Rethinking Higher Education/de/Chapter 3

From China Studies Wiki
Jump to navigation Jump to search

Sprache: DE · EN · ZH · ← Buch

Studierendendatenschutz an der digitalen Universität: DSGVO und Chinas PIPL im Vergleich

Martin Woesler

Hunan-Normaluniversität

Zusammenfassung

Die digitale Transformation der Hochschulbildung erzeugt beispiellose Mengen an Studierendendaten – von Interaktionen mit Lernmanagementsystemen und Prüfungsaufzeichnungen bis hin zu biometrischen Prüfungsüberwachungsdaten und prädiktiven Analyseprofilen. Zwei der weltweit folgenreichsten Datenschutzregime regeln nun, wie Universitäten diese Daten erheben, verarbeiten und übertragen: die Datenschutz-Grundverordnung (DSGVO, in Kraft seit 2018) der Europäischen Union und Chinas Gesetz zum Schutz personenbezogener Daten (PIPL, in Kraft seit 2021). Trotz oberflächlicher Ähnlichkeiten – beide etablieren individuelle Rechte an personenbezogenen Daten, beide verhängen erhebliche Strafen bei Verstößen, und beide beschränken grenzüberschreitende Datenübertragungen – spiegeln die beiden Regime grundlegend verschiedene philosophische Orientierungen wider: individuelle Autonomie versus staatliche Souveränität. Dieser Artikel bietet einen systematischen Vergleich von DSGVO und PIPL, wie sie auf den spezifischen Kontext der Hochschulbildung angewandt werden. Unter Heranziehung von Durchsetzungsdaten, die zeigen, dass EU-Datenschutzbehörden 270 Bußgelder in Höhe von insgesamt mehr als 29,3 Millionen Euro gegen Bildungseinrichtungen verhängt haben, und von Forschungsergebnissen, die dokumentieren, dass 81 Prozent der britischen Universitäten die DSGVO-Compliance-Standards nicht erfüllen, weisen wir nach, dass keines der beiden Systeme in der Praxis einen zufriedenstellenden Datenschutz erreicht hat. Wir untersuchen Lernanalytik, KI-gestützte Leistungsbewertung, grenzüberschreitende Studierendenrekrutierung und gemeinsame EU-China-Studienprogramme als vier Bereiche, in denen die regulatorischen Rahmenwerke ihren ernsthaftesten Tests ausgesetzt sind. Wir argumentieren, dass Universitäten, die in beiden Rechtsordnungen tätig sind, vor einer dualen Compliance-Herausforderung stehen, die von der aktuellen Orientierungshilfe unzureichend adressiert wird, und schlagen einen Rahmen zur Navigation dieser sich überschneidenden Pflichten vor.

Schlüsselwörter: DSGVO, PIPL, Studierendendatenschutz, Lernanalytik, Hochschulbildung, grenzüberschreitende Datenflüsse, Datenschutz, EU-China-Vergleich, KI in der Bildung

1. Einleitung

Die digitale Universität ist ihrem Kern nach eine datenproduzierende Institution. Jede Interaktion eines Studierenden mit einem Lernmanagementsystem, jede Einreichung an eine automatisierte Bewertungsplattform, jede Anmeldung an einem Campus-Netzwerk und jede Nutzung eines adaptiven Lernwerkzeugs erzeugt Daten, die gesammelt, gespeichert, analysiert und – zunehmend – über institutionelle und nationale Grenzen hinweg geteilt werden. Die COVID-19-Pandemie hat diesen Prozess dramatisch beschleunigt: Der rasche Wechsel zu Online- und Hybridlernen normalisierte die Erhebung von Datenströmen, die ein Jahrzehnt zuvor undenkbar gewesen wären, darunter Webcam-Aufnahmen von Fernprüfungsüberwachungssystemen, Tastenanschlagdynamik zur Identitätsverifizierung und Engagement-Metriken, die erfassen, wie oft und wie lange Studierende mit Kursmaterialien interagieren.

Zwei umfassende Datenschutzregime regeln nun, wie Universitäten diese Informationen handhaben. Die Datenschutz-Grundverordnung der Europäischen Union, die im Mai 2018 vollständig in Kraft trat, schuf den weltweit ersten umfassenden Rahmen für den Schutz personenbezogener Daten, mit spezifischen Implikationen für Bildungseinrichtungen, die Studierendendaten verarbeiten. Chinas Gesetz zum Schutz personenbezogener Daten, in Kraft seit November 2021, schuf einen parallelen Rahmen, der zwar in vielerlei Hinsicht strukturell der DSGVO ähnelt, jedoch grundlegend andere Annahmen über das Verhältnis zwischen Individuen, Institutionen und dem Staat widerspiegelt.

Für Universitäten, die internationale Zusammenarbeit betreiben – gemeinsame Studiengänge, Studierendenaustausch, kollaborative Forschung, grenzüberschreitende Rekrutierung –, schaffen diese beiden Regime eine duale Compliance-Herausforderung von erheblicher Komplexität. Eine europäische Universität, die chinesische Studierende rekrutiert, muss die PIPL-Anforderungen für die Verarbeitung personenbezogener Daten chinesischer Einwohner erfüllen; eine chinesische Universität, die an einer Erasmus+-Partnerschaft teilnimmt, muss die DSGVO-Pflichten verstehen, die möglicherweise für Daten europäischer Studierender gelten. Doch die beiden Systeme divergieren genau dort, wo die Compliance-Herausforderungen am akutesten sind: in ihren Ansätzen zur grenzüberschreitenden Datenübertragung, zu Einwilligungsanforderungen, Durchsetzungsmechanismen und zur Behandlung Minderjähriger.

Dieser Artikel bietet einen systematischen Vergleich von DSGVO und PIPL, wie sie auf die Hochschulbildung angewandt werden, organisiert um vier Fragen. Erstens: Wie reguliert jedes Rahmenwerk die zentralen Datenverarbeitungsaktivitäten von Universitäten – Einschreibung, Bewertung, Analytik und Kommunikation? Zweitens: Wo konvergieren und wo divergieren die beiden Systeme in ihren philosophischen Grundlagen und praktischen Anforderungen? Drittens: Welche spezifischen Herausforderungen ergeben sich für Institutionen, die gleichzeitig unter beiden Regimen operieren? Viertens: Welche praktischen Strategien können Universitäten anwenden, um eine sinnvolle Compliance mit beiden Rahmenwerken zu erreichen?

2. Der DSGVO-Rahmen für die Bildung

2.1 Rechtsgrundlagen für die Verarbeitung von Studierendendaten

Die DSGVO (Verordnung 2016/679) sieht sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten vor, von denen drei für Universitäten am relevantesten sind: Einwilligung (Artikel 6 Absatz 1 Buchstabe a), Erfüllung eines Vertrags (Artikel 6 Absatz 1 Buchstabe b) und berechtigte Interessen (Artikel 6 Absatz 1 Buchstabe f). Europäische Universitäten stützen sich typischerweise auf eine Kombination dieser Rechtsgrundlagen. Einschreibung und akademische Verwaltung werden in der Regel auf vertragliche Notwendigkeit gestützt – der Studierende hat einen Bildungsvertrag mit der Einrichtung geschlossen. Forschung mit Studierendendaten kann sich auf berechtigte Interessen oder, bei sensiblen Datenkategorien, auf ausdrückliche Einwilligung stützen.

