Identity Provider sollten grundsätzlich in der Lage sein, einen empfohlenen Mindestsatz an Attributen zu generieren und zu übertragen. Dies bedeutet jedoch nicht, dass diese Attribute ungefragt an jeden beliebigen Service Provider übertragen werden sollten.
Attributfreigaben sollten nur unter Beachtung der aktuell gültigen Datenschutzgesetze und -bestimmungen erfolgen. Beachten Sie das Prinzip der Datensparsamkeit: Übertragen Sie nur die Attribute und Attributwerte, die zur Nutzung des jeweiligen Dienstes erforderlich sind.
Konsultieren Sie hierzu den*die Datenschutzbeauftragte*n Ihrer Heimateinrichtung.
Außer in Ausnahmefällen (mit dem/der Datenschutzbeauftragten abzustimmen), sollte ein IdP-seitiges User Consent Modul zum Einsatz kommen. Es ermöglicht den Nutzer*innen, die zu übertragenden Attribute und Attributwerte zu kontrollieren und ihre Übertragung ggf. zu unterbinden. Siehe hierzu auch die Seite Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls.