Was sammelt GitHub Copilot? Daten, Telemetrie und Opt-out
GitHub Copilot schlägt Code vor, während Sie tippen – und dafür muss die Erweiterung Teile Ihres Quellcodes an GitHub-Server senden. Die berechtigte Frage lautet: Was davon wird nur kurz verarbeitet, was wird gespeichert und was landet im Training künftiger KI-Modelle? Im Folgenden trennen wir die drei Datenarten sauber, ordnen die seit April 2026 geltende Trainings-Regelung ein und zeigen Schritt für Schritt, wie Sie die Weiterverwendung Ihres Codes abschalten.
Die drei Datenarten, die Copilot erfasst
GitHub unterteilt die von Copilot verarbeiteten Daten in klar benannte Kategorien. Wer die Begriffe kennt, versteht die Datenschutzeinstellungen deutlich schneller.
Prompts – Ihr Code als Kontext
Ein Prompt ist das Paket, das die Copilot-Erweiterung an GitHub schickt, um einen Vorschlag zu erzeugen. Er besteht nicht nur aus der Zeile, an der Ihr Cursor steht, sondern aus umgebendem Kontext:
- der Code oberhalb und unterhalb der Cursorposition,
- Inhalte weiterer geöffneter Dateien (benachbarte Tabs),
- Kommentare und Docstrings,
- Datei- und Pfadnamen, die auf Sprache und Zweck schließen lassen.
Der Prompt wird gesendet, sobald Sie eine kurze Pause beim Tippen machen oder bewusst einen Vorschlag anfordern. Ohne diese Übertragung kann Copilot technisch nichts vorschlagen – das lässt sich also nicht abschalten, solange Sie das Tool nutzen. Steuerbar ist nur, ob GitHub den Prompt danach aufbewahren und weiterverwenden darf.
Suggestions – die Antworten des Modells
Eine Suggestion ist der zurückgelieferte Codevorschlag: eine oder mehrere Zeilen, die das Modell aus dem Prompt generiert. Zusammen mit den Prompts bilden Suggestions die eigentlich sensiblen Inhalte, denn hier stehen Fragmente Ihres realen Projektcodes.
User Engagement Data (Telemetrie)
Diese Kategorie beschreibt, wie Sie Copilot bedienen – nicht den Code selbst. Dazu zählen:
- ob ein Vorschlag angenommen, verändert oder verworfen wurde,
- Latenz (wie schnell der Vorschlag kam),
- genutzte Funktionen (Inline-Vorschläge, Copilot Chat),
- Fehlermeldungen der Erweiterung,
- pseudonymisierte Kennungen und Editor-Informationen.
Wie lange diese Telemetrie aufbewahrt wird, hängt vom konkreten Datenpunkt ab: Basis-Nutzungssignale wie der letzte Aktivitätszeitpunkt liegen laut GitHub bei rund 90 Tagen, umfassendere Engagement-Auswertungen können bis zu 24 Monate gespeichert werden.
Was seit April 2026 neu ist: Training an Ihrem Code
Der wichtigste Punkt für Einzelnutzer: Seit dem 24. April 2026 verwendet GitHub die Interaktionsdaten von Copilot Free, Pro und Pro+ zum Trainieren und Verbessern der KI-Modelle – standardmäßig aktiviert, sofern Sie nicht widersprechen (Opt-out). Angekündigt hatte GitHub die Änderung bereits am 25. März 2026, also mit der üblichen 30-Tage-Vorlaufzeit. Betroffen sind laut Ankündigung Prompts, angenommene oder bearbeitete Vorschläge sowie Datei- und Pfadnamen als Kontext.
Zwei Dinge sind hier entscheidend:
- Es ist ein Opt-out, kein Opt-in. Wer nichts tut, dessen Code kann ins Training fließen.
- Alte Entscheidungen bleiben erhalten. Wenn Sie früher bereits die Snippet-Nutzung deaktiviert hatten, wurde diese Wahl übernommen – Ihr Code wird dann nicht fürs Training genutzt, bis Sie aktiv zustimmen.
Für Teams, die sensiblen oder lizenzrechtlich heiklen Code schreiben, ist das ein handfestes Thema – einen vertiefenden Überblick über mögliche Folgen liefert unser Beitrag zu den Risiken von GitHub Copilot.
Copilot Business und Enterprise: hier gelten strengere Regeln
Die bezahlten Organisationsangebote sind bewusst anders aufgestellt:
- In der IDE gibt es keine Aufbewahrung. Inline-Vorschläge in Editoren wie VS Code werden nach der Auslieferung sofort verworfen – weder Prompt noch Suggestion werden gespeichert.
- Copilot Chat, die mobile App und die CLI sind die Ausnahme. Dort hält GitHub Prompts und Antworten für rund 28 Tage vor, damit der Gesprächsverlauf als Kontext für Folgefragen dienen kann.
