GitHub Copilot und Datenschutz: Leitfaden zu Schutzmechanismen & Troubleshooting

So verarbeitet GitHub Copilot deine Daten

Wie wir in unserem Tutorial GitHub Copilot Best Practices behandeln, sendet Copilot beim Tippen in deiner IDE einen Snapshot des umgebenden Code-Kontexts an die Server von GitHub. Das Modell verarbeitet diesen Kontext und liefert einen Vorschlag zurück – das sind die Interaktionsdaten, die das Erlebnis ermöglichen.

Für Nutzerinnen und Nutzer mit Einzelplänen (Free, Pro und Pro+) erlaubt GitHubs Datenschutzerklärung, diese Interaktionsdaten fürs Modelltraining zu verwenden. Du kannst dem jederzeit in deinen persönlichen Datenschutzeinstellungen widersprechen. Business- und Enterprise-Pläne unterliegen separaten vertraglichen Bedingungen, die Interaktionsdaten vollständig vom Training ausschließen – ohne dass du etwas tun musst.

Was als Interaktionsdaten gilt

Im Ruhezustand gespeicherter Code aus privaten Repositories wird nicht verwendet. Interaktionsdaten, die während der aktiven Nutzung von Copilot in einem privaten Repository entstehen, können jedoch fürs Training genutzt werden, sofern du nicht widersprichst. Aber was genau sind „Interaktionsdaten“?

Wenn du Copilot nutzt, sammelt das System mehrere Datentypen, um die Codeunterstützung zu verbessern, darunter: 

• Eingaben und Prompts: Alle Befehle oder Fragen, die du an Copilot Chat oder die CLI sendest. 
• Ausgaben: Codevorschläge oder Textantworten des Modells – inklusive der Information, ob du sie angenommen oder abgelehnt hast. 
• Code-Kontext: Codeschnipsel rund um deine Cursor-Position und Inhalte geöffneter Dateien, um relevante Vorschläge zu liefern. 
• Metadaten und Struktur: Dateinamen, Repository-Struktur und deine Navigationsmuster in der IDE. 
• Nutzerfeedback: Deine Bewertung per Daumen hoch oder runter sowie geschriebene Kommentare.

Unterschiedliche Datenverarbeitung je nach Plan

GitHub bietet mehrere Kontostufen: Free, Pro, Business und Enterprise. Die Datenverarbeitung unterscheidet sich je nach Kontotyp, wie in der Tabelle unten dargestellt. 

Neben dem Opt-out für Einzelpläne gilt vor allem: Business- und Enterprise-User erhalten Inhaltssperren, IP-Freistellung und Orga-weite Admin-Kontrollen, die es in den kostenlosen und individuellen Stufen nicht gibt.  Für einen detaillierten Vergleich jenseits der Datenverarbeitung lies unseren Guide zu GitHub Copilot Plans.

Wichtige Hinweise: Inhaltssperren gelten derzeit nicht für den Edit-Modus, den Agent-Modus in IDE-Chats, die GitHub Copilot CLI oder den Cloud-Agent. Die IP-Freistellung setzt voraus, dass der Duplikaterkennungsfilter aktiviert ist und der Vorschlag unverändert übernommen wird.

Copilots Datenschutzeinstellungen konfigurieren

Datenschutz ist zu einem sehr wichtigen Thema für jedes Unternehmen geworden. Gehen wir durch die Einstellungen, die steuern, ob deine Interaktionen in das Modelltraining von GitHub Copilot zurückfließen.

Opt-out für Free, Pro und Pro+

Für dein persönliches Konto kannst du die Verwendung deiner Daten fürs Modelltraining deaktivieren, indem du in den GitHub-Einstellungen „Allow GitHub to use my data for AI model training“ auf Disabled setzt – wie im Screenshot unten gezeigt. 

Das Opt-out stoppt die zukünftige Datenerfassung und reduziert die Copilot-Funktionalität nicht. GitHub kann jedoch nicht garantieren, dass Daten, die bereits in früheren Trainings verwendet wurden, entfernt werden. Zuvor erhobene Daten können in bestehenden Trainingssätzen verbleiben.

