Dtl 704449549

FAQ

Wie definieren Sie eine digitale Anwendung?

Das Digital Trust Label kennzeichnet die Vertrauenswürdigkeit digitaler Anwendungen (Websites und Apps). Unsere Definition einer digitalen Anwendung entspricht der offiziellen Definition der Europäischen Kommission. Digitale Anwendungen umfassen eine grosse Kategorie von Online-Anwendungen, von einfachen Websites bis hin zu Internet-Infrastrukturdiensten und Online-Plattformen. Wir erwarten auditierbare Anwendungen in drei Kategorien:

Komplexitätsstufen:

  1. Anwendungen mit geringer Komplexität (z. B. Newsletter-Abonnement)
  2. Anwendungen mittlerer Komplexität (z. B. Instant-Messaging-Apps)
  3. Hochkomplexe Anwendungen (z. B. Blockchain-Infrastruktur und Bankdienstleistungen)

Ein Label macht nicht für jede digitale Anwendung Sinn, jedoch  für Anwendungen, bei denen besonders sensible Daten ausgetauscht werden und/oder ein Algorithmus eine Entscheidung trifft.

Für welche digitalen Anwendungen ist das Labels besonders interessant und relevant?

Das Digital Trust Label richtet sich besonders an digitale Anwendungen bei denen einen Vielzahl an sensitiven Informationen (z.B. Nutzerdaten) verwendet werden und/oder ein automatisierter Entscheidungsprozess stattfindet. Besonders betroffene Industrien sind dabei der öffentliche Sektor, Gesundheitswesen, Media, HR, Bildung sowie Banken und Versicherungen. Das Label richtet sich primär an B2C Services.

Was muss ich konkret machen, um den Prozess zu starten?

Schritt 1) Einen Überblick über den Kriterienkatalog sowie den Auditing Prozess inkl. Kosten verschaffen. Die generellen Kosten liegen zwischen 22’000 – 45’000 CHF und richten sich nach der Komplexität der zu zertifizierenden digitalen Dienstleistung. 

Schritt 2) Eine interne Abstimmung welche digitale Dienstleistung auf die DTL Kriterien passt. Generell wird eine B2C Dienstleistung empfohlen, welche von einer Breite an Nutzer: innen benutzt wird und/oder einen automatisierten Entscheid trifft. 

Schritt 3) Sobald eine digitale Dienstleistung identifiziert wurde, wird Kontakt zu Diana (DTL Projektmanagerin) via diana@sdi-foundation.org aufgenommen, um einen Scoping Call mit dem Auditor (SGS) aufzusetzen. Hierbei wird die ausgewählte digitale Dienstleistung seitens der Unternehmen technisch vorgestellt und die Komplexität vom Auditor ermittelt sowie die nächsten Schritte im Auditprozess besprochen.

Wird beim Auditing ein Code-Review vorgenommen?

Im Rahmen des DTL Audits wird kein Code Review vorgenommen. Anstelle wird auf solide Methoden gesetzt, z.B. wird ein durch den Anbieter oder einen externen Dienstleister durchgeführtes Code review bezüglich Scope und Ergebnissen im Rahmen des Audits als Evidenz nachgenutzt. Sollte ein solches nicht vorliegen und auch keine ausreichenden alternativen Evidenzen zur Erfüllung der Kriterien geliefert werden, können in Einzelfällen Source Code ‘Spot-Checks’ durchgeführt werden, also eine Betrachtung einzelner, kurzer Ausschnitte.

Wie wird die Sicherheit einer Anwendung überprüft?

Die Sicherheit einer Anwendung wird vor allem in den Kategorien Sicherheit, Datenschutz und Verlässlichkeit einer digitalen Anwendung überprüft. Hierbei werden u.a. State-of-the-Art Passwörter Schutz, Best-Practices zur Authentifizierung sowie Prozesse zur Vermeidung und Bekämpfung von Cyber-Attacken geprüft. Konkret werden dabei Evidenzen in Form von PenTests, Monitoring, Coding Standards, Testpläne und SLAs mit Drittanbieter evaluiert. Wichtig ist jedoch zu betonen, dass das Label keine 100% Sicherheit gewährleisten kann (nicht möglich).

Wie werden KI-Anwendungen auf Fairness überprüft?

