GitHub Copilot und EU AI Act: Was Entwicklungsteams beachten müssen

GitHub Copilot selbst ist grundsätzlich kein Hochrisiko-KI-System gemäß Anhang III EU AI Act. Es handelt sich um ein Entwicklungswerkzeug, das Code-Vorschläge generiert. Entscheidend ist jedoch der Zweck des entwickelten Codes: Entwickeln Sie mit Copilot Software für kritische Infrastruktur, Medizinprodukte, Fahrzeugsysteme oder andere Hochrisiko-Bereiche, erhöht sich das regulatorische Risiko. Gemäß Art. 6 Abs. 1 EU AI Act ist die Einstufung als Sicherheitsbauteil eines Hochrisiko-Systems prüfungsrelevant.

Der EU AI Act betont menschliche Aufsicht (Art. 14) und Qualitätsmanagementsysteme (Art. 17). Für Entwicklungsteams bedeutet dies: KI-generierter Code muss durch qualifizierte Entwickler reviewed werden, bevor er in Produktion geht. Für sicherheitskritische Software (Medizin, Automotive, Infrastruktur) gelten besonders strenge Anforderungen. Dokumentieren Sie, welche Code-Abschnitte KI-generiert sind – dies kann für spätere Compliance-Nachweise relevant sein. Führen Sie regelmäßige Security-Audits für KI-generierten Code durch.

GitHub Copilot wird mit öffentlichem Code trainiert, was Lizenzfragen aufwirft. Der EU AI Act enthält in Art. 2 Abs. 12 und Erwägungsgrund 12 Sonderregelungen für Open-Source-Software. Für Entwickler relevant: Copilot kann Code-Snippets generieren, die bestehenden lizenzierten Code ähneln. GitHub Copilot hat einen Duplicate Detection Filter implementiert. Prüfen Sie generierte Code-Abschnitte gegen bekannte Lizenzen, besonders bei GPL-ähnlichen Lizenzen, wenn Sie proprietäre Software entwickeln.

GitHub Copilot überträgt Code-Kontext an Microsoft-Server für die Vervollständigung. Datenschutzrelevante Aspekte: Stellen Sie sicher, dass keine Secrets, API-Keys oder personenbezogene Daten in Kommentaren oder Variablennamen enthalten sind, die Copilot als Kontext verarbeitet. GitHub Copilot Business/Enterprise bietet verbesserten Datenschutz: kein Training auf Ihren Code-Snippets, keine Telemetrie über Prompts. GitHub bietet einen DPA für Unternehmenskunden. Überprüfen Sie Ihre .gitignore und Pre-commit-Hooks auf Datenschutzmängel.

Empfehlungen für EU AI Act-konformen GitHub Copilot-Einsatz: (1) Einsatz nur mit GitHub Copilot Business/Enterprise (nicht Individual) für Unternehmen, (2) Interne Coding Guidelines für KI-generierten Code erstellen, (3) Code-Review-Prozesse explizit auf KI-generierte Vorschläge ausrichten, (4) Security-Scanning (SAST) für KI-generierten Code verpflichtend machen, (5) Entwickler auf Grenzen und Risiken von KI-Code-Assistenten schulen, (6) KI-Einsatz in der Softwareentwicklung im KI-Inventar dokumentieren.