In der im Februar 2019 zu Ende gegangenen Vernehmlassung kam die Einführung einer generellen Erlaubnisnorm zur systematischen Verwendung der AHV-Nummer durch Behörden grundsätzlich gut an. Begrüsst wurde die Vereinfachung des Verfahrens zur systematischen Verwendung der AHV-Nummer einerseits in Bezug auf die Effizienz der Verwaltungsabläufe sowie andererseits im Hinblick auf die Weiterentwicklung der E-Government-Strategie. Einwände äusserten jedoch viele Teilnehmende zum Datenschutz. Während die SP, die Grünen, die Piratenpartei, Arbeitnehmer- und Arbeitgeberverbände, Privatim, das Centre Patronal und der Hauseigentümerverband Defizite beim Persönlichkeitsschutz befürchteten, waren neun Kantonen und der Konferenz der kantonalen Ausgleichskassen die diesbezüglichen Vorgaben im Gesetz zu detailliert, sodass ihrer Meinung nach die zusätzlichen administrativen Aufgaben die Vereinfachung zunichtemachen könnten. Mehrere Teilnehmende forderten den Bundesrat in diesem Zusammenhang auf, die Erkenntnisse aus dem Postulat 17.3968 für ein Sicherheitskonzept für Personenidentifikatoren in das Gesetzgebungsvorhaben einfliessen zu lassen. Auf Ablehnung bei der grossen Mehrheit der Teilnehmenden stiess hingegen die vorgesehene Verschärfung der Strafbestimmungen; diese sei unverhältnismässig und schaffe Rechtsunsicherheit für die Behörden, kritisierten insbesondere die Kantone.
So war dies denn auch der einzige Punkt, wo der Bundesrat seinen Entwurf nach der Vernehmlassung inhaltlich noch anpasste, indem er auf die Verschärfung der Strafbestimmungen verzichtete. Ende Oktober 2019 verabschiedete er die Botschaft zuhanden des Parlaments.

Wenige Tage nach den Schlussabstimmungen in den eidgenössischen Räten gaben die SP und die Grünen bekannt, das bereits länger angekündigte Referendum gegen die E-ID zu unterstützen. Dieses richtet sich nicht gegen die E-ID selbst, aber gegen deren Vertrieb durch Private, wie ihn das Gesetz vorsieht. Umfragen zufolge bevorzugten grosse Teile der Bevölkerung eine rein staatliche E-ID – gemäss der jüngsten Erhebung des Digital Democracy Lab der Universität Zürich sogar 82 Prozent der Befragten, und zwar über alle Parteien und Altersgruppen hinweg. Lanciert wurde die Unterschriftensammlung am 8. Oktober 2019 von einem Komitee um die Digitale Gesellschaft, die Kampagnenplattformen Wecollect und Campax sowie den Verein PublicBeta. So sprach Daniel Graf von Wecollect gegenüber dem Tages-Anzeiger auch von einer «Bürgerinitiative», zeigte sich aber dennoch erfreut über die Unterstützung zweier etablierter Parteien. Vonseiten der SP und der Grünen wurde indes klargemacht, dass das Referendum gegen die E-ID derzeit nicht die erste Priorität geniesse; bei der SP liege diese auf dem Referendum gegen die höheren Kinderabzüge, bei den Grünen auf jenem gegen das neue Jagdgesetz, berichtete der Tages-Anzeiger. Neben den bisher Genannten zählten zudem die Piratenpartei, der VPOD, die Internet Society Switzerland, Grundrechte.ch sowie mehrere Organisationen für Senioreninteressen zu den Unterstützern. Nicht am Referendum beteiligen wollte sich hingegen die Stiftung für Konsumentenschutz, die sich während der parlamentarischen Beratung ebenfalls für eine staatliche E-ID eingesetzt hatte. Man sei zwar nicht glücklich mit der privaten Lösung, liess die Stiftung in der NZZ verlauten, aber das Parlament habe das Gesetz, auch auf Intervention der Stiftung hin, in zentralen Punkten entscheidend verbessert.

