GitHub hat kürzlich angekündigt, wie Interaktionsdaten von Copilot-Nutzenden künftig verwendet werden. Ab dem 24. April 2026 werden Daten aus Copilot Free, Pro und Pro+ standardmäßig zum Training von KI-Modellen genutzt, sofern Nutzende nicht aktiv widersprechen. Betroffen sind Eingaben, Ausgaben, Code-Snippets und zugehöriger Kontext. Copilot Business und Enterprise sind aufgrund bestehender Vertragskonditionen ausgenommen.
Für Unternehmen in regulierten Branchen wirft diese Änderung Fragen auf, die über individuelle Entwicklerpräferenzen weit hinausgehen. Sie zwingt zu einer grundlegenden Prüfung, die Führungskräfte aus Engineering und IT-Sicherheit jedem KI-Anbieter in ihrem Stack stellen sollten: Werden unsere Daten für KI-Training verwendet?
GitLabs Antwort lautet: Nein. GitLab trainiert KI-Modelle nicht mit Kundendaten – auf keiner Preisstufe. KI-Anbieter sind vertraglich verpflichtet, Kundeneingaben und -ausgaben nicht für eigene Zwecke zu verwenden. Das GitLab AI Transparency Center macht diese Zusage prüfbar. Eine zentrale Dokumentation zeigt, welche Modelle welche Funktionen betreiben, wie Daten verarbeitet werden, welche Unterauftragsverarbeiter beteiligt sind und wie lange Daten gespeichert werden. Das AI Transparency Center dokumentiert außerdem den Compliance-Status jeder Funktion – einschließlich der Bestätigung, dass GitLabs aktuelle KI-Funktionen nicht als Hochrisikosysteme im Sinne des EU AI Act eingestuft werden. Diesen Standard hat GitLab-CEO Bill Staples wiederholt bekräftigt – er spiegelt GitLabs Unternehmensmission und das Trust Center wider.
Was die Richtlinienänderung tatsächlich bedeutet
GitHub gibt zudem an, dass die Daten mit verbundenen Unternehmen – darunter Microsoft – für KI-Entwicklungszwecke geteilt werden können.
Quellcode zählt häufig zum sensibelsten geistigen Eigentum eines Unternehmens. Er kann proprietäre Geschäftslogik abbilden, interne Systemarchitekturen offenlegen oder Datenflüsse berühren, die strengen Aufbewahrungs- und Zugriffsrichtlinien unterliegen. Wenn dieser Code einen KI-Assistenten durchläuft und zum Training von Modellen verwendet wird, die auch Wettbewerbern dienen, werden Anbieterdatenpraktiken zu einem konkreten IP-Risiko. Regulierte Branchen weltweit – von Finanzdienstleistungen über Gesundheitswesen bis zum öffentlichen Sektor – operieren unter Compliance-Anforderungen, die genau diesen Punkt adressieren: dokumentierte, prüfbare Kontrolle über den Umgang Dritter mit sensiblen Daten.
Eine Anbieterrichtlinie, die Datenstandardeinstellungen ändert, ein aktives Widerspruchsrecht erfordert und je nach Vertragsstufe unterschiedliche Schutzstandards bietet, erzeugt genau die Art unkontrollierbarer Variablen, die Compliance-Teams nicht akzeptieren können. Der Digital Operational Resilience Act (DORA) – seit Januar 2025 für europäische Finanzinstitute verbindlich – macht dies explizit: Wesentliche Änderungen an IT-Drittanbieterbeziehungen erfordern dokumentierte Bewertung und Nachverfolgung.
Was regulierte Unternehmen von KI-Anbietern tatsächlich benötigen
Regulierte Unternehmen diskutieren nicht mehr grundsätzlich, ob KI in Entwicklungs-Workflows eingesetzt werden soll. Der Fokus liegt darauf, dies so zu tun, dass es gegenüber Aufsichtsbehörden, Vorständen und Kunden vertretbar ist. Dabei sind branchenübergreifend konsistente Anforderungen sichtbar geworden.
