Rethinking Higher Education/de/Chapter 3

From China Studies Wiki
< Rethinking Higher Education‎ | de
Revision as of 04:21, 18 April 2026 by Admin (talk | contribs) (German translation Ch3)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search

Sprache: DE · EN · ZH · ← Buch

Studierendendatenschutz an der digitalen Universität: DSGVO und Chinas PIPL im Vergleich

Martin Woesler

Hunan-Normaluniversität

Zusammenfassung

Die digitale Transformation der Hochschulbildung erzeugt beispiellose Mengen an Studierendendaten – von Interaktionen mit Lernmanagementsystemen und Prüfungsaufzeichnungen bis hin zu biometrischen Prüfungsüberwachungsdaten und prädiktiven Analyseprofilen. Zwei der weltweit folgenreichsten Datenschutzregime regeln nun, wie Universitäten diese Daten erheben, verarbeiten und übertragen: die Datenschutz-Grundverordnung (DSGVO, in Kraft seit 2018) der Europäischen Union und Chinas Gesetz zum Schutz personenbezogener Daten (PIPL, in Kraft seit 2021). Trotz oberflächlicher Ähnlichkeiten – beide etablieren individuelle Rechte an personenbezogenen Daten, beide verhängen erhebliche Strafen bei Verstößen, und beide beschränken grenzüberschreitende Datenübertragungen – spiegeln die beiden Regime grundlegend verschiedene philosophische Orientierungen wider: individuelle Autonomie versus staatliche Souveränität. Dieser Artikel bietet einen systematischen Vergleich von DSGVO und PIPL, wie sie auf den spezifischen Kontext der Hochschulbildung angewandt werden. Unter Heranziehung von Durchsetzungsdaten, die zeigen, dass EU-Datenschutzbehörden 270 Bußgelder in Höhe von insgesamt mehr als 29,3 Millionen Euro gegen Bildungseinrichtungen verhängt haben, und von Forschungsergebnissen, die dokumentieren, dass 81 Prozent der britischen Universitäten die DSGVO-Compliance-Standards nicht erfüllen, weisen wir nach, dass keines der beiden Systeme in der Praxis einen zufriedenstellenden Datenschutz erreicht hat. Wir untersuchen Lernanalytik, KI-gestützte Leistungsbewertung, grenzüberschreitende Studierendenrekrutierung und gemeinsame EU-China-Studienprogramme als vier Bereiche, in denen die regulatorischen Rahmenwerke ihren ernsthaftesten Tests ausgesetzt sind. Wir argumentieren, dass Universitäten, die in beiden Rechtsordnungen tätig sind, vor einer dualen Compliance-Herausforderung stehen, die von der aktuellen Orientierungshilfe unzureichend adressiert wird, und schlagen einen Rahmen zur Navigation dieser sich überschneidenden Pflichten vor.

Schlüsselwörter: DSGVO, PIPL, Studierendendatenschutz, Lernanalytik, Hochschulbildung, grenzüberschreitende Datenflüsse, Datenschutz, EU-China-Vergleich, KI in der Bildung

1. Einleitung

Die digitale Universität ist ihrem Kern nach eine datenproduzierender Institution. Jede Interaktion eines Studierenden mit einem Lernmanagementsystem, jede Einreichung an eine automatisierte Bewertungsplattform, jede Anmeldung an einem Campus-Netzwerk und jede Nutzung eines adaptiven Lernwerkzeugs erzeugt Daten, die gesammelt, gespeichert, analysiert und – zunehmend – über institutionelle und nationale Grenzen hinweg geteilt werden. Die COVID-19-Pandemie hat diesen Prozess dramatisch beschleunigt: Der rasche Wechsel zu Online- und Hybridlernen normalisierte die Erhebung von Datenströmen, die ein Jahrzehnt zuvor undenkbar gewesen wären, darunter Webcam-Aufnahmen von Fernprüfungsüberwachungssystemen, Tastenanschlagdynamik zur Identitätsverifizierung und Engagement-Metriken, die erfassen, wie oft und wie lange Studierende mit Kursmaterialien interagieren.

