FAQ

Das Digital Trust Label kennzeichnet die Vertrauenswürdigkeit digitaler Anwendungen (Websites und Apps). Unsere Definition einer digitalen Anwendung entspricht der offiziellen Definition der Europäischen Kommission. Digitale Anwendungen umfassen eine grosse Kategorie von Online-Anwendungen, von einfachen Websites bis hin zu Internet-Infrastrukturdiensten und Online-Plattformen. Wir erwarten auditierbare Anwendungen in drei Kategorien:

Komplexitätsstufen:

1. Anwendungen mit geringer Komplexität (z. B. Newsletter-Abonnement)
2. Anwendungen mittlerer Komplexität (z. B. Instant-Messaging-Apps)
3. Hochkomplexe Anwendungen (z. B. Blockchain-Infrastruktur und Bankdienstleistungen)

Ein Label macht nicht für jede digitale Anwendung Sinn, jedoch  für Anwendungen, bei denen besonders sensible Daten ausgetauscht werden und/oder ein Algorithmus eine Entscheidung trifft.

Das Digital Trust Label richtet sich besonders an digitale Anwendungen bei denen einen Vielzahl an sensitiven Informationen (z.B. Nutzerdaten) verwendet werden und/oder ein automatisierter Entscheidungsprozess stattfindet. Besonders betroffene Industrien sind dabei der öffentliche Sektor, Gesundheitswesen, Media, HR, Bildung sowie Banken und Versicherungen. Das Label richtet sich primär an B2C Services.

Schritt 1) Einen Überblick über den Kriterienkatalog sowie den Auditing Prozess inkl. Kosten verschaffen. Die generellen Kosten liegen zwischen 22’000 – 45’000 CHF und richten sich nach der Komplexität der zu zertifizierenden digitalen Dienstleistung. 

Schritt 2) Eine interne Abstimmung welche digitale Dienstleistung auf die DTL Kriterien passt. Generell wird eine B2C Dienstleistung empfohlen, welche von einer Breite an Nutzer: innen benutzt wird und/oder einen automatisierten Entscheid trifft. 

Schritt 3) Sobald eine digitale Dienstleistung identifiziert wurde, wird Kontakt zu Diana (DTL Projektmanagerin) via diana@sdi-foundation.org aufgenommen, um einen Scoping Call mit dem Auditor (SGS) aufzusetzen. Hierbei wird die ausgewählte digitale Dienstleistung seitens der Unternehmen technisch vorgestellt und die Komplexität vom Auditor ermittelt sowie die nächsten Schritte im Auditprozess besprochen.

Im Rahmen des DTL Audits wird kein Code Review vorgenommen. Anstelle wird auf solide Methoden gesetzt, z.B. wird ein durch den Anbieter oder einen externen Dienstleister durchgeführtes Code review bezüglich Scope und Ergebnissen im Rahmen des Audits als Evidenz nachgenutzt. Sollte ein solches nicht vorliegen und auch keine ausreichenden alternativen Evidenzen zur Erfüllung der Kriterien geliefert werden, können in Einzelfällen Source Code ‘Spot-Checks’ durchgeführt werden, also eine Betrachtung einzelner, kurzer Ausschnitte.

Die Sicherheit einer Anwendung wird vor allem in den Kategorien Sicherheit, Datenschutz und Verlässlichkeit einer digitalen Anwendung überprüft. Hierbei werden u.a. State-of-the-Art Passwörter Schutz, Best-Practices zur Authentifizierung sowie Prozesse zur Vermeidung und Bekämpfung von Cyber-Attacken geprüft. Konkret werden dabei Evidenzen in Form von PenTests, Monitoring, Coding Standards, Testpläne und SLAs mit Drittanbieter evaluiert. Wichtig ist jedoch zu betonen, dass das Label keine 100% Sicherheit gewährleisten kann (nicht möglich).

Die Überprüfung der Fairness-Kriterien bezieht sich vor allem auf die faire und uneingeschränkte Nutzung digitaler Dienstleistungen über alle Bevölkerungsgruppierungen, Geschlechter etc. Es dürfen keine Menschen systematisch ausgeschlossen oder benachteiligt werden. Dieses wird überprüft durch z.B. Analyse des Decision Flows (soweit möglich), durchgeführte Test-Cases, entsprechende Analysen von Drittanbietern (KI-Zertifizierung o.ä.) oder auch anhand einzelner Demonstrationen während des Audits.

Das Digital Trust Label signalisiert den Nutzern, dass der Anbieter der auditierten digitalen Anwendung bereit ist, über die gesetzlichen Anforderungen hinauszugehen. Das Label wird also nicht unbedingt durch neue Vorschriften überflüssig, aber es wird ständig weiterentwickelt werden. Natürlich begrüsst SDI einen standardisierten Ansatz, der digitale Anwendungen reguliert und die Transparenz und das Vertrauen für die Verbraucher erhöht. Bis es eine einheitliche Gesetzgebung gibt, glauben wir, dass das Label diesem wichtigen Anliegen als Soft-Law-Instrument dienen kann.