Richtlinien für Organisationen und Enterprises

Business- und Enterprise-Nutzer sind bereits vom Modelltraining ausgeschlossen, aber Admins sollten die Datenfreigaberichtlinien trotzdem prüfen, um zu steuern, welche Copilot-Funktionen in der Orga aktiviert sind:

• Unter Settings > Copilot > Policies verwaltest du Feature-Toggles, Seat-Zuweisungen und die Modellauswahl für alle Mitglieder.
• Orga-Richtlinien überschreiben individuelle Präferenzen, d. h. jede hier gesetzte Einstellung gilt für alle.
• Enterprise-Owner können Richtlinien definieren, die über mehrere Orgas vererbt werden, und den aktuellen Status in einem zentralen Dashboard prüfen.

Copilot-Inhaltssperren nutzen

Du kannst festlegen, dass Copilot auf bestimmte Inhalte nicht zugreifen darf. In den Repository-Einstellungen bestimmst du, welche Inhalte Copilot ignorieren soll. 

So funktionieren Inhaltssperren

Für ausgeschlossene Dateien gilt: 

• Inline-Vorschläge sind nicht verfügbar. 
• Ihr Inhalt wird nicht verwendet, um Vorschläge in anderen Dateien zu machen. 
• Ihr Inhalt wird nicht für die Antworten von GitHub Copilot Chat genutzt.
• Es findet kein Copilot-Code-Review für diese Dateien statt. 

Ausschlüsse können von Repository-Admins, Orga-Ownern und Enterprise-Ownern konfiguriert werden.

Ausschlüsse auf Repository- und Orga-Ebene konfigurieren

Auf Repo-Ebene gehst du zu Settings > Copilot > Content Exclusion und gibst Pfade per Glob-Pattern an. Häufige Muster sind **"**/secrets/**"**, um alle Pfade mit einem secrets-Verzeichnis auszuschließen, und **"*.env"**, um alle Environment-Dateien auszuschließen. 

Die REST API bietet dir eine programmatische Option, wenn du Ausschlüsse über viele Repos hinweg verwalten und deine Konfiguration versionieren möchtest.

Auf Orga-Ebene lautet der Pfad: Org Settings > Copilot > Content Exclusion. Regeln, die du hier setzt, gelten für alle Repos in der Orga.

Orga- und Repo-Regeln sind additiv, beide gelten gleichzeitig. Enterprise-Regeln haben Vorrang vor Orga- und Repo-Regeln.

So prüfst du, ob Ausschlüsse greifen: Öffne eine ausgeschlossene Datei und bitte Copilot Chat, „diese Datei zu erklären“. Wenn der Chat inhaltlich zur Datei antwortet, greift der Ausschluss nicht. Das ist dein Signal, die Erweiterung neu zu laden und die Regelsyntax zu prüfen.

Wichtige Einschränkungen

Beim Einsatz von GitHub Copilot-Inhaltssperren solltest du Folgendes wissen: 

• Copilot CLI, Agent-Modus und Cloud Agents beachten Inhaltssperren (Stand Mitte 2026) nicht.
• Semantisches Durchsickern: Typinformationen und Hover-Definitionen aus ausgeschlossenen Dateien können Vorschläge indirekt beeinflussen.
• Symlinks und Remote-Dateisysteme sind nicht abgedeckt.

Code-Referenzen und der Duplikaterkenner

GitHub Copilot hilft dir, die Quelle vorgeschlagener Codes zu verstehen, indem es auf die Quelle verweist und verlinkt. Wenn du einen solchen Vorschlag annimmst, protokolliert Copilot die URL der Quelle und deren Lizenz. 

Auf Basis dieser Informationen kannst du entscheiden, ob du den Codeausschnitt verwenden möchtest und welche Form der Attribution sinnvoll ist. 

So funktioniert der Duplikatfilter

Wenn Copilot einen Vorschlag generiert, prüft ein Filter gegen bekannten öffentlichen Code. Entspricht der Vorschlag einem öffentlichen Repository über einem Ähnlichkeitsschwellenwert, wird er blockiert oder mit Attribution markiert. 