Zwei umfassende Datenschutzregime regeln nun, wie Universitäten diese Informationen handhaben. Die Datenschutz-Grundverordnung der Europäischen Union, die im Mai 2018 vollständig in Kraft trat, schuf den weltweit ersten umfassenden Rahmen für den Schutz personenbezogener Daten, mit spezifischen Implikationen für Bildungseinrichtungen, die Studierendendaten verarbeiten. Chinas Gesetz zum Schutz personenbezogener Daten, in Kraft seit November 2021, schuf einen parallelen Rahmen, der zwar in vielerlei Hinsicht strukturell der DSGVO ähnelt, jedoch grundlegend andere Annahmen über das Verhältnis zwischen Individuen, Institutionen und dem Staat widerspiegelt.

Für Universitäten, die internationale Zusammenarbeit betreiben – gemeinsame Studiengänge, Studierendenaustausch, kollaborative Forschung, grenzüberschreitende Rekrutierung –, schaffen diese beiden Regime eine duale Compliance-Herausforderung von erheblicher Komplexität. Eine europäische Universität, die chinesische Studierende rekrutiert, muss die PIPL-Anforderungen für die Verarbeitung personenbezogener Daten chinesischer Einwohner erfüllen; eine chinesische Universität, die an einer Erasmus+-Partnerschaft teilnimmt, muss die DSGVO-Pflichten verstehen, die möglicherweise für Daten europäischer Studierender gelten. Doch die beiden Systeme divergieren genau dort, wo die Compliance-Herausforderungen am akutesten sind: in ihren Ansätzen zur grenzüberschreitenden Datenübertragung, zu Einwilligungsanforderungen, Durchsetzungsmechanismen und zur Behandlung Minderjähriger.

Dieser Artikel bietet einen systematischen Vergleich von DSGVO und PIPL, wie sie auf die Hochschulbildung angewandt werden, organisiert um vier Fragen. Erstens: Wie reguliert jedes Rahmenwerk die zentralen Datenverarbeitungsaktivitäten von Universitäten – Einschreibung, Bewertung, Analytik und Kommunikation? Zweitens: Wo konvergieren und wo divergieren die beiden Systeme in ihren philosophischen Grundlagen und praktischen Anforderungen? Drittens: Welche spezifischen Herausforderungen ergeben sich für Institutionen, die gleichzeitig unter beiden Regimen operieren? Viertens: Welche praktischen Strategien können Universitäten anwenden, um eine sinnvolle Compliance mit beiden Rahmenwerken zu erreichen?

2. Der DSGVO-Rahmen für die Bildung

2.1 Rechtsgrundlagen für die Verarbeitung von Studierendendaten

Die DSGVO (Verordnung 2016/679) sieht sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten vor, von denen drei für Universitäten am relevantesten sind: Einwilligung (Artikel 6 Absatz 1 Buchstabe a), Erfüllung eines Vertrags (Artikel 6 Absatz 1 Buchstabe b) und berechtigte Interessen (Artikel 6 Absatz 1 Buchstabe f). Europäische Universitäten stützen sich typischerweise auf eine Kombination dieser Rechtsgrundlagen. Einschreibung und akademische Verwaltung werden in der Regel auf vertragliche Notwendigkeit gestützt – der Studierende hat einen Bildungsvertrag mit der Einrichtung geschlossen. Forschung mit Studierendendaten kann sich auf berechtigte Interessen oder, bei sensiblen Datenkategorien, auf ausdrückliche Einwilligung stützen.

Die Anwendung dieser Rechtsgrundlagen auf Lernanalytik hat sich als besonders umstritten erwiesen. Liu und Khalil (2023) identifizieren in einem systematischen Review von 47 Studien, die in führenden Fachzeitschriften für Bildungstechnologie veröffentlicht wurden, eine fundamentale Spannung: Der DSGVO-Grundsatz der Zweckbindung – dass für einen Zweck erhobene Daten nicht ohne zusätzliche Rechtsgrundlage zweckentfremdet werden sollten – steht in unbehaglichem Verhältnis zum offenen, explorativen Charakter der Lernanalytik, bei der sich der Wert von Daten oft erst durch Analysen erschließt, die zum Zeitpunkt der Erhebung nicht vorhergesehen wurden.

2.2 Durchsetzungslandschaft

Die Durchsetzung der DSGVO im Bildungssektor war uneinheitlich, aber zunehmend bedeutsam. Laut dem CMS GDPR Enforcement Tracker Report für 2024/2025 haben Datenschutzbehörden in 25 EU-Mitgliedstaaten insgesamt 270 Bußgelder gegen Schulen, Universitäten und andere Bildungseinrichtungen verhängt, die sich auf mehr als 29,3 Millionen Euro belaufen. Die häufigsten Verstöße sind die Verarbeitung ohne ausreichende Rechtsgrundlage (90 Bußgelder) und unzureichende technische und organisatorische Maßnahmen zum Schutz der Daten (76 Bußgelder) (CMS 2025).

