzulässig.
GitHub Advanced Security und DSGVO-Compliance
GitHub Advanced Security (GHAS) ist ein Add-on für GitHub Enterprise mit SAST (statische Anwendungssicherheitstests), Secret Scanning, Dependency Review und Lizenz-Compliance-Tooling. Für DSGVO-pflichtige Unternehmen ist GHAS in zweierlei Hinsicht relevant: Es stärkt die Sicherheitsarchitektur nach Art. 32 DSGVO und bringt eigene Datenverarbeitungsaspekte mit sich, die durch den GitHub-AVV abgedeckt sein müssen.
Secret Scanning und DSGVO. GHAS Secret Scanning erkennt automatisch API-Schlüssel, Token, Passwörter und Zertifikate, die in Repositories eingecheckt wurden. Unter der DSGVO können Authentifizierungstoken als pseudonyme personenbezogene Daten gelten, wenn sie Personen zugeordnet werden können. Die Verarbeitung durch GHAS ist durch den AVV abgedeckt. Ihre interne Richtlinie sollte festlegen, wie mit erkannten Secrets umgegangen wird und wer Zugriff auf Scan-Ergebnisse hat.
Dependency Review und Art. 32 DSGVO. GHAS Dependency Review identifiziert bekannte Schwachstellen (CVEs) in Open-Source-Abhängigkeiten. Für Unternehmen, die in mit Copilot entwickelten Anwendungen personenbezogene Daten verarbeiten, unterstützt eine aktuelle Dependency-Inventory die DSGVO-Art.-32-Anforderungen an die Softwareaktualität.
SAST und Code Scanning. Code Scanning analysiert Copilot-generierten und manuell geschriebenen Code auf Sicherheitslücken. Für sicherheitsrelevante Entwicklungskontexte – Finanzsysteme, Gesundheitswesen, E-Commerce mit Personendaten – ist automatisiertes SAST eine empfohlene technische Maßnahme nach Art. 32 DSGVO und eine Anforderung regulatorischer Stellen wie BaFin (Finanzdienstleistungen) und BSI (IT-Grundschutz).
GitHub Advanced Security für die DSGVO: Die Kombination aus Copilot Enterprise und GHAS bietet die stärkste Ausrichtung zwischen KI-gestützten Entwicklungsworkflows und den Anforderungen nach Art. 32 DSGVO.
GitHub Copilot Business vs. Enterprise: Datenschutz- und Compliance-Vergleich
| Merkmal | Copilot Business | Copilot Enterprise |
|---|---|---|
| Auftragsverarbeitungsvertrag (AVV) | Ja | Ja |
| Trainingsausschluss | Ja | Ja |
| EU-Datenhaltung | Nein (SCC-gestützt) | Ja (Azure-EU-Regionen) |
| IP-Freistellung | Nein | Ja |
| GitHub Advanced Security Integration | Nein | Ja |
| Privates Model-Finetuning | Nein | Ja |
| SOC 2 Typ II / ISO 27001 | Ja | Ja |
| Audit-Log-Zugriff | Organisationsebene | Unternehmensebene, erweitert |
| SSO / SAML | Ja | Ja, mit erweiterten Kontrollen |
| Policy-Management | Organisation | Unternehmen |
Für die meisten deutschen Unternehmen beim Erst-Rollout bietet Copilot Business ausreichende DSGVO-Compliance: AVV, Trainingsausschluss und SOC 2. Copilot Enterprise empfiehlt sich, wenn EU-Datenhaltung für regulierte Branchen oder öffentliche Beschaffung erforderlich ist, IP-Freistellung Vertragsvoraussetzung ist oder GitHub Advanced Security im Scope liegt.
Weitere Informationen zu verwandten Microsoft-Tools finden Sie im Microsoft-365-Copilot-Datenschutz-Leitfaden.
Deutsches Recht: BetrVG und DSGVO Art. 28
Der Einsatz von GitHub Copilot im deutschen Betrieb erfordert in den meisten Unternehmen ab fünf Beschäftigten die Einbindung des Betriebsrats vor dem Rollout – nicht als Höflichkeitsgeste, sondern als rechtliche Pflicht.
Wann Mitbestimmungsrechte greifen:
- §87 Abs. 1 Nr. 6 BetrVG – Einführung technischer Einrichtungen, die das Verhalten oder die Leistung der Arbeitnehmer überwachen können. Wenn Copilot Nutzungsprotokolle, Akzeptanzraten oder Entwickleraktivitätsdaten erzeugt, auf die die Unternehmensleitung zugreifen kann, ist dieser Tatbestand in der Regel erfüllt. Der Überwachungszweck ist dabei unerheblich – die bloße Möglichkeit zur Überwachung begründet das Mitbestimmungsrecht.