Die Anwendung dieser Rechtsgrundlagen auf Lernanalytik hat sich als besonders umstritten erwiesen. Liu und Khalil (2023) identifizieren in einem systematischen Review von 47 Studien, die in führenden Fachzeitschriften für Bildungstechnologie veröffentlicht wurden, eine fundamentale Spannung: Der DSGVO-Grundsatz der Zweckbindung – dass für einen Zweck erhobene Daten nicht ohne zusätzliche Rechtsgrundlage zweckentfremdet werden sollten – steht in unbehaglichem Verhältnis zum offenen, explorativen Charakter der Lernanalytik, bei der sich der Wert von Daten oft erst durch Analysen erschließt, die zum Zeitpunkt der Erhebung nicht vorhergesehen wurden. Prinsloo, Slade und Khalil (2022) argumentieren aus der Perspektive der kritischen Datenwissenschaften, dass rein technologische Lösungen für diese Spannung unzureichend sind; das Machtgefälle zwischen Institutionen und Studierenden bedeutet, dass eine bedeutsame Einwilligung oft illusorisch ist, insbesondere wenn Studierende das Gefühl haben, die Datenerhebung nicht ablehnen zu können, ohne akademische Konsequenzen zu erleiden.

2.2 Durchsetzungslandschaft

Die Durchsetzung der DSGVO im Bildungssektor war uneinheitlich, aber zunehmend bedeutsam. Laut dem CMS GDPR Enforcement Tracker Report für 2024/2025 haben Datenschutzbehörden in 25 EU-Mitgliedstaaten insgesamt 270 Bußgelder gegen Schulen, Universitäten und andere Bildungseinrichtungen verhängt, die sich auf mehr als 29,3 Millionen Euro belaufen. Die häufigsten Verstöße sind die Verarbeitung ohne ausreichende Rechtsgrundlage (90 Bußgelder) und unzureichende technische und organisatorische Maßnahmen zum Schutz der Daten (76 Bußgelder) (CMS 2025).

Der folgenreichste Einzelfall für die Hochschulbildung war die Entscheidung der italienischen Datenschutzbehörde von 2021 gegen die Bocconi-Universität, die ein Bußgeld von 200.000 Euro für die Nutzung der Fernprüfungsüberwachungssoftware Respondus verhängte. Die Behörde stellte fest, dass die Universität keine gültige Einwilligung eingeholt, keine Datenschutz-Folgenabschätzung durchgeführt, unzureichende Transparenz über die Datenverarbeitung geboten und keine Rechtsgrundlage für die Verarbeitung biometrischer Daten gehabt hatte – Verstöße, die zusammen die Compliance-Herausforderungen illustrieren, vor denen Universitäten beim Einsatz überwachungsnaher Bildungstechnologien stehen (Garante 2021).

Doch die Durchsetzung erfasst nur einen Teil des Bildes. Eine Studie des Beratungsunternehmens 7DOTS aus dem Jahr 2024 untersuchte 335 britische Universitäten und Hochschulen und fand eine Nicht-Compliance-Quote von 81 Prozent mit DSGVO-Standards. Nur 32 Prozent hatten eine Consent-Management-Plattform implementiert, und von diesen waren 66 Prozent fehlerhaft konfiguriert (7DOTS 2024). Diese Ergebnisse legen nahe, dass das Compliance-Defizit des Bildungssektors nicht primär eine Frage bewusster Verstöße ist, sondern der institutionellen Kapazität: Universitäten fehlen die Ressourcen, die Expertise und die organisatorischen Strukturen, um die Anforderungen der DSGVO effektiv umzusetzen.

2.3 Studierendendatenschutz jenseits des Hörsaals

Die Datenschutzherausforderungen, vor denen Universitäten stehen, gehen weit über das Lernmanagementsystem hinaus. Giuffrida und Hall (2023) zeigen, dass die Technologieintegration in der Hochschulbildung Datenschutzrisiken auf Unternehmensebene schafft – institutionelle Datensysteme, Campus-Netzwerke und Verwaltungsplattformen –, die sich vom pädagogischen Kontext unterscheiden. Blackmon und Major (2023) finden in einem PRISMA-basierten systematischen Review der Studierendenperspektiven auf Privatsphäre in technologiegestützten Lehrveranstaltungen erhebliche Wissenslücken: Studierende verstehen oft nicht, welche Daten über sie erhoben werden, wie sie genutzt werden oder welche Rechte sie haben. Kumi-Yeboah und Kollegen (2023) dokumentieren Angst und Besorgnis über Datenübergriffe unter diversen Studierendenpopulationen, mit besonderer Besorgnis über Lernmanagementsysteme und die Integration sozialer Medien. Diese Ergebnisse legen zusammengenommen nahe, dass die Betonung der informierten Einwilligung in der DSGVO vor einem praktischen Hindernis steht: Die Informationsasymmetrie zwischen Institutionen und Studierenden ist so groß, dass eine echte informierte Einwilligung für viele Datenverarbeitungsaktivitäten unerreichbar sein könnte.

3. Chinas PIPL: Struktur und bildungsbezogene Implikationen

3.1 Architektonischer Überblick

Chinas Gesetz zum Schutz personenbezogener Daten, in Kraft seit dem 1. November 2021, schafft einen umfassenden Rahmen für den Schutz personenbezogener Daten, der in vielerlei Hinsicht strukturell parallel zur DSGVO verläuft – extraterritoriale Reichweite, individuelle Rechte (Auskunft, Berichtigung, Löschung, Übertragbarkeit), Anforderungen an Datenschutz-Folgenabschätzungen und erhebliche Strafen bei Verstößen –, während er grundlegend andere philosophische Überzeugungen widerspiegelt (Li und Chen 2024; Lim und Oh 2025).

Das PIPL definiert „personenbezogene Daten" breit als alle Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person, die auf elektronischem oder anderem Wege aufgezeichnet werden (Artikel 4). Wie die DSGVO legt es Rechtsgrundlagen für die Verarbeitung fest – Einwilligung, vertragliche Notwendigkeit, gesetzliche Verpflichtung, öffentliche Gesundheitsnotfälle, Nachrichtenberichterstattung im öffentlichen Interesse und angemessene Verarbeitung öffentlich zugänglicher Informationen (Artikel 13). Anders als die DSGVO enthält das PIPL jedoch keine „berechtigten Interessen" als eigenständige Rechtsgrundlage, was die Einwilligung zum primären Mechanismus für die rechtmäßige Verarbeitung in den meisten Bildungskontexten macht (IAPP 2021; Zhu 2022).