Der folgenreichste Einzelfall für die Hochschulbildung war die Entscheidung der italienischen Datenschutzbehörde von 2021 gegen die Bocconi-Universität, die ein Bußgeld von 200.000 Euro für die Nutzung der Fernprüfungsüberwachungssoftware Respondus verhängte. Die Behörde stellte fest, dass die Universität keine gültige Einwilligung eingeholt, keine Datenschutz-Folgenabschätzung durchgeführt, unzureichende Transparenz über die Datenverarbeitung geboten und keine Rechtsgrundlage für die Verarbeitung biometrischer Daten gehabt hatte – Verstöße, die zusammen die Compliance-Herausforderungen illustrieren, vor denen Universitäten beim Einsatz überwachungsnaher Bildungstechnologien stehen (Garante 2021).

Eine Studie des Beratungsunternehmens 7DOTS aus dem Jahr 2024 untersuchte 335 britische Universitäten und Hochschulen und fand eine Nicht-Compliance-Quote von 81 Prozent mit DSGVO-Standards. Nur 32 Prozent hatten eine Consent-Management-Plattform implementiert, und von diesen waren 66 Prozent fehlerhaft konfiguriert (7DOTS 2024). Diese Ergebnisse legen nahe, dass das Compliance-Defizit des Bildungssektors nicht primär eine Frage bewusster Verstöße ist, sondern der institutionellen Kapazität: Universitäten fehlen die Ressourcen, die Expertise und die organisatorischen Strukturen, um die Anforderungen der DSGVO effektiv umzusetzen.

3. Chinas PIPL: Struktur und bildungsbezogene Implikationen

3.1 Architektonischer Überblick

Chinas Gesetz zum Schutz personenbezogener Daten, in Kraft seit dem 1. November 2021, schafft einen umfassenden Rahmen für den Schutz personenbezogener Daten, der in vielerlei Hinsicht strukturell parallel zur DSGVO verläuft – extraterritoriale Reichweite, individuelle Rechte (Auskunft, Berichtigung, Löschung, Übertragbarkeit), Anforderungen an Datenschutz-Folgenabschätzungen und erhebliche Strafen bei Verstößen –, während er grundlegend andere philosophische Überzeugungen widerspiegelt (Li und Chen 2024; Lim und Oh 2025).

Das PIPL definiert „personenbezogene Daten" breit als alle Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person, die auf elektronischem oder anderem Wege aufgezeichnet werden (Artikel 4). Wie die DSGVO legt es Rechtsgrundlagen für die Verarbeitung fest – Einwilligung, vertragliche Notwendigkeit, gesetzliche Verpflichtung, öffentliche Gesundheitsnotfälle, Nachrichtenberichterstattung im öffentlichen Interesse und angemessene Verarbeitung öffentlich zugänglicher Informationen (Artikel 13). Anders als die DSGVO enthält das PIPL jedoch keine „berechtigten Interessen" als eigenständige Rechtsgrundlage, was die Einwilligung zum primären Mechanismus für die rechtmäßige Verarbeitung in den meisten Bildungskontexten macht (IAPP 2021; Zhu 2022).

3.2 Verstärkter Schutz für Minderjährige

Die Behandlung Minderjähriger im PIPL stellt eine der bedeutsamsten Abweichungen von der DSGVO dar. Artikel 28 stuft alle personenbezogenen Daten von Personen unter 14 Jahren als „sensible personenbezogene Daten" ein, unabhängig von ihrer Art, und verlangt die Einwilligung der Eltern für die Verarbeitung sowie eine separate Datenschutz-Folgenabschätzung.

3.3 Datenlokalisierung und grenzüberschreitende Übertragung

Die Anforderungen des PIPL an die grenzüberschreitende Datenübertragung gehören zu seinen praktisch folgenreichsten Bestimmungen für internationale Universitäten. Artikel 38 legt drei Mechanismen für die Übermittlung personenbezogener Daten ins Ausland fest: Bestehen einer von der Cyberspace-Verwaltung Chinas (CAC) organisierten Sicherheitsbewertung, Erlangung einer Zertifizierung zum Schutz personenbezogener Daten von einer spezialisierten Einrichtung oder Abschluss eines von der CAC formulierten Standardvertrags mit dem ausländischen Empfänger.