Vertragliche Klarheit. Regulierte Unternehmen benötigen spezifische, dokumentierte und bedingungslose Zusagen darüber, was mit ihren Daten geschieht – nicht etwas, das je nach Vertragsstufe variiert oder eine Handlung vor einem Stichtag erfordert.
Prüfbarkeit. IT-Risikomanagement-Frameworks verlangen von Unternehmen, die eingesetzten KI-Systeme zu verstehen und zu validieren: die Trainingsdaten hinter diesen Modellen und die beteiligten Drittparteien. Anbieter, die diese Fragen nicht beantworten können, erzeugen Dokumentationsrisiken für die Organisationen, die sich auf sie stützen.
Trennung von Anbieterinteressen. Wenn ein KI-Anbieter Modelle auf Basis von Kundennutzungsdaten trainiert, werden Code und Workflows zu Eingaben für ein System, das auch Wettbewerbern dient. Für Institutionen mit proprietären Handelsalgorithmen, Underwriting-Modellen oder Betrugserkennungssystemen ist das ein konkretes IP-Risiko.
GitLabs Position zur KI-Datenverwaltung
GitLab verwendet Kundendaten nicht zum Training von KI-Modellen. Diese Zusage gilt auf jeder Preisstufe; KI-Anbieter sind vertraglich verpflichtet, Eingaben und Ausgaben, die mit GitLab-Kunden verbunden sind, nicht für eigene Zwecke zu verwenden.
Dies ist eine bewusste architektonische und richtlinienbezogene Entscheidung – kein Merkmal einer bestimmten Preisstufe. Wie GitLabs Beitrag zur Enterprise-Unabhängigkeit festhält, ist Datenverwaltung zu einem "zunehmend kritischen Faktor bei Unternehmensentscheidungen" geworden – getrieben durch nationale und regionale Datenschutzgesetze und wachsende Bedenken hinsichtlich der Kontrolle über sensibles geistiges Eigentum.
GitLab ist cloud-neutral und modell-neutral und unterstützt Self-Hosted-Deployments ohne kommerzielle Bindung an einen einzelnen Cloud-Anbieter oder ein Large Language Model. Diese Unabhängigkeit ist für regulierte Unternehmen relevant, die Risiken durch Anbieterkonzentration bewerten. Der AI Continuity Plan dokumentiert, wie Anbieterveränderungen gehandhabt werden – einschließlich wesentlicher Änderungen daran, wie KI-Anbieter Kundendaten behandeln. Er ist eine direkte Antwort auf die Governance-Anforderungen unter Frameworks wie DORA.
Die Governance-Lücke, die KI-Teams schließen müssen
GitHubs Richtlinienaktualisierung macht deutlich: Für Unternehmen in regulierten Branchen ist das genaue Verständnis des Datenumgangs eines KI-Werkzeugs eine Voraussetzung für dessen Einsatz. Das bedeutet, Anbietern klare, dokumentierte Antworten auf folgende Fragen abzuverlangen:
- Werden unsere Daten zum Training von KI-Modellen verwendet?
- Wer sind Ihre KI-Modell-Unterauftragsverarbeiter?
- Was geschieht, wenn ein Anbieter seine Datenpraktiken ändert?
- Lässt sich ein Deployment realisieren, das alle KI-Verarbeitung innerhalb der eigenen Infrastruktur hält?
- Welche Haftungsübernahme wird für KI-generierte Ausgaben angeboten?
Anbieter, die diese Fragen klar beantworten und die Antworten in prüfbarer Form dokumentieren, sind Anbieter, auf die sich aufbauen lässt. Wer das nicht kann, schafft Compliance-Risiken bei jedem Policy-Update. Wenn ein Anbieter Datenpraktiken mit 30 Tagen Ankündigungsfrist ändern kann, ist das kein partnerschaftlicher Rahmen für regulierte Unternehmen – das ist ein strukturelles Compliance-Risiko.
Mehr zu GitLabs Ansatz für KI-Governance im GitLab AI Transparency Center.