3.2 Verstärkter Schutz für Minderjährige

Die Behandlung Minderjähriger im PIPL stellt eine der bedeutsamsten Abweichungen von der DSGVO dar. Artikel 28 stuft alle personenbezogenen Daten von Personen unter 14 Jahren als „sensible personenbezogene Daten" ein, unabhängig von ihrer Art, und verlangt die Einwilligung der Eltern für die Verarbeitung sowie eine separate Datenschutz-Folgenabschätzung. Zhang und Kollnig (2024) zeichnen in einer Studie, die in International Data Privacy Law veröffentlicht wurde, fünf Gesetzgebungsentwicklungen nach, die den Schutz von Kindern im chinesischen Recht progressiv verstärkt haben, und dokumentieren gleichzeitig erhebliche Lücken zwischen den gesetzlichen Anforderungen und der tatsächlichen Praxis in chinesischen Anwendungen.

Für Universitäten sind die Implikationen indirekt, aber wichtig. Obwohl die meisten Studierenden über 14 Jahre alt sind, betreffen Rekrutierungsaktivitäten an weiterführenden Schulen, Sommerprogramme für Minderjährige und duale Einschreibungsprogramme alle die Verarbeitung von Daten von Personen, die in diese geschützte Kategorie fallen können. Der Ansatz des PIPL ist in diesem speziellen Bereich wohl strenger als der der DSGVO: Die DSGVO setzt das Alter der digitalen Einwilligung auf 16 Jahre fest (mit Ermessensspielraum der Mitgliedstaaten, es auf 13 Jahre zu senken), stuft aber nicht automatisch alle Daten Minderjähriger als sensibel ein.

3.3 Datenlokalisierung und grenzüberschreitende Übertragung

Die Anforderungen des PIPL an die grenzüberschreitende Datenübertragung gehören zu seinen praktisch folgenreichsten Bestimmungen für internationale Universitäten. Artikel 38 legt drei Mechanismen für die Übermittlung personenbezogener Daten ins Ausland fest: Bestehen einer von der Cyberspace-Verwaltung Chinas (CAC) organisierten Sicherheitsbewertung, Erlangung einer Zertifizierung zum Schutz personenbezogener Daten von einer spezialisierten Einrichtung oder Abschluss eines von der CAC formulierten Standardvertrags mit dem ausländischen Empfänger. Im Oktober 2025 erließen die CAC und die Staatliche Verwaltung für Marktregulierung gemeinsam die Maßnahmen zur Zertifizierung der grenzüberschreitenden Übertragung personenbezogener Daten, in Kraft seit dem 1. Januar 2026, und vervollständigten damit dieses Drei-Säulen-Rahmenwerk (CMS Law-Now 2025).

Darüber hinaus verlangen die Vorschriften zum Management der Netzwerkdatensicherheit, in Kraft seit dem 1. Januar 2025, dass Organisationen, die personenbezogene Daten von mehr als 10 Millionen Personen verarbeiten, einen Datensicherheitsbeauftragten ernennen und regelmäßige Audits durchführen (Staatsrat 2024). Obwohl nur wenige einzelne Universitäten diese Schwelle erreichen, tun dies aggregierte Bildungsplattformen und nationale Studierenden-Informationssysteme häufig.

Die praktischen Implikationen für die internationale akademische Zusammenarbeit sind erheblich. Wie das Büro des General Counsel am MIT (2022) feststellte, wird das PIPL immer dann ausgelöst, wenn eine Einrichtung Zulassungsanträge von chinesischen Staatsangehörigen mit Wohnsitz in China erhält, dort Rekrutierungsaktivitäten durchführt, Online-Kurse anbietet, die chinesischen Einwohnern zugänglich sind, Humanforschung mit Daten chinesischer Einwohner durchführt oder mit chinesischen akademischen Einrichtungen zusammenarbeitet, die Studierendendaten teilen. Die American Association of Collegiate Registrars and Admissions Officers (AACRAO 2022) hat spezifische Compliance-Leitlinien für Zulassungs- und Immatrikulationsbüros veröffentlicht, die das wachsende Bewusstsein widerspiegeln, dass die routinemäßige internationale Studierendenrekrutierung nun Datenschutzpflichten sowohl unter der DSGVO als auch dem PIPL mit sich bringt.

4. Systematischer Vergleich

4.1 Philosophische Grundlagen

Der grundlegendste Unterschied zwischen DSGVO und PIPL liegt nicht in ihren technischen Bestimmungen, sondern in ihren philosophischen Orientierungen. Die DSGVO entstammt einer Tradition des individuellen Rechteschutzes, verwurzelt in der Europäischen Menschenrechtskonvention und der EU-Grundrechtecharta. Ihre Kernannahme ist, dass der Schutz personenbezogener Daten ein Grundrecht des Einzelnen ist, das nur unter bestimmten Bedingungen und vorbehaltlich einer Verhältnismäßigkeitsprüfung eingeschränkt werden kann. Li und Chen (2024) führen in ihrer Analyse des „Brüssel-Effekts" auf das chinesische Datenschutzrecht ein „Gravitationsassistenz"-Modell ein: Während der strukturelle Einfluss der DSGVO auf das PIPL offensichtlich ist, spiegelt Chinas Übernahme nicht Konvergenz, sondern strategische Anpassung an seinen eigenen politischen, kulturellen und rechtlichen Kontext wider.

Das PIPL hingegen spiegelt wider, was Lim und Oh (2025) als „staatliche Souveränitäts"-Orientierung beschreiben. Das Gesetz verfolgt gleichzeitig mehrere Ziele: den Schutz der individuellen Privatsphäre, gewiss, aber auch die Wahrung der nationalen Sicherheit, die Förderung der digitalen Wirtschaft und die Aufrechterhaltung sozialer Stabilität. Die Durchsetzung des Gesetzes ist unter der CAC zentralisiert, die gleichzeitig für Internetzensur, Cybersicherheit und Daten-Governance zuständig ist – eine Kombination, die unter der Anforderung unabhängiger Aufsichtsbehörden nach Artikel 52 der DSGVO unzulässig wäre.

4.2 Strukturelle Unterschiede

Mehrere strukturelle Unterschiede haben direkte Implikationen für Universitäten:

Einwilligung: Die DSGVO kennt sechs Rechtsgrundlagen für die Verarbeitung; das Fehlen einer „berechtigte Interessen"-Grundlage im PIPL macht die Einwilligung zentraler, insbesondere für die Verarbeitung von Bildungsdaten, die über die vertragliche Notwendigkeit hinausgehen. Das PIPL verlangt zusätzlich eine separate Einwilligung für grenzüberschreitende Übertragungen (Artikel 39) und für die Verarbeitung sensibler personenbezogener Daten (Artikel 29).