Die praktischen Implikationen für die internationale akademische Zusammenarbeit sind erheblich. Wie das Büro des General Counsel am MIT (2022) feststellte, wird das PIPL immer dann ausgelöst, wenn eine Einrichtung Zulassungsanträge von chinesischen Staatsangehörigen mit Wohnsitz in China erhält, dort Rekrutierungsaktivitäten durchführt, Online-Kurse anbietet, die chinesischen Einwohnern zugänglich sind, Humanforschung mit Daten chinesischer Einwohner durchführt oder mit chinesischen akademischen Einrichtungen zusammenarbeitet, die Studierendendaten teilen.

4. Systematischer Vergleich

4.1 Philosophische Grundlagen

Der grundlegendste Unterschied zwischen DSGVO und PIPL liegt nicht in ihren technischen Bestimmungen, sondern in ihren philosophischen Orientierungen. Die DSGVO entstammt einer Tradition des individuellen Rechteschutzes, verwurzelt in der Europäischen Menschenrechtskonvention und der EU-Grundrechtecharta. Ihre Kernannahme ist, dass der Schutz personenbezogener Daten ein Grundrecht des Einzelnen ist, das nur unter bestimmten Bedingungen und vorbehaltlich einer Verhältnismäßigkeitsprüfung eingeschränkt werden kann.

Das PIPL hingegen spiegelt wider, was Lim und Oh (2025) als „staatliche Souveränitäts"-Orientierung beschreiben. Das Gesetz verfolgt gleichzeitig mehrere Ziele: den Schutz der individuellen Privatsphäre, gewiss, aber auch die Wahrung der nationalen Sicherheit, die Förderung der digitalen Wirtschaft und die Aufrechterhaltung sozialer Stabilität.

4.2 Strukturelle Unterschiede

Mehrere strukturelle Unterschiede haben direkte Implikationen für Universitäten:

Einwilligung: Die DSGVO kennt sechs Rechtsgrundlagen für die Verarbeitung; das Fehlen einer „berechtigte Interessen"-Grundlage im PIPL macht die Einwilligung zentraler, insbesondere für die Verarbeitung von Bildungsdaten, die über die vertragliche Notwendigkeit hinausgehen. Das PIPL verlangt zusätzlich eine separate Einwilligung für grenzüberschreitende Übertragungen (Artikel 39) und für die Verarbeitung sensibler personenbezogener Daten (Artikel 29).

Sanktionen: Die DSGVO sieht maximale Bußgelder von 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Das PIPL sieht maximale Bußgelder von 50 Millionen RMB (ca. 6,4 Millionen Euro) oder 5 Prozent des Vorjahresumsatzes bei schwerwiegenden Verstößen vor, zuzüglich möglicher persönlicher Haftung der verantwortlichen Personen – ein Merkmal ohne direkte DSGVO-Entsprechung.

Durchsetzung: Die Durchsetzung der DSGVO ist dezentralisiert über nationale Datenschutzbehörden, mit Koordination durch den Europäischen Datenschutzausschuss. Die Durchsetzung des PIPL ist zentralisiert unter der CAC. Die DSGVO verlangt, dass Aufsichtsbehörden unabhängig sind; das PIPL stellt keine solche Anforderung.

Grenzüberschreitende Übertragungen: Die DSGVO erlaubt Übertragungen in Länder mit „angemessenem" Datenschutz (Angemessenheitsbeschlüsse) oder durch Standardvertragsklauseln (SCCs) und verbindliche Unternehmensregeln (BCRs). Das PIPL bietet Sicherheitsbewertung, Standardverträge und Zertifizierung, verwendet aber keinen Angemessenheitsmechanismus – es gibt keine Liste „sicherer" Länder, in die Daten frei fließen können.

5. Lernanalytik: Der kritische Testfall

Lernanalytik stellt den Bereich dar, in dem die Spannung zwischen Datenschutz und Bildungsinnovation am akutesten ist. Universitäten setzen zunehmend prädiktive Analysesysteme ein, die historische Studierendendaten nutzen, um gefährdete Studierende zu identifizieren, Interventionen zu empfehlen und Lernpfade zu personalisieren. Diese Systeme erfordern die Verarbeitung großer Mengen von Studierendendaten – oft aus mehreren Quellen aggregiert und mit maschinellen Lernalgorithmen analysiert – in einer Weise, die die Grundprinzipien sowohl der DSGVO als auch des PIPL herausfordert.