- §87 Abs. 1 Nr. 13 BetrVG – Grundlegende Änderungen von Arbeitsverfahren und Arbeitsabläufen. Copilot verändert die Arbeitsweise von Entwicklern wesentlich. Selbst wenn ein vorheriges Tool per Betriebsvereinbarung geregelt wurde, kann ein neues KI-Coding-Tool eine erneute Konsultation erfordern.
Inhalt der Betriebsvereinbarung:
Eine Betriebsvereinbarung für GitHub Copilot sollte mindestens regeln:
- Zulässige Anwendungsfälle und Code-Kategorien, für die Copilot eingesetzt werden darf.
- Welche Daten an GitHub übermittelt werden (Prompts, Snippets) und den AVV-Status.
- Protokollierungskonfigurationen und Zugriffsrechte der Unternehmensleitung.
- Transparenzrechte der Entwickler – was aufgezeichnet wird und wie lange.
- Ob Copilot-Nutzungsstatistiken in Leistungsbeurteilungen einfließen dürfen.
- Regelungen für Vibe-Coding-Workflows, wenn diese eingeführt werden sollen.
DSGVO Art. 35 – Datenschutz-Folgenabschätzung (DSFA). Prüfen Sie vor dem Deployment, ob eine DSFA erforderlich ist. Für Standard-Entwicklertool-Rollouts ohne besondere Kategorien personenbezogener Daten ist sie in der Regel nicht obligatorisch. Eine dokumentierte Risikoabschätzung wird dennoch als Nachweis der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO empfohlen.
Hinweis zu §26 BDSG: Werden durch Unternehmenssysteme die von Entwicklern akzeptierten oder abgelehnten Copilot-Vorschläge erfasst, findet §26 Bundesdatenschutzgesetz (BDSG) neben der DSGVO Anwendung. Die Verarbeitung beschäftigtenbezogener Daten bedarf einer besonderen Rechtsgrundlage.
IP-Eigentumsrechte und Urheberrecht in Deutschland
Nach §7 Urheberrechtsgesetz (UrhG) entsteht das Urheberrecht an einem Werk beim menschlichen Schöpfer. Für KI-generierte Werke sieht das deutsche Urheberrecht derzeit keine Schutzfähigkeit vor:
- KI-generierter Code ist nach deutschem Recht nicht urheberrechtlich schutzfähig. Dritte, die durch dasselbe KI-Modell identischen Code erhalten, können ihn ebenfalls ungehindert verwenden.
- Die IP-Freistellung von Microsoft (Enterprise-Tarif) schützt gegen Urheberrechtsklagen Dritter – sie begründet jedoch keinen Urheberrechtsschutz, der nach deutschen Recht nicht besteht.
Empfohlene Schutzmaßnahmen:
- Duplikaterkennung aktivieren, um GPL-Kontaminationsrisiken zu minimieren.
- KI-Vorschläge vor der Übernahme prüfen, insbesondere bei verbreiteten Utility-Funktionen.
- Prüfprozess dokumentieren als Nachweis menschlicher schöpferischer Beteiligung.
- Kundenverträge auf IP-Übertragungsklauseln für KI-generierten Code prüfen.
Checkliste für den GitHub-Copilot-Rollout in Deutschland
Vor dem unternehmensweiten Einsatz von GitHub Copilot in Deutschland:
- Richtigen Tarif wählen – Ausschließlich Copilot Business oder Enterprise. Individual-Nutzung für geschäftlichen Code ausschließen und dokumentieren.
- AVV prüfen und bestätigen – Sicherstellen, dass der GitHub-AVV aktiv ist und Ihren Tarif sowie Ihre Datenkategorien abdeckt.
- EU-Datenhaltung konfigurieren – Bei regulatorischen Anforderungen oder Beschaffungsauflagen EU-Datenhaltung aktivieren (nur Enterprise).
- Datenverarbeitungseinstellungen konfigurieren – Nutzung für Modellverbesserung deaktivieren; Telemetrie-Einstellungen und Aufbewahrungsfristen prüfen.
- IP-Implikationen prüfen – Interne Richtlinie zu Code-Review, Commit-Annotationen und Kundenvertragsklauseln entwickeln.
- Betriebsrat einbinden – Konsultation vor dem Rollout beginnen; Betriebsvereinbarung zu §87 Abs. 1 Nr. 6 BetrVG abschließen.
- KI-Verordnungsrisiko klassifizieren – Jeden Copilot-Anwendungsfall dem EU-AI-Act-Risikorahmen zuordnen und Pflichten ableiten.
