Wie ein Label Vertrauen im digitalen Raum schaffen soll
Alt-Bundesrätin Doris Leuthard präsidiert die Swiss Digital Initiative. Im Interview am Rande des CNO-Panels sagt sie, wo es in Bundesbern bei der Digitalisierung klemmt, was im Bereich E-Governance noch zu tun ist und wie ein neues Label Vertrauen schaffen soll.
Die Schweiz liegt in puncto Digitalisierung im Rückstand. Das zeigen etwa die Beispiele E-ID oder EPD. Was ist Ihrer Ansicht nach die dringendste Baustelle?
Doris Leuthard: Ja, das ist wirklich beklagenswert! Beim Bund gibt es eben immer das Problem, dass man Angst hat, etwas verpflichtend einzuführen. Die Freiwilligkeit funktioniert aber erst recht nicht, weil einfach zu wenig Skalierung möglich ist. Hinzu kommt der Streit um die Zuständigkeiten – wer setzt was um? Da muss der Bund besser führen und klare Ziele definieren.
Der Ball liegt in dieser Frage also beim Bund?
Ja. Der Bund muss natürlich nicht alles allein machen. Aber die Ziele müsste er schon definieren. Wir haben zwar eine gemeinsame Dachstrategie, aber zwei, drei Departemente streiten sich um die Zuständigkeit. Das sehen wir aktuell am Beispiel Cyber. Da sehen drei Departemente die Kompetenzen und damit die Zuständigkeit bei sich. Jetzt wurde entschieden: sie liegt beim VBS. Es ist wichtig, dass die Zuständigkeit ganz klar geregelt ist. Malware zum Beispiel ist ein Problem für alle Departemente. Da müssen wir die Expertinnen und Experten an einem Ort bündeln. Darum glaube ich, dass wir eine Bundesdigitalstrategie brauchen, in der man die Ziele bis 2030 setzt, die Zuständigkeit an einem Ort bündelt und auch den entsprechenden Kreditrahmen spricht.
Wo muss die Legislative ansetzen, damit wir in diesem Bereich vorwärtskommen?
Sollte vom Bundesrat nichts kommen, muss das Parlament mehr Druck aufsetzen oder selbst ein Konzept erarbeiten und einbringen. Den Bedarf haben die Parlamentarier ja auch selbst: Sie informieren sich zunehmend im digitalen Raum und halten Sitzungen online ab. Die so entstandenen Daten müssen ja auch irgendwo gespeichert und geschützt werden. Dazu braucht es auch sichere Logins. Gibt es aber dereinst eine Bundesstrategie, sollte das Parlament den Bundesrat da unterstützen und die nötigen Kredite sprechen.
An IT-Fachkongressen hört man immer wieder, der Föderalismus stehe der digitalen Transformation im Weg – speziell im Gesundheitswesen. Wie sehen Sie das?
Ich bin grundsätzlich überzeugt vom Föderalismus – der Steuerwettbewerb ist für die Schweiz beispielsweise ein Vorteil. Es gibt aber Bereiche, in denen alles schwerfälliger wird. Denken Sie an eine Gemeinde: Die kauft Hard- und Software für ein Projekt ein. Dann hat der Kanton, vielleicht auch der Bund, doch plötzlich eigene Ideen, an die sich die Gemeinde anpassen muss. Diese Anpassung der Systeme funktioniert oft schlecht oder nur mit grossem Aufwand. Das verursacht unnötige Kosten. E-Government hat es daher schwer, hier ist der Föderalismus nicht hilfreich. Ein gemeinsames Vorgehen wäre sinnvoller. Das Beispiel der Strassenverkehrsämter zeigt, dass das geht. Wir haben ein System für die ganze Schweiz, und jeder Kanton kann seine Spezifitäten einbringen. Gerade im Gesundheitsbereich wäre eine gemeinsame Plattform meines Erachtens dringend nötig.
Sie präsidieren die Swiss Digital Initiative (SDI). Was genau wollen Sie mit der Stiftung erreichen?
Aktuell gibt es in der digitalen Welt kaum Governance. Es gibt zwar Regeln aus der analogen Welt wie das Strafrecht, die auch in der digitalen Welt gelten. Da braucht es aber noch viele Anpassungen, etwa im Umgang mit Robotern und künstlicher Intelligenz. Auch um Ethik-Fragen kümmert sich kaum jemand. Dazu kommt, dass Europa seine Führungsrolle im Technologiebereich verloren hat – die Tech-Giganten sitzen in den Vereinigten Staaten und in China. Das versetzt uns dafür in die Lage, beim Thema der Governance im Internet den Lead zu übernehmen. So entstand die Idee, die Schweiz mit Genf als «Digital Governance Hub» zu positionieren. Die Europäische Union hat in diesem Bereich mit dem Digital Markets Act und dem Digital Services Act bereits Pionierarbeit geleistet
Was hat Sie persönlich zu diesem Engagement bewogen?