Unter der DSGVO stehen Lernanalytiksysteme vor Herausforderungen auf mehreren Fronten. Zweckbindung (Artikel 5 Absatz 1 Buchstabe b) verlangt, dass Daten für festgelegte, eindeutige Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. Doch der Wert von Lernanalytik hängt oft genau von dieser Art der Zweckänderung ab. Datenminimierung (Artikel 5 Absatz 1 Buchstabe c) verlangt, dass nur angemessene, erhebliche und auf das notwendige Maß beschränkte Daten verarbeitet werden – doch prädiktive Modelle arbeiten typischerweise besser mit mehr Daten, was einen strukturellen Anreiz zur maximalen Erhebung schafft.

6. KI-gestützte Bewertung und Prüfungsüberwachung

Die EU-KI-Verordnung (Verordnung 2024/1689), die am 1. August 2024 in Kraft trat, fügt eine weitere regulatorische Schicht für europäische Universitäten hinzu. Die Verordnung stuft KI-Systeme für Bildungsbewertung und Prüfungsüberwachung als „hochriskant" gemäß Anhang III Abschnitt 3 ein und verlangt Konformitätsbewertungen, menschliche Aufsicht und technische Dokumentation. Artikel 5 Absatz 1 Buchstabe f verbietet Emotionserkennungssysteme in Bildungseinrichtungen.

Die Wechselwirkung zwischen KI-Verordnung und DSGVO schafft eine geschichtete Compliance-Pflicht: Universitäten, die KI-gestützte Bewertungswerkzeuge einsetzen, müssen sowohl die Anforderungen der KI-Verordnung für Hochrisikosysteme als auch die DSGVO-Anforderungen für die rechtmäßige Datenverarbeitung erfüllen.

7. Gemeinsame EU-China-Programme: Duale Compliance in der Praxis

Die akutesten Compliance-Herausforderungen ergeben sich bei gemeinsamen EU-China-Studienprogrammen, bei denen Studierendendaten routinemäßig Rechtsordnungsgrenzen überschreiten. Eine europäische Universität, die einen gemeinsamen Studiengang mit einer chinesischen Partnerinstitution anbietet, muss Einschreibungsdaten, akademische Aufzeichnungen und potenziell Lernanalytikdaten zwischen beiden Einrichtungen übertragen – Übertragungen, die gleichzeitig die DSGVO-Anforderungen für internationale Datenübertragung und die PIPL-Bestimmungen für grenzüberschreitende Übertragung erfüllen müssen.

Für Universitäten, die EU-China-Kooperationen betreiben, identifizieren wir vier praktische Strategien zur Bewältigung der dualen Compliance. Erstens Datenminimierung am Übertragungspunkt: nur die für das gemeinsame Programm minimal notwendigen Daten teilen, wo immer möglich anonymisierte oder pseudonymisierte Daten verwenden. Zweitens architektonische Trennung: separate Datensysteme für EU- und China-Operationen pflegen, mit kontrollierten Schnittstellen für den notwendigen Datenaustausch. Drittens vertragliche Rahmenwerke: bilaterale Datenaustauschabkommen entwickeln, die ausdrücklich sowohl DSGVO- als auch PIPL-Anforderungen adressieren. Viertens institutioneller Kapazitätsaufbau: in Personalschulung und Datenschutzexpertise investieren, die beide regulatorischen Rahmenwerke umfasst.

8. Die Bereitschaftslücke

Trotz der Bedeutung dieser regulatorischen Rahmenwerke deuten empirische Belege darauf hin, dass Universitäten in beiden Rechtsordnungen mit einer erheblichen Bereitschaftslücke konfrontiert sind. Im europäischen Kontext steht der Befund von 7DOTS (2024), dass 81 Prozent der britischen Universitäten die DSGVO-Compliance-Standards nicht erfüllen, im Einklang mit den CMS-Enforcement-Tracker-Daten, die anhaltende Verstöße in 25 Mitgliedstaaten zeigen.

9. Empfehlungen für Universitäten

Auf der Grundlage unserer vergleichenden Analyse schlagen wir sieben Empfehlungen für Universitäten vor, die die sich überschneidenden Anforderungen von DSGVO und PIPL navigieren wollen:

Erstens: eine umfassende Dateninventur durchführen, die alle Verarbeitungsaktivitäten personenbezogener Daten, ihre Rechtsgrundlagen unter DSGVO und PIPL und alle grenzüberschreitenden Datenflüsse identifiziert.