Ein hochrangiges Experten-Komitee war für die Festlegung der Kriterien für den Katalog des Digital Trust Label verantwortlich, und zwei öffentliche Konsultationsverfahren haben allen interessierten Akteuren die Möglichkeit gegeben, Feedback und Inputs zur Definition „vertrauenswürdiger digitaler Anwendungen“ zu geben.
Derzeit sind die 35 definierten Kriterien für das Siegel auf vier Kategorien (Sicherheit, Datenschutz, Zuverlässigkeit und faire Interaktion mit den Nutzer:Innen) verteilt. Anpassungen oder Ergänzungen der Kategorien und/oder Kriterien sind im Laufe der Entwicklung des Digital Trust Labels möglich. Wir sind bestrebt, einen anspruchsvollen Kriterienkatalog anzubieten. Das Label muss einen starken Zweck erfüllen; wir müssen jedoch auch den Kompromiss zwischen der Entwicklung eines anspruchsvollen Labels und einer pragmatischen Durchführung des Audits durch die Unternehmen berücksichtigen.
Das Label soll verstanden werden als das Ergebnis einer kontinuierlichen und gemeinschaftlichen Anstrengung zur Stärkung der Transparenz, Vertrauenswürdigkeit und Verständlichkeit digitaler Anwendungen.
Die erste Version soll kontinuierlich weiterentwickelt werden.

er Kriterienkatalog und die Dimensionen des Labels basieren auf verschiedenen Studien und der Arbeit eines Experten-komitees.
Die von uns durchgeführte Studie über digitales Vertrauen aus einer Nutzer:Inne-Perspektive (alle Ergebnisse sind hier veröffentlicht), hat gezeigt, dass die vier Kategorien im Zusammenspiel gleichermassen relevant sind.
Auf der Grundlage dieser Erkenntnisse haben wir uns für einen ganzheitlichen Ansatz bei den Kriterien des Labels entschieden. Vier Schlüsseldimensionen bilden den Kern der Label-Kriterien. Die Operationalisierung der Kernprinzipien erfolgt durch präzise technische, rechtliche oder administrative Vorgaben, die extern überprüft werden können.
Der Katalog baut auf bestehenden Normen wie ISO 27001 ), ISO 22301 und GDPR (europäische Datenschutzvorschriften) auf.

Der Audit Aufwand richtet sich nach einigen Parametern wie z.B. der Vollständigkeit der relevanten Unterlagen, Verfügbarkeit der relevanten Ressourcen sowie Erkenntnisse aus dem Audit (Non-Conformities). Generell gilt es zu sagen, dass mit einem Aufwand von ca. 14 Arbeitstagen insgesamt gerechnet werden muss. Dies beinhaltet die Zusammentragung der Dokumente, Interviews mit dem Auditor, allfällige Nachbereitung inkl. weiterer Fragen seitens des Auditors.

Wir beabsichtigen, eine unabhängige Ombudsperson aufzubauen, die in Zukunft alle potenziellen Verstösse aufgreifen und von Fall zu Fall prüfen soll. Bis dahin nehmen wir alle Rückmeldungen und potenziellen Verstösse über das Kontaktformular entgegen.

SDI ist Eigentümerin des Labels, legt also die Kriterien und Schritte zur Erlangung fest und trifft die endgültige Entscheidung über die Vergabe des Labels. Die Hauptinteraktion während des gesamten Label-Prozesses erfolgt mit SDI und dem Auditor. Sobald der Auditbericht vorliegt, führen unabhängige Experten die technische Prüfung durch, um den finalen Label-Entscheid zu fällen. SDI hat beschlossen, die technische Überprüfung durchzuführen, um dem Label zusätzlich Glaubwürdigkeit zu verleihen.

Je nach zu prüfender digitalen Anwendung sind möglicherweise nicht alle Kriterien des Labels anwendbar. In solchen Fällen wird der Auditor die Liste der anwendbaren Kriterien bewerten und direkt mit der Organisation besprechen. Wenn die Mehrheit der Kriterien für das Label auf die zu prüfende digitale Anwendung nicht anwendbar ist, kann das Label als ungeeignet für diese digitale Anwendung angesehen werden. In diesem Fall hat SDI das Recht, den Auditprozess abzubrechen, um die Glaubwürdigkeit und den Standard des Labels zu wahren.

Für die erste Phase des Digital Trust Label Audits sind in erster Linie Policy- und Prozedur-Dokumente erforderlich, welche die generelle Umsetzung im Bezug auf die einzelnen Anforderungen des Digital Trust Label Standards beschreiben. Dies kann zum Beispiel den internen Information Security Standard, Data Privacy Standard oder das Risk-Assessment umfassen. Auch Disaster Recovery Pläne oder Legal Approvals können von Relevanz sein. Falls solche Dokumente nicht vorhanden sind, können auch informelle Beschreibungen bereitgestellt werden.
In der zweiten Phase, dem eigentlichen Audit, muss die Umsetzung der Policies und Prozeduren für den Service in scope nachgewiesen werden. Hierbei setzen die Auditoren soweit möglich auf bereits vorhandene Evidenzen, z.B. auf vorhanden (ISO 27001) Auditberichte, Penetrationsberichte oder Testreports. Auch detaillierte checks anhand von Demonstrationen am Live-System oder prüfen von Konfigurationen (z.B. Servern) sind möglich. Für externe Services werden zum Beispiel SLAs oder Verträge mit Dienstleistern begutachtet.