GitHub Copilot Datentraining-Richtlinie im Jahr 2026
GitHub Copilot verwendet standardmäßig Interaktionsdaten einiger Nutzer für das Modelltraining. Hier erfahren Sie, was sich geändert hat und was Entwickler überprüfen sollten.
Ich habe die Copilot-Einstellungsseite an einem Montagmorgen geöffnet. Der Schalter war bereits da, unter „Datenschutz”, wartend. „GitHub erlauben, meine Daten für das Training von KI-Modellen zu verwenden.” Standardzustand: aktiviert.
Ich bin Dora. Das hier ist kein Datenschutz-Rant. So etwas schreibe ich nicht. Aber die Änderung vom 24. April 2026 ist die Art von Anbieter-Richtlinienaktualisierung, die still und leise neu definiert, was ein Tool eigentlich ist — und das ist wichtig, weil Copilot in vielen Workflows eine tragende Rolle spielt, auch in meinem. Wenn du einen persönlichen Plan hast und die Änderung noch nicht überprüft hast, werden deine Interaktionsdaten seit ungefähr zwei Wochen als Trainingsmaterial verwendet.
Dieser Beitrag dokumentiert was sich geändert hat, wen es betrifft und was Teams überprüfen sollten, bevor sie Copilot als gesetzt betrachten. Ich sage dir nicht, dass du es verlassen sollst. Ich sage dir, dass die Frage schwieriger geworden ist.
Was GitHub am 24. April 2026 geändert hat
Am 25. März gab GitHub 30 Tage Vorankündigung. Am 24. April trat die Richtlinie in Kraft. Die Zusammenfassung, klar ausgedrückt: Interaktionsdaten von Copilot Free-, Pro- und Pro+-Nutzern fließen nun standardmäßig in das Modelltraining ein, es sei denn, der Nutzer widerspricht. Business und Enterprise sind ausgenommen. Den vollständigen Text findest du in der offiziellen Richtlinienankündigung von GitHub.
Das war bisher Opt-in. Jetzt ist es Opt-out. Das ist die strukturelle Änderung.
Welche Pläne betroffen sind
Drei persönliche Pläne sind betroffen: Copilot Free, Copilot Pro, Copilot Pro+. Business und Enterprise sind ausdrücklich ausgenommen — GitHub sagt, dass vertragliche Verpflichtungen gegenüber diesen Kunden die Verwendung ihrer Interaktionsdaten für das Training verbieten, und diese Verpflichtungen werden eingehalten. Studenten und Lehrer mit kostenlosem Copilot Pro-Zugang sind laut den GitHub Community FAQ ebenfalls ausgenommen.
Das Muster ist erkennbar. Enterprise-Verträge erhalten stärkere Garantien. Einzelne zahlende Kunden — ja, auch Pro+ an der Spitze der persönlichen Leiter — erhalten die Opt-out-Variante.
Welche Daten für das Training verwendet werden können
Die Richtlinie verwendet den Begriff „Interaktionsdaten”. Das umfasst mehr, als die meisten Menschen annehmen:
- Eingaben, die du an Copilot sendest: Prompts, Chat-Nachrichten, der Code rund um deinen Cursor.
- Ausgaben, die Copilot zurückgibt: Vorschläge, Vervollständigungen, Chat-Antworten.
- Code-Snippets, die während Sitzungen generiert wurden, einschließlich solcher, die erstellt wurden, während du in einem privaten Repository arbeitest.
- Zugehöriger Kontext: Dateinamen, Navigationsmuster, Akzeptieren/Ablehnen-Signale, Daumen hoch/runter-Feedback.
GitHub zieht eine sorgfältige Linie im aktualisierten Datenschutzerklärung- und Nutzungsbedingungen-Changelog: Inhalte privater Repositories „im Ruhezustand” werden nicht für das Training verwendet. Aber Interaktionsdaten, die generiert werden, während du in diesem Repository arbeitest, können es sein. Die Formulierung ist entscheidend. Wenn du eine proprietäre Funktion in Copilot Chat einfügst, um Hilfe zu erhalten, ist dieses Snippet Interaktionsdaten. Das Repository wurde nicht trainiert. Die Sitzung schon.