Der Totalrevision des Datenschutzgesetzes und der Änderung weiterer Erlasse zum Datenschutz nahm sich in der Herbstsession 2019 der Nationalrat als Erstrat an. Das ein Jahr zuvor verabschiedete und am 1. März 2019 in Kraft getretene Schengen-Datenschutzgesetz, das aus Gründen der zeitlichen Dringlichkeit zunächst nur die Schengen-relevanten Anpassungen umsetzte, wird mit der Annahme des totalrevidierten Gesetzes wieder ausser Kraft treten. Mit der Totalrevision sollen über die Schengen-Anforderungen hinausgehend einerseits die Schwächen des heutigen Datenschutzrechts, das noch aus einer Zeit vor dem Internet stammt, behoben und andererseits die Entwicklungen auf EU- und Europarats-Ebene aufgenommen werden. Besonders bedeutsam für die Schweiz ist hierbei, von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt zu werden. Ansonsten, so wurde befürchtet, wäre die Schweizer Wirtschaft mit erheblichen Wettbewerbsnachteilen konfrontiert, da Schweizer Unternehmen nicht mehr so einfach Daten mit Firmen in der EU austauschen könnten. Bis im Mai 2020 wird die EU die Äquivalenz des Schweizer Datenschutzes beurteilen, was eine gewisse Dringlichkeit für die Revision gebietet.
Wie schwierig dieses Unterfangen werden würde, hatte sich schon in der vorberatenden SPK-NR abgezeichnet: Nur mit Stichentscheid des Präsidenten Kurt Fluri (fdp, SO) hatte sich die Kommission im August 2019 durchgerungen, die Vorlage nach mehr als einem Jahr Arbeit überhaupt vors Ratsplenum zu bringen. Die wichtigsten Anpassungen der Kommission am bundesrätlichen Entwurf waren die neu einzuführende Direktwahl des EDÖB durch die Bundesversammlung, die Einführung eines Rechts auf Datenportabilität, die Anpassung der Definition der besonders schützenswerten Personendaten sowie der Verzicht auf eine besondere Regelung für den Umgang mit Daten verstorbener Personen und auf eine ausdrücklich erforderliche Einwilligung zum Profiling. Im Rahmen ihrer Beratungen hatte die SPK-NR zudem sechs Motionen zur Vervollständigung der Datenschutzbestimmungen in weiteren Gesetzen eingereicht.
Kurz vor der Debatte im Nationalrat hatte das Bundesamt für Justiz überdies eine Liste dazu veröffentlicht, welche problematischen Differenzen es zwischen dem Kommissionsvorschlag und den Anforderungen der EU sehe. Auch EDÖB Adrian Lobsiger hatte in der Presse bezweifelt, dass das von der Kommissionsmehrheit vorgeschlagene Gesetz mit dem verlangten Niveau der EU-Datenschutzgrundverordnung (DSGVO) mithalten könne; beim Entwurf des Bundesrates hätte er indes keine Probleme gesehen.
Während der strittige Vorschlag der Kommissionsmehrheit für die SVP bereits zu weit ging, bemängelten SP, Grüne und GLP, er sei zu lasch. Wirtschaftsverbände drängten unterdessen auf eine möglichst rasche, EU-konforme Lösung. So wurde im Vorfeld der nationalrätlichen Debatte von den Mitte- und Linksparteien noch fieberhaft nach Kompromissen gesucht, um den drohenden Absturz der Revision zu verhindern.