Sanktionen: Die DSGVO sieht maximale Bußgelder von 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Das PIPL sieht maximale Bußgelder von 50 Millionen RMB (ca. 6,4 Millionen Euro) oder 5 Prozent des Vorjahresumsatzes bei schwerwiegenden Verstößen vor, zuzüglich möglicher persönlicher Haftung der verantwortlichen Personen – ein Merkmal ohne direkte DSGVO-Entsprechung (IAPP 2021; DataGuidance 2022).

Durchsetzung: Die Durchsetzung der DSGVO ist dezentralisiert über nationale Datenschutzbehörden, mit Koordination durch den Europäischen Datenschutzausschuss. Die Durchsetzung des PIPL ist zentralisiert unter der CAC, mit zusätzlicher sektorspezifischer Aufsicht durch das Bildungsministerium für Bildungseinrichtungen. Die DSGVO verlangt, dass Aufsichtsbehörden unabhängig sind; das PIPL stellt keine solche Anforderung.

Grenzüberschreitende Übertragungen: Die DSGVO erlaubt Übertragungen in Länder mit „angemessenem" Datenschutz (Angemessenheitsbeschlüsse) oder durch Standardvertragsklauseln (SCCs) und verbindliche Unternehmensregeln (BCRs). Das PIPL bietet Sicherheitsbewertung, Standardverträge und Zertifizierung, verwendet aber keinen Angemessenheitsmechanismus – es gibt keine Liste „sicherer" Länder, in die Daten frei fließen können (Fernandez-Novel Escobar 2025).

Betroffenenrechte: Beide Rahmenwerke gewähren weitgehend ähnliche individuelle Rechte: Auskunft, Berichtigung, Löschung und Übertragbarkeit. Das PIPL gewährt darüber hinaus Angehörigen das Recht, die Datenrechte verstorbener Personen auszuüben – eine Bestimmung mit potenzieller Relevanz für Universitäten, die die Aufzeichnungen verstorbener Studierender verwalten (DataGuidance 2022). Das PIPL enthält auch eine breitere Definition „sensibler personenbezogener Daten", die Finanzdaten, Standortdaten und biometrische Informationen neben den von der DSGVO anerkannten Kategorien umfasst.

4.3 Konvergenz und Divergenz

Trotz dieser Unterschiede konvergieren die beiden Rahmenwerke in wichtigen Punkten. Beide erfordern Datenschutz-Folgenabschätzungen für risikoreiche Verarbeitungen. Beide schreiben Transparenzpflichten vor, die klare, zugängliche Datenschutzhinweise verlangen. Beide sehen Datenübertragbarkeit vor – das Recht, die eigenen personenbezogenen Daten in einem strukturierten, maschinenlesbaren Format zu erhalten. Beide etablieren eine extraterritoriale Reichweite und gelten für Einrichtungen außerhalb ihres Rechtsgebiets, die Daten ihrer Einwohner verarbeiten. Und beide schreiben die Meldung von Datenschutzverletzungen vor, allerdings mit unterschiedlichen Fristen: 72 Stunden unter der DSGVO (Artikel 33) gegenüber einem nicht spezifizierten, aber zeitnahen Zeitrahmen unter dem PIPL.

Das sich abzeichnende Muster ist Konvergenz auf der Ebene der Grundsätze – beide Systeme erkennen an, dass personenbezogene Daten Schutz verdienen, dass Individuen Rechte über ihre Daten haben sollten und dass Organisationen für ihre Verarbeitungsaktivitäten zur Verantwortung gezogen werden müssen – bei erheblicher Divergenz auf der Ebene der Umsetzung, der philosophischen Begründung und der Durchsetzungskultur. Wie Solove (2022) bemerkt, wird das PIPL oft als „Chinas DSGVO" beschrieben, doch diese Charakterisierung verschleiert wichtige strukturelle Unterschiede, die direkte praktische Konsequenzen für Organisationen haben, die unter beiden Regimen operieren.

5. Lernanalytik: Der kritische Testfall

Lernanalytik stellt den Bereich dar, in dem die Spannung zwischen Datenschutz und Bildungsinnovation am akutesten ist. Universitäten setzen zunehmend prädiktive Analysesysteme ein, die historische Studierendendaten nutzen, um gefährdete Studierende zu identifizieren, Interventionen zu empfehlen und Lernpfade zu personalisieren. Diese Systeme erfordern die Verarbeitung großer Mengen von Studierendendaten – oft aus mehreren Quellen aggregiert und mit maschinellen Lernalgorithmen analysiert – in einer Weise, die die Grundprinzipien sowohl der DSGVO als auch des PIPL herausfordert.

Unter der DSGVO stehen Lernanalytiksysteme vor Herausforderungen auf mehreren Fronten. Zweckbindung (Artikel 5 Absatz 1 Buchstabe b) verlangt, dass Daten für festgelegte, eindeutige Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. Doch der Wert von Lernanalytik hängt oft genau von dieser Art der Zweckänderung ab: Daten, die für die Kursverwaltung erhoben wurden, werden auf Muster analysiert, die in die institutionelle Strategie einfließen. Datenminimierung (Artikel 5 Absatz 1 Buchstabe c) verlangt, dass nur angemessene, erhebliche und auf das notwendige Maß beschränkte Daten verarbeitet werden – doch prädiktive Modelle arbeiten typischerweise besser mit mehr Daten, was einen strukturellen Anreiz zur maximalen Erhebung schafft. Transparenz (Artikel 13-14) verlangt, dass Einzelpersonen über automatisierte Entscheidungsfindung informiert werden – doch die Komplexität maschineller Lernmodelle macht eine aussagekräftige Erläuterung oft schwierig.

Unter dem PIPL steht Lernanalytik vor zusätzlichen Herausforderungen. Das Fehlen einer Rechtsgrundlage der berechtigten Interessen bedeutet, dass Universitäten sich bei Analysen, die über die unmittelbare Bildungserbringung hinausgehen, typischerweise auf die Einwilligung stützen müssen. Die Anforderung einer separaten Einwilligung für die Verarbeitung sensibler Daten (Artikel 29) kann durch Analysen ausgelöst werden, die Daten zur akademischen Leistung in einer Weise verarbeiten, die geschützte Merkmale offenbart. Und die Datenlokalisierungsanforderungen bedeuten, dass Analyseplattformen, die von internationalen Anbietern betrieben werden, komplexe grenzüberschreitende Übertragungsregeln navigieren müssen.

Xue und Kollegen (2025) fanden in einer Analyse der KI-Datenschutzbedenken in der Hochschulbildung über chinesische und englischsprachige Medien hinweg, dass beide Kontexte zwar KI-gestützte Prüfungsüberwachung, Studierendendatensicherheit und institutionelle Governance als zentrale Anliegen identifizieren, die Schwerpunktsetzung sich jedoch unterscheidet: Die westliche Berichterstattung stellt individuelle Datenschutzrechte in den Vordergrund, während die chinesische Berichterstattung häufiger die Beziehung zwischen KI-getriebener Bildungsinnovation und institutioneller Governance adressiert. Diese Divergenz spiegelt den breiteren philosophischen Unterschied zwischen den beiden regulatorischen Rahmenwerken wider.