Der neue Abschnitt J der Datenschutzerklärung erweitert auch die Datenweitergabe an verbundene Unternehmen, zu denen Microsoft gehört. Nicht an Drittanbieter von Modellen — nur an verbundene Unternehmen. Das ist ein kleinerer Kreis als die schlimmste Interpretation, aber ein weiterer als „GitHub behält es intern.”
Ich habe hier pausiert. Die „im Ruhezustand”-Unterscheidung ist technisch korrekt und praktisch rutschig. Das ist die Art von Klausel, die ein Beschaffungsprüfer zweimal lesen muss.
Warum das für Entwickler und Teams wichtig ist
Vertrauen, Datenschutz und Workflow-Risiko
Die Änderung vom 24. April ist kein Datenschutzskandal. Es ist eine Neueinstufung des Anbieterrisikos.
Die meisten Teams, die ich kenne, haben keine saubere Trennung zwischen „persönlichem Copilot-Konto” und „Code, an dem ich für Kunden oder Arbeitgeber arbeite”. Die Grenzen verschwimmen. Ein Nebenprojekt. Ein Take-Home-Interview. Ein Snippet, das in Copilot Chat aus einem Repository eingefügt wurde, das du vergessen hattest, war technisch gesehen nicht deins. Das war letzten Monat kein Data-Governance-Problem. Ab dem 24. April ist es das bei persönlichen Plänen.
Es gibt auch eine Glaubwürdigkeitsfrage, die nicht im Richtlinientext auftaucht. Der Opt-out-Schalter existiert. Der Standard erledigt die Arbeit. Diese Lücke zwischen „du hast Kontrolle” und „du musst wissen, wie du sie nutzt” ist das, was GitLab in seinem Blog-Beitrag zur Änderung als Governance-Weckruf bezeichnet hat. Sie sind ein Konkurrent. Die Einschätzung ist trotzdem zutreffend.
Implikationen für Einzelpersonen vs. Business und Enterprise
Das ist der Teil, den Teams immer wieder falsch verstehen, also sage ich es langsam.
Wenn dein Team Copilot Business oder Copilot Enterprise verwendet — über deine Organisation erworben, auf Organisationsebene abgerechnet, von einem Administrator verwaltet — gilt die neue Trainingsrichtlinie nicht. Deine Interaktionsdaten werden nicht für das Training verwendet. Diese vertragliche Grenze galt vor dem 24. April und gilt weiterhin.
Wenn jemand in deinem Team ein persönliches Copilot Pro- oder Pro+-Konto auf einem Arbeitsrechner, mit Arbeitscode, gegen Arbeits-Repositories verwendet, liegt dort die Exposition. Der Plan-Tier reist mit dem Konto, nicht mit dem Code. Ein persönliches Konto auf einer Unternehmens-Codebase bringt die Interaktionsdaten dieser Codebase in den Trainingsbereich, es sei denn, diese Person hat sich abgemeldet.
Einige Universitäten haben das schnell erkannt. Die Washington State University beispielsweise verbietet nun ausdrücklich die Verwendung persönlicher Copilot Free-, Pro- oder Pro+-Pläne auf institutionellem Code, es sei denn, das Training ist deaktiviert und eine schriftliche Genehmigung wird eingeholt. Das ist eine vernünftige Richtlinienvorlage. Die meisten Unternehmen haben noch keine geschrieben.
Da liegt die eigentliche Arbeit.
Was Builder überprüfen sollten, bevor sie mit Copilot weitermachen
Das ist die Checkliste, die ich für mein eigenes Setup durchgegangen bin. Passe sie an dein Team an.
- Überprüfe, welchen Copilot-Plan jeder Entwickler tatsächlich verwendet. Nicht welchen das Unternehmen bezahlt — welcher auf dem Rechner jedes Entwicklers eingeloggt ist. Persönliche Konten auf Arbeitscode sind der Fehlerfall.
- Bestätige den Opt-out-Status bei jedem persönlichen Konto, das Code berührt, auf dem du kein Training möchtest. Die Einstellung befindet sich in den persönlichen Copilot-Einstellungen unter Datenschutz, gemäß der offiziellen GitHub-Dokumentation für Einzelabonnenten. Setze „GitHub erlauben, meine Daten für das Training von KI-Modellen zu verwenden” auf Deaktiviert. Lade die Seite neu und überprüfe, ob es gespeichert wurde.