In der Eintretensdebatte in der grossen Kammer wurde von allen Seiten – ausser von der SVP-Fraktion – betont, wie wichtig und notwendig das vorliegende Revisionsprojekt sei, sowohl um den Datenschutz dem Internetzeitalter anzupassen als auch um den Datenschutz auf ein der EU gleichwertiges Niveau zu bringen, auch wenn man in den Details der Ausgestaltung verschiedene Ansichten vertrat. Die SVP betrieb hingegen Fundamentalopposition gegen «diesen bürokratischen Unsinn», wie Fraktionsvertreter Gregor Rutz (svp, ZH) das neue Gesetz nannte, denn es sei insgesamt, vor allem für KMU, schlechter als das geltende Datenschutzgesetz – ein Argument, das wenig später durch das Votum von FDP-Vertreter Kurt Fluri (fdp, SO) entkräftet werden sollte, der berichtete, dass der Gewerbeverband die Stossrichtung der Kommissionsmehrheit begrüsse und die Rückweisung nicht unterstütze. Mit der DSGVO verkaufe die EU laut Rutz ihre Bürger für dumm, da sie «kein Mensch» verstehe. «Wir haben langsam genug davon, jeden Unsinn aus der EU ungesehen zu übernehmen!», ärgerte sich der SVP-Vertreter und rief das Ratsplenum auf, die Vorlage an den Bundesrat zurückzuweisen mit dem Auftrag, sie zu entschlacken und EU-Vorschriften nur dort zu übernehmen, wo es unumgänglich sei. Auch eine linke Minderheit hatte ursprünglich die Rückweisung, allerdings an die Kommission, beantragt und diese beauftragen wollen, die Vereinbarkeit der Vorlage mit dem Übereinkommen SEV 108 des Europarats, die Äquivalenz mit dem EU-Datenschutzrecht, die Kompatibilität mit den Schengen-Verträgen und die Nicht-Unterschreitung des heute geltenden Schutzniveaus sicherzustellen. Um die doch eher dringliche Revision nicht unnötig zu verlangsamen und um sich einer «produktiven Diskussion» nicht zu verschliessen, zog Cédric Wermuth (sp, AG) diesen Antrag jedoch «im Sinne eines Vorschussvertrauensbeweises» zurück und hoffte, das Gesetz während der Beratung noch auf eine den genannten Forderungen nähere Linie bringen zu können. Der Rückweisungsantrag der SVP-Minderheit wurde mit 120 zu 66 Stimmen (1 Enthaltung) deutlich verworfen; ausserhalb der geschlossenen SVP-Fraktion sah niemand eine Rückweisung als den richtigen Weg an.