- Kein Modelltraining mit Kundendaten. Unabhängig vom Zugangsweg ist die Nutzung von Business-/Enterprise-Interaktionsdaten fürs Modelltraining über die Data Protection Agreement vertraglich ausgeschlossen.
- Zusätzlich erfasst wird die oben beschriebene Telemetrie (User Engagement Data).
Kurz: Wer den Code seiner Firma schützen muss, ist mit einem Business- oder Enterprise-Sitz grundsätzlich besser aufgestellt als mit einem Einzel-Abo – auch ohne jede zusätzliche Einstellung.
So schalten Sie die Datennutzung ab
Einzelkonten (Free, Pro, Pro+, Max)
- Melden Sie sich bei GitHub an und rufen Sie direkt
github.com/settings/copilot/featuresauf (alternativ: Profilbild oben rechts → Settings → Copilot). - Suchen Sie im Abschnitt Privacy den Schalter „Allow GitHub to use my data for AI model training” und deaktivieren Sie ihn.
- Prüfen Sie zusätzlich die ältere Option „Allow GitHub to use my code snippets for product improvements and new models” und schalten Sie auch diese ab, falls sie in Ihrem Konto noch angezeigt wird.
Wichtig zur Einordnung: Diese Schalter steuern nur die Weiterverwendung (Training, Produktverbesserung). Dass Prompts zur reinen Vorschlagserzeugung übertragen werden, bleibt davon unberührt.
Content Exclusions für Teams
Organisationen mit Business oder Enterprise können ganze Repositories oder einzelne Pfade vom Kontext ausschließen (content exclusions). Dann liest Copilot diese Dateien gar nicht erst als Kontext ein – nützlich für Verzeichnisse mit Secrets, Konfigurationen oder Kundencode. Auf Organisationsebene richten Sie das unter Settings → Copilot → Content exclusion ein, auf Repository-Ebene unter Settings → Code and automation → Copilot. Ein typischer Stolperstein: Copilot-Cloud-Agents, die CLI und der Agent-Modus im Editor respektieren diese Regeln bislang nicht durchgängig – verlassen Sie sich bei besonders sensiblen Pfaden also nicht allein auf Content Exclusion, sondern schließen Sie Secrets zusätzlich per .gitignore oder separatem Zugriffsschutz aus.
Editor-Telemetrie in VS Code
Die allgemeine Editor-Telemetrie steuern Sie in VS Code über die settings.json:
{
"telemetry.telemetryLevel": "off"
}
Das reduziert die von VS Code selbst gesendete Nutzungstelemetrie. Die produktnotwendige Copilot-Kommunikation (Prompt → Suggestion) läuft davon unabhängig weiter.
Typische Missverständnisse
- „Copilot lädt mein ganzes Repository hoch.” Nein. Übertragen wird der Kontext rund um Ihre aktuelle Arbeit, nicht das komplette Projektarchiv.
- „Opt-out stoppt jede Datenübertragung.” Nein. Es stoppt die Weiterverwendung fürs Training, nicht das für Vorschläge nötige Senden von Prompts.
- „Business-Kunden müssen auch opt-outen.” Nein. Für Business und Enterprise ist das Trainingsverbot Standard.
- „Der Opt-out gilt rückwirkend.” Der Widerspruch wirkt ab dem Zeitpunkt der Einstellung; bereits verarbeitete Daten sind davon nicht automatisch erfasst.
Wer grundsätzlich wissen möchte, wie sicher GitHub für private oder vertrauliche Informationen ist, findet die Einordnung unter Ist GitHub sicher für private Informationen?.
FAQ
Speichert GitHub meinen Code dauerhaft? Bei Business und Enterprise nicht: Inline-Vorschläge in der IDE werden sofort verworfen, Copilot Chat/mobile App/CLI halten den Verlauf für rund 28 Tage vor. Bei den Einzel-Abos Free, Pro und Pro+ können Interaktionsdaten aufbewahrt und – seit dem 24. April 2026 standardmäßig – fürs Training genutzt werden, bis Sie widersprechen.
Kann ich Copilot nutzen, ohne dass mein Code ins Training fließt?
Ja. Deaktivieren Sie unter github.com/settings/copilot/features im Abschnitt „Privacy” die Modelltraining-Option. Alternativ nutzen Sie ein Business-/Enterprise-Konto, bei dem das Training vertraglich ausgeschlossen ist.
Sieht Copilot auch meine Passwörter oder .env-Dateien?
Wenn solche Dateien geöffnet sind oder im Kontextfenster liegen, können ihre Inhalte Teil eines Prompts werden. Schließen Sie sensible Dateien während der Arbeit oder richten Sie in Teams content exclusions ein, um Verzeichnisse mit Secrets auszuschließen.