Die Überprüfung der Fairness-Kriterien bezieht sich vor allem auf die faire und uneingeschränkte Nutzung digitaler Dienstleistungen über alle Bevölkerungsgruppierungen, Geschlechter etc. Es dürfen keine Menschen systematisch ausgeschlossen oder benachteiligt werden. Dieses wird überprüft durch z.B. Analyse des Decision Flows (soweit möglich), durchgeführte Test-Cases, entsprechende Analysen von Drittanbietern (KI-Zertifizierung o.ä.) oder auch anhand einzelner Demonstrationen während des Audits.

Wird das Gütesiegel obsolet, wenn neue Vorschriften auf europäischer Ebene eingeführt werden?

Das Digital Trust Label signalisiert den Nutzern, dass der Anbieter der auditierten digitalen Anwendung bereit ist, über die gesetzlichen Anforderungen hinauszugehen. Das Label wird also nicht unbedingt durch neue Vorschriften überflüssig, aber es wird ständig weiterentwickelt werden. Natürlich begrüsst SDI einen standardisierten Ansatz, der digitale Anwendungen reguliert und die Transparenz und das Vertrauen für die Verbraucher erhöht. Bis es eine einheitliche Gesetzgebung gibt, glauben wir, dass das Label diesem wichtigen Anliegen als Soft-Law-Instrument dienen kann.

Wie sind Sie zu den Kriterien des Label-Katalogs gekommen? Planen Sie, den Kriterienkatalog weiterzuentwickeln?

Ein hochrangiges Experten-Komitee war für die Festlegung der Kriterien für den Katalog des Digital Trust Label verantwortlich, und zwei öffentliche Konsultationsverfahren haben allen interessierten Akteuren die Möglichkeit gegeben, Feedback und Inputs zur Definition „vertrauenswürdiger digitaler Anwendungen“ zu geben.
Derzeit sind die 35 definierten Kriterien für das Siegel auf vier Kategorien (Sicherheit, Datenschutz, Zuverlässigkeit und faire Interaktion mit den Nutzer:Innen) verteilt. Anpassungen oder Ergänzungen der Kategorien und/oder Kriterien sind im Laufe der Entwicklung des Digital Trust Labels möglich. Wir sind bestrebt, einen anspruchsvollen Kriterienkatalog anzubieten. Das Label muss einen starken Zweck erfüllen; wir müssen jedoch auch den Kompromiss zwischen der Entwicklung eines anspruchsvollen Labels und einer pragmatischen Durchführung des Audits durch die Unternehmen berücksichtigen.
Das Label soll verstanden werden als das Ergebnis einer kontinuierlichen und gemeinschaftlichen Anstrengung zur Stärkung der Transparenz, Vertrauenswürdigkeit und Verständlichkeit digitaler Anwendungen.
Die erste Version soll kontinuierlich weiterentwickelt werden.

Warum konzentrieren Sie sich auf vier Dimensionen, anstatt nur eine gründlich zu prüfen? Ist es überhaupt machbar, diese komplexe und vielfältige Anzahl von Kriterien zu prüfen?

er Kriterienkatalog und die Dimensionen des Labels basieren auf verschiedenen Studien und der Arbeit eines Experten-komitees.
Die von uns durchgeführte Studie über digitales Vertrauen aus einer Nutzer:Inne-Perspektive (alle Ergebnisse sind hier veröffentlicht), hat gezeigt, dass die vier Kategorien im Zusammenspiel gleichermassen relevant sind.
Auf der Grundlage dieser Erkenntnisse haben wir uns für einen ganzheitlichen Ansatz bei den Kriterien des Labels entschieden. Vier Schlüsseldimensionen bilden den Kern der Label-Kriterien. Die Operationalisierung der Kernprinzipien erfolgt durch präzise technische, rechtliche oder administrative Vorgaben, die extern überprüft werden können.
Der Katalog baut auf bestehenden Normen wie ISO 27001 ), ISO 22301 und GDPR (europäische Datenschutzvorschriften) auf.

Wie lange dauert ein Audit?

Der Audit Aufwand richtet sich nach einigen Parametern wie z.B. der Vollständigkeit der relevanten Unterlagen, Verfügbarkeit der relevanten Ressourcen sowie Erkenntnisse aus dem Audit (Non-Conformities). Generell gilt es zu sagen, dass mit einem Aufwand von ca. 14 Arbeitstagen insgesamt gerechnet werden muss. Dies beinhaltet die Zusammentragung der Dokumente, Interviews mit dem Auditor, allfällige Nachbereitung inkl. weiterer Fragen seitens des Auditors.