Ich kam über meine Arbeit beim «UN High Level Panel on digital Cooperation» der UNO dazu. Aber auch im Bundesrat hatten wir gemeinsam mit Johann Schneider-Ammann den Beirat «Digital», um in diesen Fragen gemeinsame Lösungen zu finden. Technische Sachverständige bin ich natürlich nicht. Ich kann im Bereich Governance und beim Aufbau von Strukturen unterstützen. Das Thema ist äusserst spannend. Für die Schweiz ist es wichtig, dass wir uns da international positionieren.
Das derzeitige Hauptprojekt der Stiftung ist das sogenannte Digital Trust Label. Was hat es damit auf sich?
Wenn Sie als User eine App verwenden oder eine Website besuchen, haben Sie oft keine Ahnung, was mit Ihren Daten passiert. Ob eine KI oder ein Algorithmus diese Daten noch weiter verwendet, können Sie meist nicht nachvollziehen. Die Idee hinter unserem Label ist eigentlich ganz einfach: Es garantiert einen Mindeststandard, ähnlich wie ein Bio-Label. Wenn Konsumentinnen und Konsumenten unser Label sehen, sollen sie wissen, dass sie der Applikation in Sachen Transparenz, Datenschutz etc. vertrauen können.
Ist das Label schon einsatzbereit?
Ja, wir haben es im Januar 2022 national und im Mai am WEF international vorgestellt. Mittlerweile sind es rund 25 Services, die das Label bereits tragen oder im Audit-Prozess sind.
Das Label soll die Vertrauenswürdigkeit digitaler Anwendungen prüfen und zertifizieren. Wie funktioniert das?
Eine wissenschaftliche Gruppe unter der Leitung der EPFL erarbeitete eine Reihe von 35 Indikatoren, anhand derer wir die Vertrauenswürdigkeit einer Anwendung feststellen. Dabei stützte sie sich auch auf die Ergebnisse einer von uns in Auftrag gegebenen Studie, aus der wir Kriterien für die Vertrauensbildung ableiteten. Der Warenprüfer SGS führt dann einen Audit durch. Dazu begutachten sie den jeweiligen Code. Das Label basiert auf bestehenden Standards. Wenn ein Service die Kriterien erfüllt, erhält es das Label. Ansonsten geben wir den Herstellern Feedback, was es noch zu verbessern gibt.
Für ein Vertrauenswürdigkeits-Label zu bürgen, stellt auch ein Reputationsrisiko für die SDI dar: Wenn sich herausstellt, dass ein Unternehmen, das das Label erworben hat, das Vertrauen seiner Stakeholder missbraucht. Wie gehen Sie damit um?
Das darf eigentlich nicht passieren, solange die Kriterien und der Audit-Prozess stimmen. Wir sehen aber ein gewisses Risiko bei den Updates. Hersteller wollen ihre Anwendungen natürlich immer wieder aktualisieren. Das Label kann aber nicht einfach weiterlaufen, wenn ein Unternehmen wesentliche Aspekte seiner Anwendung ändert. Darum haben wir die Laufzeit des Labels auf drei Jahre beschränkt. Wir müssen aber sicher auch laufend überprüfen, ob die festgelegten Kriterien genügen.
Warum soll sich ein Hersteller um das Label bewerben und nicht auf seine eigene Vertrauenswürdigkeit setzen?
In der digitalen Welt interagieren Konsumentinnen und Konsumenten nicht mit dem Hersteller einer App oder einer Website, sondern eben mit diesen Anwendungen. Dasselbe gilt für B2B-Anwendungen. Zudem kann man Vertrauen sehr schnell verlieren. Um einen Reputationsschaden zu verhindern, haben Unternehmen also ein Interesse daran, ein Produkt auf dem aktuellen Stand der Technik herzustellen und vertrauenswürdig zu sein. Das bietet letztlich auch einen Marketingvorteil.
Was kostet das Label ein Unternehmen?
Das hängt von der Komplexität der Anwendung ab. Mit mindestens 10 000 Franken muss ein Unternehmen für eine erste Zertifizierung schon rechnen. Bei komplexen Anwendungen können es 20 000 Franken sein. Wenn sich ein Unternehmen nach Ablauf der drei Jahre wieder bewirbt und sich die Anwendung nicht grundlegend geändert hat, geben wir aber entsprechend dem geringeren Aufwand einen Rabatt.