Im Laufe der Detailberatung musste der Nationalrat über 45 Minderheits- und mehrere Einzelanträge befinden, die zu einem beträchtlichen Teil die Unterstützung des Bundesrates genossen – hauptsächlich immer dort, wo die Kommissionsmehrheit mit ihrem Vorschlag einen schwächeren Datenschutz wollte als der Bundesrat und somit das heute geltende Schutzniveau oder die Anforderungen der EU und/oder des Europarats unterschreiten wollte. So war die Kommissionsmehrheit bestrebt, sowohl die Daten über gewerkschaftliche Ansichten und Tätigkeiten als auch die Daten über Massnahmen der sozialen Hilfe aus dem Katalog der besonders schützenswerten Daten, für deren Bearbeitung besondere Anforderungen gelten, zu streichen. Während eine bürgerliche Ratsmehrheit die Streichung der Daten über gewerkschaftliche Ansichten und Tätigkeiten guthiess, schwenkte der Nationalrat bei den Daten über Massnahmen der sozialen Hilfe – neben Sozialhilfedaten sind davon auch solche über Sozialversicherungsmassnahmen bei Krankheit oder Unfall, Massnahmen der Vormundschaftsbehörden oder KESB, die fürsorgerische Unterbringung in psychiatrischen Kliniken, Ergänzungsleistungen und Prämienverbilligungen erfasst – auf die Linie des Bundesrates zurück und beliess sie im Katalog. Grünen-Vertreter Balthasar Glättli (gp, ZH) hatte zuvor mit Nachdruck klargemacht, dass deren Streichung für die Grünen und die SP ein Grund wäre, dem Gesetz die Zustimmung zu verweigern. Eine ähnliche Drohung sprach SVP-Fraktionssprecher Gregor Rutz aus, als die Einschränkung des Geltungsbereichs des DSG auf natürliche Personen zur Debatte stand: Einem Gesetz, das – anders als bisher – keinen Datenschutz für juristische Personen mehr vorsehe, werde man «nie im Leben» zustimmen können. Alle anderen Fraktionen befanden den Schutz für juristische Personen durch andere gesetzliche Bestimmungen jedoch als ausreichend und so glich der Nationalrat das DSG mit der Streichung des Schutzes juristischer Personen an die europäischen Regeln an. Bei der Frage der Anforderungen für das sogenannte Profiling zeichnete sich während der Diskussion ab, dass man an diesem Tag keine zufriedenstellende Lösung finden würde. Für jegliche Formen des Profilings, das die Aargauer Zeitung treffend als die «automatisierte Auswertung von Daten, mit denen bestimmte Merkmale einer Person bewertet werden, um etwa Vorhersagen über ihr künftiges Verhalten zu treffen» definierte, hatte der Bundesrat eine ausdrückliche Einwilligung der betroffenen Person voraussetzen wollen, wie sie auch zur Bearbeitung besonders schützenswerter Personendaten vorgesehen war. Da das geltende Recht so eine Regelung für das Erstellen von Persönlichkeitsprofilen umfasst, würde eine komplette Streichung der ausdrücklichen Einwilligung zum Profiling, wie es die Kommissionsmehrheit vorgeschlagen hatte, ein Rückschritt vom aktuellen Schutzniveau darstellen. In der Diskussion wurde mehrheitlich anerkannt, dass verschiedene Formen des Profilings unterschieden werden müssten, da es, wie es Balthasar Glättli erklärte, durchaus einen Unterschied mache, ob Profiling zur Erstellung von passenden Bücherempfehlungen, zur Abschätzung des Risikos für eine Versicherung oder zur Vorhersage der politischen Entscheidungen einer Person gebraucht werde. Der Bundesrat unterstützte folglich einen Einzelantrag Glättli, der eine ausdrückliche Einwilligung nur für ein Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person vorsah. Die Fraktionen der Grünen, SP und GLP unterstützten diesen Antrag ebenfalls, unterlagen jedoch der bürgerlichen Ratsmehrheit, die beim Vorschlag der Kommissionsmehrheit ohne besondere Anforderungen für das Profiling blieb. Der Nachhall der Diskussion war jedoch klar, dass sich der Ständerat noch einmal intensiv mit dieser Frage auseinandersetzen müsse.
Betreffend die Informationspflicht bei der Beschaffung von Personendaten, die Regeln für die Bekanntgabe von Personendaten ins Ausland, die Rechenschaftspflicht für datenbearbeitende Unternehmen über die Einhaltung des Datenschutzrechts sowie das Auskunftsrecht einer Person zu den über sie gesammelten oder bearbeiteten Daten lehnte die Volkskammer einige von der Kommissionsmehrheit vorgeschlagene Lockerungen ab und umschiffte somit ein paar der vielen Klippen im Hinblick auf den Angemessenheitsbeschluss der EU. Die vom Bundesrat eingefügten Regelungen über Daten von verstorbenen Personen erachtete der Rat jedoch als nicht notwendig und strich mit bürgerlicher Mehrheit alle entsprechenden Bestimmungen aus dem Gesetz. Ganz neu und weitgehend unbestritten verankerte der Nationalrat auf Vorschlag seiner Kommissionsmehrheit ein Recht auf Datenportabilität, das heisst auf Datenherausgabe und -übertragung, im Gesetz. Wie Bundesrätin Karin Keller-Sutter erklärte, habe der Bundesrat mit dieser Neuerung eigentlich noch zuwarten wollen, bis erste Erkenntnisse aus der konkreten Umsetzung dieses Rechts in der EU vorlägen; nichtsdestotrotz unterstützte er den Vorschlag der Kommissionsmehrheit, einen Anspruch jeder Person auf «die Herausgabe ihrer Personendaten in einem gängigen elektronischen Format oder sogar deren Übertragung auf einen anderen Verantwortlichen zu verlangen», wie Keller-Sutter das neue Recht erläuterte.
Zurückgehend auf eine entsprechende parlamentarische Initiative Leutenegger Oberholzer (sp, BL; Pa.Iv. 16.409) änderte die grosse Kammer das Wahlverfahren des EDÖB dahingehend, dass er neu von der Bundesversammlung gewählt und nicht mehr durch den Bundesrat ernannt und vom Parlament nur bestätigt werden sollte. Gleichzeitig wurden die Aufsichts- und Untersuchungskompetenzen des EDÖB bei Datenschutzverstössen gestärkt. Diese Änderung sei von wesentlicher Bedeutung im Hinblick auf den Angemessenheitsbeschluss der EU, wie Bundesrätin Keller-Sutter betonte, denn nach bisher geltendem Recht besitze der EDÖB nicht nur weniger Kompetenzen als die Datenschutzbehörden in Europa, sondern auch als andere Aufsichtsbehörden des Bundes, zum Beispiel die Finma oder die Weko. Bei den Strafbestimmungen legte der Nationalrat eine maximale Busse von CHF 250'000 für Datenschutzverstösse fest. Ein neuer Straftatbestand für die Nichteinhaltung der Mindestanforderungen an die Datensicherheit im Sinne einer Sorgfaltspflichtverletzung wurde von der bürgerlichen Ratsmehrheit jedoch nicht goutiert, was laut Bundesrätin Keller-Sutter für die EU-Angemessenheit problematisch sein könnte. Der letzte grosse Zankapfel der Vorlage verbarg sich in den Schlussbestimmungen, namentlich in der Frage zum Inkrafttreten des Gesetzes. Während die Kommissionsmehrheit das Inkrafttreten um zwei Jahre nach Annahme des Gesetzes beziehungsweise nach Verstreichen der Referendumsfrist verzögern wollte, beantragte eine Minderheit Humbel (cvp, AG), wie üblich den Bundesrat das Inkrafttreten bestimmen zu lassen. Eine solche Verzögerung sei bereits wegen der Schengen-relevanten Bestimmungen des Gesetzes ein Problem und daher nicht im Interesse der Wirtschaft, was das Argument der Kommissionsmehrheit gewesen war. Auf Empfehlung des Bundesrates und entgegen der geschlossenen SVP-Fraktion erteilte die grosse Kammer der zweijährigen Inkrafttretensfrist eine Absage.