Zweitens: ein einheitliches Datenschutz-Governance-Rahmenwerk etablieren, das sowohl DSGVO- als auch PIPL-Anforderungen adressiert.

Drittens: ein Einwilligung-plus-Modell für Lernanalytik einführen, das PIPL-Standards erfüllt.

Viertens: Datenschutz durch Technikgestaltung in der Beschaffung und Entwicklung von Bildungstechnologie implementieren.

Fünftens: in institutionelle Kapazität investieren, einschließlich Datenschutzbeauftragter mit spezifischer Expertise in Bildungsdaten.

Sechstens: bilaterale Datenaustauschvereinbarungen für gemeinsame Programme mit chinesischen (oder europäischen) Partnerinstitutionen entwickeln.

Siebtens: regulatorische Entwicklungen aktiv beobachten, da sich beide Rahmenwerke rasch weiterentwickeln.

10. Schlussfolgerung

Der Vergleich von DSGVO und PIPL im Bildungskontext offenbart ein Paradox: Zwei der weltweit umfassendsten Datenschutzregime, die beide vorgeben, Individuen vor dem Missbrauch ihrer personenbezogenen Daten zu schützen, divergieren in ihren philosophischen Annahmen so fundamental, dass die Compliance mit dem einen nicht die Compliance mit dem anderen sicherstellt. Die Betonung der individuellen Autonomie, unabhängigen Aufsicht und Zweckbindung in der DSGVO spiegelt europäische demokratische Traditionen wider; die Betonung der staatlichen Souveränität, zentralisierten Durchsetzung und nationalen Sicherheit im PIPL spiegelt Chinas eigenständiges Governance-Modell wider. Keines der beiden Systeme hat nachweislich einen angemessenen Datenschutz in der Praxis erreicht.

Für Universitäten liegt die praktische Herausforderung darin, diese sich überschneidenden und manchmal widersprüchlichen Anforderungen zu navigieren und gleichzeitig die internationale Zusammenarbeit aufrechtzuerhalten, die für die moderne Hochschulbildung unerlässlich ist. Wir haben argumentiert, dass weder der europäische noch der chinesische Ansatz allein ein adäquates Modell bietet. Eine Synthese, die europäische rechtebasierte Grundsätze mit chinesischer regulatorischer Effizienz verbindet – oder bescheidener: ein Satz praktischer Leitlinien, der es Universitäten ermöglicht, beide Rahmenwerke gleichzeitig zu erfüllen –, bleibt der vielversprechendste Weg nach vorn.

Danksagung

Diese Forschung wurde im Rahmen des Jean-Monnet-Exzellenzzentrums „EUSC-DEC" (EU-Förderkennzeichen 101126782, 2023–2026) durchgeführt.

Literaturverzeichnis

7DOTS. (2024). Report: 81% of Universities at Risk of Fines Due to Failure to Safeguard Student Data.

CMS Law. (2025). GDPR Enforcement Tracker Report 2024/2025: Public Sector and Education.

DataGuidance. (2022). Comparing Privacy Laws: GDPR v. PIPL.

European Parliament and Council. (2024). Regulation (EU) 2024/1689 (Artificial Intelligence Act).

Garante per la protezione dei dati personali. (2021). Decision 9703988 — Fine against Università Commerciale Luigi Bocconi.

IAPP. (2021). Analyzing China's PIPL and how it compares to the EU's GDPR.

Li, W. & Chen, J. (2024). From Brussels Effect to Gravity Assists. Computer Law and Security Review, 54, 105994.

Lim, S. & Oh, J. (2025). Navigating Privacy: A Global Comparative Analysis. IET Information Security.

Liu, Q. & Khalil, M. (2023). Understanding privacy and data protection issues in learning analytics. British Journal of Educational Technology, 54(6), 1466–1485.

MIT Office of General Counsel. (2022). China and the PIPL.

Prinsloo, P., Slade, S. & Khalil, M. (2022). The answer is (not only) technological. British Journal of Educational Technology, 53(4), 876–893.

Xue, Y., Chinapah, V., & Zhu, C. (2025). A Comparative Analysis of AI Privacy Concerns in Higher Education. Education Sciences, 15(6), 650.

Zhu, J. (2022). The Personal Information Protection Law: China's Version of the GDPR? Columbia Journal of Transnational Law.



Retrieved from "https://bou.de/u/index.php?title=Rethinking_Higher_Education/de/Chapter_3&oldid=175929"