- Aktualisiere deine KI-Tools-Richtlinie, um Plan-Tiers explizit zu benennen. „Genehmigt: Copilot Business oder Enterprise” ist eine andere Richtlinie als „Genehmigt: GitHub Copilot.” Die erste übersteht den 24. April. Die zweite nicht.
- Entscheide, was dein Standard für sensible Code-Pfade ist. Einige Teams werden mit Copilot Business zufrieden sein. Einige werden unter keinem Plan ein Training wollen, was einen anderen Anbieter oder ein anderes Deployment-Modell bedeutet. Das ist eine Ermessensentscheidung, kein Standard.
- Überprüfe beim nächsten Anbieterüberprüfungszyklus, nicht in einer Panik diese Woche. Die Änderung ist real, aber es ist eine Richtlinienverschiebung, kein Sicherheitsverstoß. Behandle sie als Input für deinen nächsten KI-Anbieterüberprüfung, nicht als Notfallmigration.
Eine weniger Überraschung im Workflow. Klingt klein. Summiert sich schnell.
FAQ
Welche GitHub Copilot-Pläne sind betroffen?
Copilot Free, Copilot Pro und Copilot Pro+ — die drei persönlichen Pläne. Copilot Business und Copilot Enterprise sind ausgenommen. Studenten und Lehrer mit kostenlosem Copilot Pro-Zugang über GitHub Education sind ebenfalls nicht betroffen.
Können Nutzer dem Training widersprechen?
Ja. Klicke auf dein Profilbild, öffne die Copilot-Einstellungen, suche unter Datenschutz „GitHub erlauben, meine Daten für das Training von KI-Modellen zu verwenden” und setze es auf Deaktiviert. Der Opt-out gilt für das gesamte Konto — es gibt keine Kontrolle pro Repository. Wenn du zuvor die ältere Einstellung „Prompt- und Vorschlagssammlung” deaktiviert hattest, wurde deine Präferenz übertragen und es ist keine Aktion erforderlich.
Sind Business- und Enterprise-Konten ausgenommen?
Ja, vertraglich. GitHubs Vereinbarungen mit Business- und Enterprise-Kunden verbieten die Verwendung ihrer Interaktionsdaten für das Modelltraining, und das Update vom 24. April ändert das nicht. Beachte, dass dies nur gilt, wenn du mit der Business- oder Enterprise-Lizenz angemeldet bist — nicht mit einem persönlichen Konto, das zufällig jemandem gehört, der bei einem Business-Kunden arbeitet.
Was sollten Teams jetzt in ihrer internen Richtlinie überprüfen?
Drei Dinge. Welchen Plan-Tier jeder Entwickler tatsächlich verwendet, wenn er deinen Code berührt. Ob deine schriftliche KI-Richtlinie Plan-Tiers benennt (oder nur das Produkt). Ob sensible Codebasen einen strengeren Standard benötigen als „Business ist in Ordnung” — für einige Teams ist die Antwort ja, und das ist ein separates Anbietergespräch.
Fazit
Die Änderung vom 24. April hat Copilot nicht schlechter im Schreiben von Code gemacht. Sie hat die Antwort auf „Ist Copilot ein sicherer Anbieter für diese Codebase?” von Plan-Tier, Kontotyp und individuellem Opt-out-Status auf eine Art abhängig gemacht, wie es das vor zwei Wochen nicht war.
Für Solo-Entwickler bei Nebenprojekten ist das Opt-out ein Schalter, und das Gespräch endet dort. Für Teams, die Produktionscode liefern, ist das Gespräch länger — und es sollte stattfinden, bevor jemand bemerkt, dass ein persönliches Pro+-Konto in einem sensiblen Repository eingeloggt ist.
Ich verwende Copilot noch. Ich verwende es mit Business. Die Grenze hält vorerst. Das ist, wo meine Daten enden. Den Rest musst du selbst überprüfen.
Mehr folgt.
Frühere Beiträge:
Verwandte Artikel
ByteDance Seedance 2.0 Mini jetzt auf WaveSpeedAI
Claude Fable 5 Fallback auf Opus 4.8 erklärt
GLM-5.2 API: Preise, 1M Kontext und Produktions-Routing
GPT-5.4 Mini Preise: Eingabe-, Cache- und Ausgabekosten
MAI-Image-2.5 API: Was Entwickler wissen sollten