In der Gesamtabstimmung nahm der Nationalrat das totalrevidierte Datenschutzgesetz mit 98 zu 68 Stimmen bei 27 Enthaltungen an. In den ablehnenden Stimmen spiegelte sich vor allem die Opposition der SVP gegen das Gesetz. Demgegenüber hatte sich die SP-Fraktion mehrheitlich enthalten und damit signalisiert, dass sie noch weitere Nachbesserungen erwartete. Wirklich zufrieden mit dem Gesetz in vorliegender Form war wohl niemand; in dieser Hinsicht sprach das Fazit von Kommissionssprecher Matthias Jauslin (fdp, AG) Bände: «Wir haben jetzt eine Vorlage, die aus Sicht der Kommission durchaus bearbeitbar ist.»

Mit der Botschaft zum E-ID-Gesetz beantragte der Bundesrat die Abschreibung der Motion der FDP-Fraktion, mit deren Annahme das Parlament drei Forderungen betreffend die Interoperabilität, die Sicherheit und die Priorisierung der E-ID an den Bundesrat gerichtet hatte, die er bei der Ausarbeitung des Gesetzes zu berücksichtigen habe. Der Bundesrat erachtete das Anliegen der Motion durch seinen Entwurf für das E-ID-Gesetz als erfüllt. Im Zuge der Beratung des E-ID-Gesetzes folgten die beiden Räte dem Antrag des Bundesrates und schrieben die Motion im Frühjahr bzw. Sommer 2019 ab.

Die Motion der FDP-Fraktion, welche im Zusammenhang mit der Erarbeitung des E-ID-Gesetzes eine Reihe an Forderungen an den Bundesrat stellte, wurde in der Frühjahrssession 2018 auch vom Ständerat stillschweigend angenommen.

Die Vernehmlassung zum E-ID-Gesetz zeigte, dass das Vorhaben, klare Regeln für einen staatlich anerkannten, überprüfbaren und eindeutigen digitalen Identitätsnachweis festzulegen, grundsätzlich begrüsst wird. Einzig die SVP lehnte das Vorhaben des Bundesrates ab. Wenn die E-ID nicht – wie von der SVP gewünscht – vom Staat herausgegeben werde, solle der Bund auch von jeglicher Verantwortung in Bezug auf die E-ID absehen und es allein dem Markt überlassen, welches System zur digitalen Identifizierung sich durchsetzen werde. Die Rolle des Staates war denn auch bei den anderen Vernehmlassungsteilnehmern der umstrittenste Punkt des Vorentwurfs. Der Bundesrat hatte vorgesehen, dass der Staat lediglich die Kernaufgaben bei der Ausstellung der digitalen Identität – also die amtliche Prüfung und Bestätigung der Existenz einer Person und ihrer Identitätsmerkmale – übernimmt, nicht jedoch die Entwicklung und Ausstellung der konkreten technologischen Träger der digitalen Identität. Diese Aufgaben sollen nicht-staatliche Anbieter übernehmen, die ihrerseits jedoch einem staatlichen Anerkennungsverfahren und regelmässigen Kontrollen unterliegen. Die vorgeschlagene Aufgabenteilung zwischen Staat und Markt war in vielen Stellungnahmen Gegenstand von Kritik. So sahen die BDP, die CVP, die Grünen und die Piratenpartei sowie sieben Kantone die Herausgabe der E-ID grundsätzlich als Staatsaufgabe, welche nicht – oder zumindest nicht im geplanten Ausmass – an Private übertragen werden sollte. Während die SP für einen Kompromissvorschlag zwischen einer vollständigen Auslagerung an die Wirtschaft und einer rein staatlichen Lösung plädierte, unterstützten die FDP und die GLP sowie 21 Kantone das Konzept des Bundesrates. Unter Berücksichtigung der Vernehmlassungsantworten wird das EJPD bis im Sommer 2018 eine Botschaft für das E-ID-Gesetz ausarbeiten. Der Bundesrat hat bereits angekündigt, an der im Vorentwurf enthaltenen Kooperation von staatlichen und nicht-staatlichen Akteuren festzuhalten. Seiner Ansicht nach könnten so einerseits die besten Voraussetzungen für eine praxistaugliche und konsumentenfreundliche Anwendung geschaffen und andererseits die nötige Flexibilität für technologische Veränderungen erreicht werden.