Lachheb und Kollegen (2023) argumentieren, dass die Wahrung des Studierendendatenschutzes in der Bildungstechnologie nicht nur Aufmerksamkeit für Politik und Recht erfordert, sondern auch für Designethik – die in die technologischen Systeme selbst eingebetteten Grundsätze. Sie schlagen ein Rahmenwerk vor, das Instruktionsdesignern hilft zu bewerten, ob Designmuster unbeabsichtigt die Handlungsfähigkeit der Lernenden untergraben, und legen nahe, dass die Compliance mit DSGVO oder PIPL Intervention in der Designphase erfordert, nicht nur auf der Politikebene. Liu, Khalil und Kollegen (2025) erforschen die synthetische Datenerzeugung mit differentiellen Datenschutzmechanismen als technischen Ansatz für diese Herausforderung, der Lernanalytik-Forschung ermöglicht, ohne individuelle Studierendenaufzeichnungen offenzulegen.

6. KI-gestützte Bewertung und Prüfungsüberwachung

Die EU-KI-Verordnung (Verordnung 2024/1689), die am 1. August 2024 in Kraft trat, fügt eine weitere regulatorische Schicht für europäische Universitäten hinzu. Die Verordnung stuft KI-Systeme für Bildungsbewertung und Prüfungsüberwachung als „hochriskant" gemäß Anhang III Abschnitt 3 ein und verlangt Konformitätsbewertungen, menschliche Aufsicht und technische Dokumentation. Artikel 5 Absatz 1 Buchstabe f verbietet Emotionserkennungssysteme in Bildungseinrichtungen (Europäisches Parlament und Rat 2024).

Die Wechselwirkung zwischen KI-Verordnung und DSGVO schafft eine geschichtete Compliance-Pflicht: Universitäten, die KI-gestützte Bewertungswerkzeuge einsetzen, müssen sowohl die Anforderungen der KI-Verordnung für Hochrisikosysteme als auch die DSGVO-Anforderungen für die rechtmäßige Datenverarbeitung erfüllen. Der Fall der Bocconi-Universität demonstriert die Konsequenzen des Versäumnisses, Letztere zu erfüllen; die KI-Verordnung wird ab August 2026 zusätzliche Anforderungen hinzufügen. Ein Bericht des Rockefeller Institute of Government von 2025 empfiehlt Universitäten, ihre KI-Anwendungsfälle gegen die Risikokategorien der Verordnung abzubilden als ersten Schritt zur Compliance, unter Verweis auf die Governance-Modelle der Universität Utrecht und der Universität Edinburgh als Referenzrahmen (Rockefeller Institute 2025).

Chinas Ansatz für KI in der Bildungsbewertung spiegelt seine sektorspezifische Regulierungsphilosophie wider. Anstelle eines einzelnen umfassenden KI-Gesetzes reguliert China KI in der Bildung durch eine Kombination aus den Übergangsmaßnahmen für generative KI-Dienste von 2023, den PIPL-Bestimmungen zur automatisierten Entscheidungsfindung und Richtlinien des Bildungsministeriums. Die Nutzung von KI-Prüfungsüberwachung und -Überwachungstechnologien an chinesischen Universitäten unterliegt zwar den PIPL-Einwilligungsanforderungen, sieht sich aber nicht den kategorialen Beschränkungen ausgesetzt, die das EU-KI-Verordnungsverbot der Emotionserkennung auferlegt. Diese regulatorische Asymmetrie hat praktische Implikationen für Technologieunternehmen, die Bewertungswerkzeuge für beide Märkte entwickeln: Für China konzipierte Systeme können Funktionen enthalten, die in der EU verboten sind, und umgekehrt.

Der Fall Bocconi illustriert eine breitere Spannung. Fernprüfungsüberwachungssysteme – die typischerweise Webcam-Aufnahmen erfassen, Augenbewegungen verfolgen, Tastatur- und Mausaktivitäten überwachen und Gesichtserkennung zur Identitätsverifizierung einsetzen können – verarbeiten Datenkategorien, die die strengsten Anforderungen der DSGVO auslösen: biometrische Daten (Artikel 9), automatisierte Entscheidungsfindung (Artikel 22) und Profiling. Unter dem PIPL werden biometrische Informationen als sensible personenbezogene Daten eingestuft, die eine separate Einwilligung erfordern (Artikel 28), aber es gibt kein kategorisches Verbot, das mit dem Emotionserkennungsverbot der KI-Verordnung vergleichbar wäre. Das Ergebnis ist eine Regulierungslandschaft, in der dieselbe Technologie in einer Rechtsordnung rechtmäßig und in der anderen verboten sein kann, abhängig von ihren spezifischen Fähigkeiten und der herangezogenen Rechtsgrundlage.

7. Gemeinsame EU-China-Programme: Duale Compliance in der Praxis

Die akutesten Compliance-Herausforderungen ergeben sich bei gemeinsamen EU-China-Studienprogrammen, bei denen Studierendendaten routinemäßig Rechtsordnungsgrenzen überschreiten. Eine europäische Universität, die einen gemeinsamen Studiengang mit einer chinesischen Partnerinstitution anbietet, muss Einschreibungsdaten, akademische Aufzeichnungen und potenziell Lernanalytikdaten zwischen beiden Einrichtungen übertragen – Übertragungen, die gleichzeitig die DSGVO-Anforderungen für internationale Datenübertragung und die PIPL-Bestimmungen für grenzüberschreitende Übertragung erfüllen müssen.

Die praktischen Schwierigkeiten sind erheblich. DSGVO-Übertragungen nach China können derzeit nicht auf einen Angemessenheitsbeschluss gestützt werden (die Europäische Kommission hat China nicht als Land mit angemessenem Datenschutzniveau anerkannt). Standardvertragsklauseln können verwendet werden, müssen aber durch eine Transferfolgenabschätzung ergänzt werden, die chinesische Überwachungsgesetze und staatliche Zugriffsbestimmungen berücksichtigt – eine Bewertung, deren Schlussfolgerungen ungünstig ausfallen können. In der umgekehrten Richtung erfordern PIPL-Übertragungen nach Europa einen der drei oben beschriebenen Mechanismen: CAC-Sicherheitsbewertung, Standardvertrag oder Zertifizierung.

Die Orientierungshilfe des Future of Privacy Forum für US-amerikanische Hochschuleinrichtungen (Zanfir-Fortuna 2020) illustriert, obwohl nicht direkt auf den EU-China-Kontext anwendbar, die Komplexität internationaler akademischer Datenflüsse. Der Bericht identifiziert zehn Compliance-Schritte, die internationale Universitäten adressieren müssen, darunter Datenerfassung, Identifizierung der Rechtsgrundlage, Anbietermanagement und Meldeverfahren für Datenschutzverletzungen – die jeweils sowohl für DSGVO- als auch PIPL-Anforderungen angepasst werden müssen.