Wenn du den Vorschlag annimmst, protokolliert Copilot 

• Datum und Uhrzeit der Annahme
• Die Datei, in der der Vorschlag eingefügt wurde
• Einen Auszug des hinzugefügten Codes
• Die Lizenz und die URL der Codequelle

Du kannst Code-Referenzen direkt in deiner IDE sehen, wenn ein Treffer markiert ist. In VS Code erscheinen passende Referenzen im Copilot-Output-Panel neben dem Vorschlag.

Was der Filter nicht erkennt

Der Duplikatfilter erkennt Folgendes nicht: 

• Kurzschnipsel und gängige Muster, die zu generisch sind.
• Code, der umstrukturiert oder teilweise aus einer Quelle verändert wurde.

Ziel des Filters ist es, wortgleiche bzw. nahezu wortgleiche Übereinstimmungen zu finden, nicht konzeptionelle Ähnlichkeiten.

IP-Freistellung und vertragliche Absicherung

GitHub bietet Kundinnen und Kunden von Copilot Business und Enterprise eine Freistellung bei Ansprüchen zum geistigen Eigentum (IP). Wenn ein Vorschlag einen IP-Anspruch auslöst, übernimmt GitHub die rechtliche Verteidigung. 

Es gelten zwei Bedingungen: 

1. Der Duplikatfilter muss aktiviert sein.
2. Du musst einen berechtigten Plan nutzen.

Free- und Pro-Nutzende sind nicht abgedeckt. Es handelt sich um eine kommerzielle Absicherung, die Treffer nicht verhindert, aber das Risiko abdeckt, falls daraus ein Rechtsproblem entsteht.

Copilot-Richtlinien auf GitHub.com verwalten

Auf der Copilot-Richtlinieseite auf GitHub.com steuern Orga- und Enterprise-Admins, was Copilot teamweit darf. 

Copilot-Features ein- und ausschalten

Admins können Code Completions, Chat, Code-Review, die GitHub-CLI-Integration und den Agent-Modus unabhängig voneinander umschalten. Diese Granularität ist wichtig, wenn du Features schrittweise ausrollen oder bestimmte Funktionen für Teams einschränken möchtest. 

Auch die Seat-Vergabe erfolgt hier: Du steuerst, wer Zugriff bekommt, und kannst Seats nach User oder Gruppe zuweisen.

Zulässige KI-Modelle konfigurieren

Copilot unterstützt inzwischen mehrere zugrunde liegende Modelle, und Admins können einschränken, welche Modelle in der Orga verfügbar sind. Du kannst auf ein bestimmtes Modell festsetzen oder alle verfügbaren Optionen erlauben und die Developer wählen lassen. 

Für Behörden und regulierte Umgebungen unterstützt GitHub FedRAMP-konforme Modelloptionen. 

Prüfe die Copilot-Richtlinieneinstellungen im Copilot-Tab deiner Orga, um zu sehen, was in deiner Kontostufe verfügbar ist.

Audit und Compliance

Copilot-Nutzungsmetriken, inklusive Completion-Raten, aktiver Nutzerzahlen sowie Feature- und Modelltrends, findest du im Tab Insights auf Enterprise- und Orga-Ebene (Insights > Copilot usage). 

Die Richtlinie „Copilot usage metrics“ muss aktiviert sein, bevor das Dashboard zugänglich ist. Aufschlüsselungen pro Mitglied sind per NDJSON-Export verfügbar. 

Seat- und Lizenzdaten sind separat und befinden sich unter Org Settings > Copilot > Access.

Für Details zur neuen Usage-Metrics-API und weiteren Advanced-Features lies unseren Guide zu GitHub Copilot Enterprise.

Beachte, dass das Audit-Log keine Client-Session-Daten wie Prompts enthält; dafür ist eine Custom-Lösung nötig. Um Historie über 180 Tage hinaus zu behalten oder Anomalie-Alarme einzurichten, empfiehlt GitHub, das Audit-Log per integrierter Streaming-Funktion an eine SIEM-Plattform zu streamen.

GitHub Copilot: Troubleshooting

Wenn Copilot nicht mehr funktioniert, liegt es fast immer an einem der folgenden Punkte. Gehe diese durch, bevor du ein Support-Ticket eröffnest.