- Entwicklungsteams schulen – Kommunizieren, was in Prompts erlaubt ist; Schulung als Compliance-Nachweis dokumentieren.
So hilft Compound Law
Compound Law unterstützt deutsche und DACH-Unternehmen bei:
- AVV-Prüfung und Gap-Analyse – Überprüfung, ob der GitHub-AVV Ihren Copilot-Tarif, Unterauftragsverarbeiter und Datenkategorien abdeckt.
- EU-Datenhaltungsbewertung – Beratung, ob EU-Datenhaltung für Ihre Branche und Beschaffungssituation rechtlich erforderlich ist.
- Urheberrechtsanalyse – Bewertung der IP-Eigentumsrechte an KI-generiertem Code nach §7 UrhG und Beratung zu Vertragsklauseln für Kundenlieferungen.
- Betriebsratsstrategie – Ausarbeitung von Betriebsvereinbarungen und Begleitung der Mitbestimmungskonsultation für KI-Coding-Tool-Rollouts.
- KI-Verordnungs-Risikoklassifikation – Zuordnung von Copilot-Anwendungsfällen zu EU-AI-Act-Risikokategorien und Beratung zu Transparenz-, Dokumentations- und Aufsichtspflichten.
Häufig gestellte Fragen
Verfügt GitHub Copilot über einen Auftragsverarbeitungsvertrag (AVV)?
Ja. GitHub stellt für Copilot Business und Enterprise einen Auftragsverarbeitungsvertrag bereit. Dieser begründet Microsoft/GitHub als Auftragsverarbeiter gemäß Art. 28 DSGVO und regelt Unterauftragsverarbeiter, Datenlöschung, Sicherheitsmaßnahmen und Meldepflichten. Individual-Nutzer erhalten keinen AVV und dürfen den Dienst nicht für die Verarbeitung von Geschäftscode nutzen.
Ist GitHub Copilot DSGVO-konform?
Ja, GitHub Copilot kann DSGVO-konform betrieben werden, wenn Copilot Business oder Enterprise gewählt, der Microsoft-GitHub-AVV unterzeichnet und die Datenverarbeitungseinstellungen konfiguriert werden. Individual-Pläne enthalten keinen AVV und sind für die geschäftliche Nutzung nicht geeignet.
Bietet GitHub Copilot eine EU-Datenhaltung an?
GitHub Copilot Enterprise unterstützt EU-Datenhaltung über Microsoft-Azure-EU-Regionen (Frankfurt, Niederlande). Copilot Business nutzt SCC-gestützte Transfers über globale Azure-Infrastruktur. Für regulierte Branchen oder öffentliche Beschaffung mit zwingenden EU-Datenhaltungsanforderungen empfiehlt sich Enterprise.
Was ist der Unterschied zwischen GitHub Copilot Business und Enterprise für die DSGVO?
Beide Pläne enthalten den GitHub-AVV und den Trainingsausschluss. Enterprise ergänzt konfigurierbare EU-Datenhaltung, IP-Freistellung, GitHub Advanced Security und erweiterten Audit-Log-Zugriff auf Unternehmensebene. Enterprise empfiehlt sich für Finanzdienstleistungen, Gesundheitswesen, öffentlichen Sektor und alle Deployments, bei denen Datensouveränität oder IP-Freistellung vertraglich gefordert wird.
Darf ich GitHub Copilot in meinem deutschen Unternehmen einsetzen?
Ja, mit der richtigen Konfiguration: Copilot Business oder Enterprise wählen, GitHub-AVV unterzeichnen, Datenverarbeitungseinstellungen festlegen, Betriebsratspflichten nach §87 BetrVG prüfen und eine IP-Richtlinie für KI-generierten Code erarbeiten.
Verwendet GitHub Copilot meinen Code für das Modelltraining?
Bei Copilot Business und Enterprise verpflichtet sich GitHub vertraglich, Ihren Code nicht für das Training von Copilot-Modellen zu verwenden. Individual-Nutzer sind nicht geschützt. Bestätigen Sie den aktuellen Stand im GitHub-AVV und der Datenschutzdokumentation vor dem Deployment.
Wem gehört der von GitHub Copilot generierte Code?
GitHub beansprucht kein Eigentum an den von Ihnen akzeptierten Vorschlägen. Nach §7 UrhG haben KI-generierte Werke keinen Urheber und sind nicht urheberrechtlich schutzfähig. Dritte, die durch dasselbe KI-Modell identischen Code erhalten, können diesen ebenfalls ungehindert nutzen.