Diese Herausforderungen sind nicht hypothetisch. Chinesisch-europäische gemeinsame Programme haben sich in den letzten Jahrzehnten erheblich ausgeweitet. China beherbergt Hunderte von chinesisch-ausländischen kooperativen Bildungsprogrammen, die vom Bildungsministerium genehmigt wurden, viele davon mit europäischen Partnerinstitutionen. Das EU-Programm Erasmus+ unterstützt den akademischen Austausch mit chinesischen Universitäten. Das EU-China-Tuning-Projekt hat Studiengangsstrukturen über Dutzende von Institutionen hinweg angeglichen. In jedem dieser Kontexte sind Studierendendatenflüsse zwischen Rechtsordnungen routinemäßig und notwendig – doch der rechtliche Rahmen für diese Flüsse bleibt fragmentiert und unsicher.

Eine spezifische Herausforderung ergibt sich im Kontext der Studierendenrekrutierung. Europäische Universitäten rekrutieren aktiv chinesische Studierende – China war vor der Pandemie das größte Herkunftsland für internationale Studierende in Europa und hat diese Position weitgehend wiedererlangt. Unter dem PIPL verarbeitet eine europäische Universität, die personenbezogene Daten von chinesischen Studieninteressierten über Online-Bewerbungsportale, Rekrutierungsveranstaltungen in China oder Agenturpartnerschaften erhebt, personenbezogene Daten chinesischer Einwohner und unterliegt daher den PIPL-Anforderungen, einschließlich der Pflicht, die Einwilligung auf Chinesisch einzuholen, einen dem chinesischen Recht entsprechenden Datenschutzhinweis bereitzustellen und das Rahmenwerk für grenzüberschreitende Übertragungen für die Übermittlung von Bewerbungsdaten zurück nach Europa zu navigieren. Nur wenige europäische Universitäten haben ihre Rekrutierungspraktiken an diese Anforderungen angepasst.

Für Universitäten, die EU-China-Kooperationen betreiben, identifizieren wir vier praktische Strategien zur Bewältigung der dualen Compliance. Erstens Datenminimierung am Übertragungspunkt: nur die für das gemeinsame Programm minimal notwendigen Daten teilen, wo immer möglich anonymisierte oder pseudonymisierte Daten verwenden. Zweitens architektonische Trennung: separate Datensysteme für EU- und China-Operationen pflegen, mit kontrollierten Schnittstellen für den notwendigen Datenaustausch. Drittens vertragliche Rahmenwerke: bilaterale Datenaustauschabkommen entwickeln, die ausdrücklich sowohl DSGVO- als auch PIPL-Anforderungen adressieren, einschließlich Bestimmungen für Betroffenenrechte, Meldung von Datenschutzverletzungen und Datenaufbewahrung. Viertens institutioneller Kapazitätsaufbau: in Personalschulung und Datenschutzexpertise investieren, die beide regulatorischen Rahmenwerke umfasst.

8. Die Bereitschaftslücke

Trotz der Bedeutung dieser regulatorischen Rahmenwerke deuten empirische Belege darauf hin, dass Universitäten in beiden Rechtsordnungen mit einer erheblichen Bereitschaftslücke konfrontiert sind. Im europäischen Kontext steht der Befund von 7DOTS (2024), dass 81 Prozent der britischen Universitäten die DSGVO-Compliance-Standards nicht erfüllen, im Einklang mit den CMS-Enforcement-Tracker-Daten, die anhaltende Verstöße in 25 Mitgliedstaaten zeigen. Die Analyse von XL Law and Consulting dokumentiert 45 DSGVO-Durchsetzungsmaßnahmen gegen Bildungseinrichtungen, mit einem durchschnittlichen Bußgeld von etwa 32.600 Euro – bescheiden im Vergleich zum Technologiesektor, aber bedeutsam für Einrichtungen mit begrenzten Budgets (XL Law 2023).

Die Analyse von XL Law and Consulting zu DSGVO-Durchsetzungsmaßnahmen offenbart ein weiteres sektorales Muster: Bildungseinrichtungen machen weniger als 3 Prozent aller DSGVO-Durchsetzungsmaßnahmen aus, mit einem durchschnittlichen Bußgeld von etwa 32.600 Euro – verglichen mit 1,8 Millionen Euro über alle Sektoren hinweg. Spanien, Italien und Polen sind für über 65 Prozent der Durchsetzungsmaßnahmen gegen Hochschuleinrichtungen verantwortlich. Bemerkenswerterweise schützten Selbstmeldungen von Datenschutzverletzungen die Institutionen nicht vor erheblichen Bußgeldern, was darauf hindeutet, dass proaktive Compliance-Bemühungen über die Reaktion auf Vorfälle hinausgehen müssen (XL Law 2023).

Im chinesischen Kontext manifestiert sich die Bereitschaftslücke anders. Obwohl das PIPL seit November 2021 in Kraft ist, war die Durchsetzung im Bildungssektor weniger sichtbar als im Technologie- und Finanzsektor. Der Schwerpunkt lag auf Plattformunternehmen, die Daten in großem Maßstab verarbeiten, und nicht auf einzelnen Bildungseinrichtungen. Allerdings signalisieren die Vorschriften zum Management der Netzwerkdatensicherheit (in Kraft seit Januar 2025) und die Zertifizierungsmaßnahmen für grenzüberschreitende Übertragungen (in Kraft seit Januar 2026) eine zunehmende regulatorische Aufmerksamkeit für Daten-Governance-Praktiken über alle Sektoren hinweg, einschließlich der Bildung.

Die Stellungnahme 28/2024 des Europäischen Datenschutzausschusses, verabschiedet im Dezember 2024, adressiert Datenschutzaspekte des Trainings und Einsatzes von KI-Modellen und stellt fest, dass die DSGVO auf KI-Modelle Anwendung findet, die mit personenbezogenen Daten trainiert wurden, da diese über Memorisierungsfähigkeiten verfügen (EDPB 2024). Für Universitäten, die KI-basierte Bildungswerkzeuge entwickeln oder einsetzen, hat diese Stellungnahme erhebliche Implikationen: Selbst KI-Modelle, die personenbezogene Daten nicht in erkennbarer Form speichern, können den DSGVO-Anforderungen unterliegen, wenn sie dazu veranlasst werden können, personenbezogene Informationen zu erzeugen.

9. Empfehlungen für Universitäten

Auf der Grundlage unserer vergleichenden Analyse schlagen wir sieben Empfehlungen für Universitäten vor, die die sich überschneidenden Anforderungen von DSGVO und PIPL navigieren wollen:

Erstens: eine umfassende Dateninventur durchführen, die alle Verarbeitungsaktivitäten personenbezogener Daten, ihre Rechtsgrundlagen unter DSGVO und PIPL und alle grenzüberschreitenden Datenflüsse identifiziert. Diese Inventur sollte nicht nur formale akademische Prozesse abdecken, sondern auch Nebensysteme: Campus-WLAN-Analytik, Bibliotheksdatenbanken, Karriereservice-Plattformen und Alumni-Managementsysteme.