Fehlende oder gestoppte Vorschläge

Starte mit dem Copilot-Statussymbol in der Statusleiste deiner IDE. Ein diagonaler Strich durch das Symbol bedeutet, dass für die aktuelle Datei eine Inhaltssperre aktiv ist. 

Wenn das Symbol normal aussieht, aber keine Vorschläge erscheinen, prüfe der Reihe nach: 

• Aktualisiere deine IDE und die Copilot-Erweiterung auf die neueste Version.
• Stelle sicher, dass dein Abo aktiv ist und dein Account einen Seat zugewiesen hat.
• Überprüfe Inhaltssperren für die aktuelle Datei und das Repo und teste deine Netzwerkverbindung. 

Proxy- und VPN-Konfigurationen sind ein häufiger stiller Blocker. Die IDE muss Copilot-Server in der GitHub-Infrastruktur erreichen, und Unternehmens-Proxies blocken das manchmal ohne klare Fehlermeldung.

Inhaltssperre verhält sich unerwartet

Nachdem du Inhaltssperren hinzugefügt oder geändert hast, kann es bis zu 30 Minuten dauern, bis sie in IDEs greifen, in denen die Einstellungen bereits geladen sind. 

So setzt du Änderungen sofort durch: 

• In VS Code öffne die Command Palette und führe Developer: Reload Window aus. 
• In JetBrains-IDEs und Visual Studio: Anwendung schließen und neu öffnen. 
• In Vim/Neovim ist nichts nötig; Ausschlüsse werden beim Öffnen einer Datei automatisch geholt.

Teste den Ausschluss nach dem Neuladen explizit: Öffne die ausgeschlossene Datei und bitte den Chat, sie zu erklären. Wenn der Chat Inhalte zur Datei liefert, greift der Ausschluss nicht – prüfe die Regelsyntax.

Beachte, dass drei Copilot-Features keine Inhaltssperren unterstützen: Copilot CLI, der cloudbasierte Copilot Coding Agent und der Agent-Modus im Copilot Chat in IDEs. Unerwartete Dateizugriffe dort sind kein Konfigurationsfehler.

Authentifizierungs- und Token-Probleme

Wenn Copilot in VS Code trotz Anmeldung nicht verfügbar ist, melde dich über das Accounts-Icon unten links ab, lade das Fenster neu (F1 > Developer: Reload Window in VS Code) und melde dich erneut an.

Für Visual Studio: Stelle sicher, dass das angemeldete GitHub-Konto dem mit dem Copilot-Seat entspricht, aktualisiere bei Bedarf deine Anmeldedaten oder entferne und füge dein GitHub-Konto erneut hinzu und starte Visual Studio neu.

Rate Limiting

Copilot setzt auf nutzungsbasierte Abrechnung, d. h. jeder Plan hat eigene Kapazitätsgrenzen, und Premium-Modelle verbrauchen diese schneller als Basismodelle. 

Wenn Vorschläge mitten in der Session stoppen oder Copilot Chat Fehler zurückgibt, kann das Umschalten auf Auto-Modellauswahl (oder ein Modell mit geringerem Multiplikator) helfen, bis das Nutzungsfenster zurückgesetzt ist. 

Enterprise-Admins können die Nutzung proaktiv im Copilot-Analytics-Dashboard überwachen, um Limits zuvorzukommen. 

Bei Service-Problemen schau zuerst auf githubstatus.com, bevor du lokal Zeit ins Debuggen steckst.

Zum Schluss

GitHub Copilot gibt Teams echte Kontrolle darüber, wie ihre Daten verarbeitet werden – von vertraglichen Schutzmechanismen auf Plan-Ebene bis hin zu granularen Inhaltssperren und dem Duplikatfilter. 

Wenn du diese Einstellungen verstehst (und korrekt konfigurierst), kannst du Copilot mit gutem Gefühl einsetzen – als einzelne Entwicklerin, einzelner Entwickler oder in der gesamten Enterprise. Und falls etwas hakt, bringen dich die obigen Troubleshooting-Schritte schnell wieder auf Kurs.

Wenn du GitHub Copilot praktisch ausprobieren, es anpassen und alle smarten Funktionen nutzen willst, empfehle ich dir unseren Kurs Software Development with GitHub Copilot wärmstens.