Was geschieht, wenn Anbieter digitaler Anwendungen gegen das Labelverstossen, kann dies der SDI gemeldet werden?

Wir beabsichtigen, eine unabhängige Ombudsperson aufzubauen, die in Zukunft alle potenziellen Verstösse aufgreifen und von Fall zu Fall prüfen soll. Bis dahin nehmen wir alle Rückmeldungen und potenziellen Verstösse über das Kontaktformular entgegen.

Welche Rolle spielt SDI bei den Audits?

SDI ist Eigentümerin des Labels, legt also die Kriterien und Schritte zur Erlangung fest und trifft die endgültige Entscheidung über die Vergabe des Labels. Die Hauptinteraktion während des gesamten Label-Prozesses erfolgt mit SDI und dem Auditor. Sobald der Auditbericht vorliegt, führen unabhängige Experten die technische Prüfung durch, um den finalen Label-Entscheid zu fällen. SDI hat beschlossen, die technische Überprüfung durchzuführen, um dem Label zusätzlich Glaubwürdigkeit zu verleihen.

Was geschieht, wenn nicht alle Kriterien auf eine digitale Anwendung anwendbar sind?

Je nach zu prüfender digitalen Anwendung sind möglicherweise nicht alle Kriterien des Labels anwendbar. In solchen Fällen wird der Auditor die Liste der anwendbaren Kriterien bewerten und direkt mit der Organisation besprechen. Wenn die Mehrheit der Kriterien für das Label auf die zu prüfende digitale Anwendung nicht anwendbar ist, kann das Label als ungeeignet für diese digitale Anwendung angesehen werden. In diesem Fall hat SDI das Recht, den Auditprozess abzubrechen, um die Glaubwürdigkeit und den Standard des Labels zu wahren.

Welche Evidenzen werden im Zuge des Digital Trust Label Audits gefordert?

Für die erste Phase des Digital Trust Label Audits sind in erster Linie Policy- und Prozedur-Dokumente erforderlich, welche die generelle Umsetzung im Bezug auf die einzelnen Anforderungen des Digital Trust Label Standards beschreiben. Dies kann zum Beispiel den internen Information Security Standard, Data Privacy Standard oder das Risk-Assessment umfassen. Auch Disaster Recovery Pläne oder Legal Approvals können von Relevanz sein. Falls solche Dokumente nicht vorhanden sind, können auch informelle Beschreibungen bereitgestellt werden.
In der zweiten Phase, dem eigentlichen Audit, muss die Umsetzung der Policies und Prozeduren für den Service in scope nachgewiesen werden. Hierbei setzen die Auditoren soweit möglich auf bereits vorhandene Evidenzen, z.B. auf vorhanden (ISO 27001) Auditberichte, Penetrationsberichte oder Testreports. Auch detaillierte checks anhand von Demonstrationen am Live-System oder prüfen von Konfigurationen (z.B. Servern) sind möglich. Für externe Services werden zum Beispiel SLAs oder Verträge mit Dienstleistern begutachtet.

Was ist der USP des Digital Trust Labels?

Das Digital Trust Label bringt Vertrauen, Einfachheit und Transparenz in die Technologiebranche zurück.
Durch die Verwendung einer klaren, visuellen, einfachen und nicht-technischen Sprache kennzeichnet das Digital Trust Label die Vertrauenswürdigkeit digitaler Dienste auf eine Weise, die jeder verstehen kann.

Durch die Kombination der Dimensionen Sicherheit, Datenschutz, Zuverlässigkeit und faire Nutzerinteraktion verfolgt das DTL einen ganzheitlichen Ansatz, wenn es darum geht, die komplexe Frage des digitalen Vertrauens zu beantworten. Darüber hinaus wurde das Siegel im Rahmen eines Multi-Stakeholder-Ansatzes mit Vertretern aus dem privaten und öffentlichen Sektor sowie der Zivilgesellschaft entwickelt.

Das Digital Trust Label ist ein konkretes Soft-Law-Instrument und baut auf bestehenden Normen wie ISO und GDPR auf.
Das Digital Trust Label ermöglicht es Unternehmen daher, renommierte Standards mit einem zusätzlichen nutzerzentrierten Ansatz zu kombinieren, der vor allem durch die Kategorie "Faire Nutzerinteraktion" erreicht wird.