Zweitens: ein einheitliches Datenschutz-Governance-Rahmenwerk etablieren, das sowohl DSGVO- als auch PIPL-Anforderungen adressiert. Obwohl die beiden Gesetze sich in ihren philosophischen Orientierungen unterscheiden, überschneiden sich ihre praktischen Anforderungen erheblich. Ein Rahmenwerk, das in jedem Bereich die strengere der beiden Anforderungen erfüllt, wird im Allgemeinen Compliance mit beiden erreichen.

Drittens: ein Einwilligung-plus-Modell für Lernanalytik einführen. Da das Fehlen einer Rechtsgrundlage der berechtigten Interessen im PIPL die Einwilligung zentraler macht als unter der DSGVO, sollten Universitäten, die internationale Zusammenarbeit betreiben, Einwilligungsmechanismen aufbauen, die PIPL-Standards erfüllen – die typischerweise die DSGVO-Anforderungen übertreffen und somit beide Rahmenwerke befriedigen.

Viertens: Datenschutz durch Technikgestaltung in der Beschaffung und Entwicklung von Bildungstechnologie implementieren. Das Rahmenwerk von Lachheb und Kollegen (2023) für Designethik in der Bildungstechnologie bietet einen Ausgangspunkt, ebenso die Orientierungshilfe des EDPB zu KI und personenbezogenen Daten. Beschaffungsverträge sollten ausdrücklich verlangen, dass Anbieter die Compliance mit sowohl DSGVO als auch PIPL nachweisen, wo zutreffend.

Fünftens: in institutionelle Kapazität investieren. Die von 7DOTS (2024) und CMS (2025) dokumentierte Bereitschaftslücke spiegelt nicht bewusste Nicht-Compliance wider, sondern unzureichende Expertise und Ressourcen. Universitäten sollten Datenschutzbeauftragte mit spezifischer Expertise in Bildungsdaten und internationalen Datenflüssen benennen und regelmäßige Schulungen für Lehrende und Verwaltungspersonal anbieten.

Sechstens: bilaterale Datenaustauschvereinbarungen für gemeinsame Programme mit chinesischen (oder europäischen) Partnerinstitutionen entwickeln. Diese Vereinbarungen sollten über Standardvertragsklauseln hinausgehen und die spezifischen Anforderungen von Bildungsdaten adressieren: akademische Aufzeichnungen, Bewertungsdaten, Lernanalytik und Forschungsdaten stellen jeweils eigene Compliance-Herausforderungen dar.

Siebtens: regulatorische Entwicklungen aktiv beobachten. Beide Rahmenwerke entwickeln sich rasch weiter. Die Hochrisiko-Anforderungen der EU-KI-Verordnung für KI in der Bildung treten im August 2026 vollständig in Kraft. Chinas Maßnahmen zur Zertifizierung grenzüberschreitender Datenübertragungen traten im Januar 2026 in Kraft. Die Angemessenheitsbeschlüsse der Europäischen Kommission und die Standardvertragsbestimmungen der CAC unterliegen der Revision. Universitäten, die den Datenschutz als einmalige Compliance-Übung behandeln und nicht als fortlaufende Governance-Funktion, werden unweigerlich ins Hintertreffen geraten.

10. Schlussfolgerung

Der Vergleich von DSGVO und PIPL im Bildungskontext offenbart ein Paradox: Zwei der weltweit umfassendsten Datenschutzregime, die beide vorgeben, Individuen vor dem Missbrauch ihrer personenbezogenen Daten zu schützen, divergieren in ihren philosophischen Annahmen so fundamental, dass die Compliance mit dem einen nicht die Compliance mit dem anderen sicherstellt. Die Betonung der individuellen Autonomie, unabhängigen Aufsicht und Zweckbindung in der DSGVO spiegelt europäische demokratische Traditionen wider; die Betonung der staatlichen Souveränität, zentralisierten Durchsetzung und nationalen Sicherheit im PIPL spiegelt Chinas eigenständiges Governance-Modell wider. Keines der beiden Systeme hat nachweislich einen angemessenen Datenschutz in der Praxis erreicht – europäische Durchsetzungsdaten dokumentieren weitverbreitete Nicht-Compliance, während die chinesische Durchsetzung im Bildungsbereich noch im Entstehen begriffen ist.

Für Universitäten liegt die praktische Herausforderung darin, diese sich überschneidenden und manchmal widersprüchlichen Anforderungen zu navigieren und gleichzeitig die internationale Zusammenarbeit aufrechtzuerhalten, die für die moderne Hochschulbildung unerlässlich ist. Die duale Compliance-Herausforderung ist nicht lediglich eine juristische Technikalität; sie spiegelt tiefere Fragen über die Rolle von Daten in der Bildung, das Gleichgewicht zwischen institutioneller Macht und individuellen Rechten und die Möglichkeit eines bedeutsamen Datenschutzes in einer zunehmend datafizierten Lernumgebung wider.

Was bei dieser Herausforderung auf dem Spiel steht, geht über die rechtliche Compliance hinaus. Studierendendatenschutz ist letztlich eine Frage des Vertrauens: Studierende müssen darauf vertrauen, dass ihre Universitäten mit ihren personenbezogenen Daten verantwortungsvoll umgehen, dass ihre akademischen Aufzeichnungen nicht gegen sie verwendet werden, dass ihre Lernverhaltensweisen nicht ohne ihr Wissen überwacht werden und dass ihre Daten nicht an Parteien weitergegeben werden, die sie nicht autorisiert haben. Wenn Universitäten diese Erwartungen nicht erfüllen – sei es durch DSGVO-Verstöße, die in den CMS-Durchsetzungsdaten dokumentiert sind, durch undurchsichtige Lernanalytiksysteme oder durch Prüfungsüberwachungstechnologien, die ohne angemessene Einwilligung eingesetzt werden –, untergraben sie das Vertrauen, das für die Bildungsbeziehung grundlegend ist.

Wir haben argumentiert, dass weder der europäische noch der chinesische Ansatz allein ein adäquates Modell bietet. Die Betonung individueller Rechte und unabhängiger Aufsicht in der DSGVO bietet wichtige Schutzmaßnahmen gegen institutionelle Übergriffe, doch ihre Komplexität und Durchsetzungslücken untergraben ihre Wirksamkeit. Die zentralisierte Durchsetzung und klaren Compliance-Pfade des PIPL bieten praktische Vorteile, doch seine Unterordnung unter staatliche Interessen wirft Fragen nach dem Schutz auf, den es gegen staatliche Überwachung gewährt. Eine Synthese, die europäische rechtebasierte Grundsätze mit chinesischer regulatorischer Effizienz verbindet – oder bescheidener: ein Satz praktischer Leitlinien, der es Universitäten ermöglicht, beide Rahmenwerke gleichzeitig zu erfüllen –, bleibt der vielversprechendste Weg nach vorn. Die in diesem Artikel vorgeschlagenen Empfehlungen stellen einen ersten Beitrag zu dieser Synthese dar, gegründet auf den spezifischen Datenschutzherausforderungen, denen Universitäten im Zeitalter der digitalen Bildung gegenüberstehen.

Danksagung

Diese Forschung wurde im Rahmen des Jean-Monnet-Exzellenzzentrums „EUSC-DEC" (EU-Förderkennzeichen 101126782, 2023–2026) durchgeführt. Der Autor dankt den Mitgliedern der Forschungsgruppe 1 (Regulierung der Digitalisierung in China und Europa) für ihre Beiträge zur vergleichenden Rechtsanalyse.

Literaturverzeichnis

7DOTS. (2024). Report: 81% of Universities at Risk of Fines Due to Failure to Safeguard Student Data. 7DOTS. Available at: https://www.7dots.com/our-insights/81-of-universities-at-risk-of-fines-due-to-failure-to-safeguard-student-data/

American Association of Collegiate Registrars and Admissions Officers (AACRAO). (2022). China's Personal Information Protection Law (PIPL). AACRAO. Available at: https://www.aacrao.org/advocacy/compliance/

Blackmon, S. J. & Major, C. H. (2023). Inclusion or infringement? A systematic research review of students' perspectives on student privacy in technology-enhanced, hybrid and online courses. British Journal of Educational Technology, 54(6), 1542–1565. DOI: 10.1111/bjet.13362

CMS Law. (2025). GDPR Enforcement Tracker Report 2024/2025: Public Sector and Education. CMS International Law Firm. Available at: https://cms.law/en/int/publication/gdpr-enforcement-tracker-report/public-sector-and-education

CMS Law-Now. (2025). China issues Measures for the Certification of the Cross-Border Transfer of Personal Information. CMS e-Alert, November 2025. Available at: https://cms-lawnow.com/en/ealerts/2025/11/

DataGuidance. (2022). Comparing Privacy Laws: GDPR v. PIPL. DataGuidance. Available at: https://www.dataguidance.com/sites/default/files/gdpr_v_pipl_.pdf

European Data Protection Board (EDPB). (2024). Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models. Adopted 17 December 2024. Available at: https://www.edpb.europa.eu/

European Parliament and Council. (2024). Regulation (EU) 2024/1689 of 13 June 2024 laying down harmonised rules on artificial intelligence (Artificial Intelligence Act). Official Journal of the European Union, L series.

Fernandez-Novel Escobar, E. (2025). How do the European Union's GDPR and China's PIPL regulate cross-border data flows? International Policy Review, IE University, 27 January 2025.

Garante per la protezione dei dati personali (Italy). (2021). Decision 9703988 — Fine against Università Commerciale Luigi Bocconi, 16 September 2021. Reported by EDPB. Available at: https://edpb.europa.eu/

Giuffrida, I. & Hall, A. (2023). Technology integration in higher education and student privacy beyond learning environments — A comparison of the UK and US perspective. British Journal of Educational Technology, 54(6), 1587–1603. DOI: 10.1111/bjet.13375

International Association of Privacy Professionals (IAPP). (2021). Analyzing China's PIPL and how it compares to the EU's GDPR. IAPP. Available at: https://iapp.org/news/a/analyzing-chinas-pipl-and-how-it-compares-to-the-eus-gdpr

Kumi-Yeboah, A., Kim, Y., Yankson, B., Aikins, S. & Dadson, Y. A. (2023). Diverse students' perspectives on privacy and technology integration in higher education. British Journal of Educational Technology, 54(6), 1671–1692. DOI: 10.1111/bjet.13386

Lachheb, A. et al. (2023). The role of design ethics in maintaining students' privacy: A call to action to learning designers in higher education. British Journal of Educational Technology, 54(6), 1653–1670. DOI: 10.1111/bjet.13382

Li, W. & Chen, J. (2024). From Brussels Effect to Gravity Assists: Understanding the Evolution of the GDPR-Inspired Personal Information Protection Law in China. Computer Law and Security Review, 54, 105994. DOI: 10.1016/j.clsr.2024.105994

Lim, S. & Oh, J. (2025). Navigating Privacy: A Global Comparative Analysis of Data Protection Laws. IET Information Security, 2025(1). DOI: 10.1049/ise2/5536763

Liu, Q. & Khalil, M. (2023). Understanding privacy and data protection issues in learning analytics using a systematic review. British Journal of Educational Technology, 54(6), 1466–1485. DOI: 10.1111/bjet.13388

Liu, Q., Khalil, M., Shakya, R., Jovanovic, J. & de la Hoz-Ruiz, J. (2025). Ensuring privacy through synthetic data generation in education. British Journal of Educational Technology. DOI: 10.1111/bjet.13576

MIT Office of General Counsel. (2022). China and the PIPL: New Protections and Rights for Personal Information. MIT. Available at: https://ogc.mit.edu/latest/china-and-pipl-new-protections-and-rights-personal-information

Prinsloo, P., Slade, S. & Khalil, M. (2022). The answer is (not only) technological: Considering student data privacy in learning analytics. British Journal of Educational Technology, 53(4), 876–893. DOI: 10.1111/bjet.13216

Rockefeller Institute of Government. (2025). The European AI Act and Its Implications for New York State Higher Education. November 2025. Available at: https://rockinst.org/

Solove, D. J. (2022). The limitations of privacy rights. Notre Dame Law Review, 98(3), 975–1036.

State Council of the People's Republic of China. (2024). Regulations on Network Data Security Management (effective 1 January 2025). Published 30 September 2024.

XL Law and Consulting. (2023). GDPR Enforcement Actions: Lessons Learned for Colleges and Universities. XL Law and Consulting. Available at: https://www.xllawconsulting.com/

Xue, Y., Chinapah, V., & Zhu, C. (2025). A Comparative Analysis of AI Privacy Concerns in Higher Education: News Coverage in China and Western Countries. Education Sciences, 15(6), 650. DOI: 10.3390/educsci15060650

Zanfir-Fortuna, G. (2020). The General Data Protection Regulation: Analysis and Guidance for US Higher Education Institutions. Future of Privacy Forum. Available at: https://fpf.org/blog/gdprhighered/

Zhang, L. & Kollnig, K. (2024). Theory and practice: the protection of children's personal information in China. International Data Privacy Law, 14(1), 37–52. DOI: 10.1093/idpl/ipad017

Zhu, J. (2022). The Personal Information Protection Law: China's Version of the GDPR? Columbia Journal of Transnational Law: The Bulletin. Available at: https://www.jtl.columbia.edu/



Retrieved from "https://bou.de/u/index.php?title=Rethinking_Higher_Education/de/Chapter_3&oldid=175951"