Mit einer im März 2017 eingereichten Motion wollte die FDP-Fraktion die elektronische Identität und damit auch den landesweiten Bürokratieabbau vorantreiben. Sie stellte in dem Vorstoss drei konkrete Forderungen an den Bundesrat, die er bei der Erarbeitung des E-ID-Gesetzes berücksichtigen soll. Damit die Systeme vielseitig einsetzbar sind, soll erstens die Interoperabilität durch offene Schnittstellen – beispielsweise zum Identitätsverbund Schweiz, zu den Kantonen und Gemeinden, aber auch zum Ausland – gewährleistet werden. Zweitens soll der Bundesrat Sicherheitsstandards für die Dienstleistungsanbieter definieren und als Kontrollinstanz deren Einhaltung überwachen. Da die elektronische Identität echten Nutzen für Privatpersonen, Unternehmen und den Bund mit sich bringe, sei dem Projekt drittens die entsprechende Priorität einzuräumen, sowohl im Hinblick auf eine zeitnahe Umsetzung als auch bezüglich einer sichergestellten Finanzierung der verwaltungsinternen Vorleistungen. In der Herbstsession 2017 behandelte der Nationalrat den Vorstoss, der von der SVP-Fraktion mit dem Argument bekämpft wurde, dass der Staat bei der Herausgabe der elektronischen Identität nicht nur eine Kontrollfunktion innehaben, sondern diese als hoheitliche Aufgabe selbst übernehmen sollte. Nachdem Bundesrätin Simonetta Sommaruga jedoch versichert hatte, dass diese Motion keinen Einfluss auf die Frage nach der staatlichen oder privaten Einführung der elektronischen Identität habe, wurde die Bekämpfung eingestellt und die Motion stillschweigend angenommen.

Die Vernehmlassung zur Totalrevision des Datenschutzgesetzes (DSG) und zur Änderung weiterer Erlasse zum Datenschutz umfasste neben diesem Hauptentwurf auch einen Entwurf für einen Bundesbeschluss betreffend die Genehmigung und Umsetzung des Notenaustausches zwischen der Schweiz und der EU zur Übernahme der Richtlinie (EU) 2016/680 sowie einen Entwurf für die Revision des Übereinkommens SEV 108 des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. Im Zentrum des Gesetzgebungsprojektes stehen die Verbesserung der Transparenz von Datenbearbeitungen, die Förderung der Selbstregulierung bei den Verantwortlichen in Form von Empfehlungen der guten Praxis sowie die Stärkung der Position und Unabhängigkeit des EDÖB. Im Einklang mit den europäischen Datenschutzbestimmungen soll darüber hinaus der Schutz von Daten juristischer Personen aufgehoben werden, um insbesondere den Datenaustausch mit dem Ausland zu erleichtern. Einige Anforderungen der EU-Richtlinie 2016/680 erfordern ausserdem Anpassungen im Strafgesetzbuch, in der Strafprozessordnung, im Rechtshilfegesetz und im Schengen-Informationsaustauschgesetz.
Unter den insgesamt 222 Vernehmlassungsteilnehmerinnen und -teilnehmern befanden sich alle Kantone, acht politische Parteien (BDP, CVP, FDP, GLP, GP, SP, SVP, PP), drei eidgenössische Gerichte (Bundesgericht, Bundespatentgericht, Bundesverwaltungsgericht) sowie zahlreiche weitere Organisationen aus den betroffenen Kreisen. Während die Übernahme der EU-Richtlinie 2016/680 sowie der Anforderungen im SEV 108 unumstritten waren, wurde die Revision des DSG und weiterer Erlasse zum Datenschutz von der Mehrheit der Vernehmlasserinnen und Vernehmlasser im Grundsatz ebenfalls begrüsst. Vielerseits gelobt wurde beispielsweise das Vorhaben, das schweizerische Datenschutzrecht so weit an die europäischen Vorgaben anzupassen, dass die Schweiz von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt wird. Vorbehalte bestanden jedoch gegenüber dem – insbesondere für KMU – grossen Verwaltungsaufwand sowie gegenüber dem «Swiss Finish»: Rund die Hälfte der Teilnehmenden bemängelte, dass der Entwurf unnötigerweise über die europäischen Anforderungen hinaus gehe. Demgegenüber ging er rund einem Fünftel der Teilnehmenden – hauptsächlich aus Konsumentenschutzkreisen – zu wenig weit. Auf harsche Kritik von verschiedensten Seiten stiess das vorgesehene Sanktionensystem. Laut Bericht wünschten sich «sehr viele Teilnehmer» dessen «vollständige Überarbeitung», darunter BDP, CVP, FDP, GP und SP, 18 Kantone sowie Economiesuisse, der Verein Unternehmens-Datenschutz, die FRC, Privatim und die Stiftung für Konsumentenschutz. Hauptsächlich wurde kritisiert, dass keine direkte Strafbarkeit für Unternehmen vorgesehen ist, sondern strafrechtliche Sanktionen, die in erster Linie auf natürliche Personen ausgerichtet sind. In diesem Zusammenhang herrschte die Befürchtung, es könnten einfache Angestellte ohne Entscheidungs- und Vertretungsbefugnis verurteilt werden. Dies wiederum erschwere es den Unternehmen, qualifiziertes und motiviertes Personal – insbesondere Datenschutzverantwortliche – zu rekrutieren. Der häufigste Änderungsvorschlag zielte daher auf ein Modell mit Verwaltungssanktionen anstatt Strafverfahren, die direkt gegen die Unternehmen und nicht gegen Privatpersonen verhängt werden könnten. Verwaltungssanktionen, so die Hoffnung, hätten eine grössere Wirksamkeit als das bislang für die Strafbestimmungen im DSG nur selten angewandte Strafverfahren. Weitere umstrittene Punkte waren auch die Höhe der Bussen – welche einerseits als zu hoch und andererseits als zu niedrig kritisiert wurde – sowie der Katalog der strafbaren Verhaltensweisen, welcher ebenfalls wahlweise als unvollständig bzw. zu umfangreich bezeichnet wurde. Kritisiert wurden des Weiteren auch die mangelhafte Regulierungsfolgeabschätzung und die fehlenden Ausführungen zum Verhältnis zwischen dem Datenschutzrecht des Bundes und jenem auf kantonaler Ebene. Hierzu äusserten auch die Kantone Glarus, Solothurn und Zürich Bedenken, dass die Frist für die Anpassung des kantonalen Rechts zu kurz bemessen sei. Die SVP, die Kantone Schwyz und Waadt sowie einige betroffene Kreise – darunter der AGVS, Auto Schweiz, die FER, PharmaSuisse, Santésuisse sowie der VSV – lehnten den Vorentwurf in der vorliegenden Form ausdrücklich ab, befanden sich damit jedoch klar in der Minderheit aller Vernehmlassungsteilnehmenden.

In der digital vernetzten Welt, in der wir leben, müsse auch die öffentliche Verwaltung die Chancen der Digitalisierung nutzen und Doppelspurigkeiten bei der Datenerhebung beseitigen, forderte die FDP-Fraktion in einer Motion. Unternehmen sollen von Statistik- und Kontrollaufwand entlastet werden, indem sie nicht die gleichen Informationen an verschiedene Behörden liefern müssen. Aus diesem Grund soll der Bundesrat dafür sorgen, dass die Koordination zwischen dem Bundesamt für Statistik und den anderen Bundesämtern sowie Kantons- und Gemeindebehörden verbessert wird. In seiner Stellungnahme erachtete der Bundesrat die Stossrichtung der Motion als mit den Zielen der Strategie Digitale Schweiz und der E-Government-Strategie vereinbar. Er teile das Anliegen, den Aufwand bei der Abwicklung von Behördengeschäften zu reduzieren, und beantragte die Motion folglich zur Annahme. Nachdem die Motion vom Nationalrat im März 2017 diskussionslos angenommen worden war, stimmte ihr im Sommer auch der Ständerat auf Antrag seiner einstimmigen WBK stillschweigend zu.

Die Motion der FDP-Fraktion „Gegen Doppelspurigkeiten im Datenschutz“ brachte, nachdem sie im Dezember 2016 vom Nationalrat stillschweigend angenommen worden war, auch im Ständerat keinen Diskussionsbedarf mit sich. Die SPK-SR erwägte in ihrer Vorberatung einzig, dass sie sich den Ausführungen des Bundesrates anschliesse und beantragte einstimmig die Annahme der Motion. In der Frühjahrssession 2017 hiess die Ständekammer den Vorstoss diskussionslos gut. Der Bundesrat muss nun mit der EU Sondierungsgespräche über Zuständigkeiten im Datenschutz aufnehmen.

Die Fraktion der FDP befürchtete, dass es im Nachgang der Revision des Bundesgesetzes über den Datenschutz sowie des Inkrafttretens der EU-Datenschutzgrundverordnung zu Doppelspurigkeiten im Datenschutz kommen werde, weil die Datenschutzaufsichten der EU und der Schweiz nicht aufeinander abgestimmt seien. Wenn in der Schweiz niedergelassene Personen Daten von Personen bearbeiten, die sich in der EU befinden, fällt diese Datenbearbeitung auch in den Anwendungsbereich der EU-Verordnung. Dadurch unterstünden Schweizer Unternehmen mit Kunden im EU-Raum nicht mehr nur der Aufsicht des EDÖB, sondern auch jener aller betroffenen EU-Datenschutzbehörden, was gerade in puncto Meldepflichten einen erheblichen, unnötigen Mehraufwand mit sich bringe. In einer Motion forderte die FDP-Fraktion den Bundesrat auf, mit der EU Sondierungsgespräche zu führen mit dem Ziel, die Anwendung des jeweils geltenden Datenschutzrechts zu koordinieren. Der Bundesrat betonte in seiner Stellungnahme, dass eine effiziente Zusammenarbeit in diesem Bereich sowohl im Interesse der Schweizer Behörden als auch der Behörden der EU liegen müsse und signalisierte auch seine Bereitschaft zur Aufnahme solcher Sondierungsgespräche mit der EU. Im Nationalrat erfuhr der Vorstoss in der Wintersession 2016 stillschweigende Zustimmung.

Die zunehmende Nutzung von privaten Kameras, insbesondere von Smartphones, Dashcams, Drohnen und Datenbrillen, ist im Hinblick auf den Datenschutz sowie den Schutz der Privatsphäre im öffentlichen Raum problematisch. Diesem Thema trug der Ständerat in der Frühjahrssession 2015 mit der Annahme eines Postulats Comte (fdp, NE) Rechnung, welches den Bundesrat beauftragt, einen Bericht über die Risiken der Nutzung von privaten Kameras und entsprechende Lösungsvorschläge auszuarbeiten. Der Bericht soll in die nächste Revision des Bundesgesetzes über den Datenschutz einfliessen. Im Nationalrat wurde ein gleichlautendes Postulat (14.4137), eingereicht durch die FDP-Fraktion, ebenfalls angenommen.

Der Nationalrat gab in der Wintersession einer parlamentarischen Initiative seiner Staatspolitischen Kommission Folge. Diese verlangt, dass im Fall der Einführung einer Identitätskarte mit biometrischen Daten weiterhin auch eine solche ohne diese Informationen erhältlich sein muss, und dass geprüft wird, ob bei den Pässen auf eine zentrale Datenbank verzichtet werden kann. Anlass für diesen Vorstoss der SPK-NR waren insgesamt fünf parlamentarische Initiativen mit ähnlichen Forderungen gewesen, welche SVP, SP, CVP und GP nach der Volksabstimmung eingereicht hatten.

Am 17. Mai nahm das Volk den Bundesbeschluss mit 953'173 Ja zu 947'493 Nein äusserst knapp an. Am deutlichsten fiel die Zustimmung im Kanton Luzern mit 58% aus, am deutlichsten war die Ablehnung im Jura mit 56% Nein. Die in der Geschichte der nationalen Volksabstimmungen zweitkleinste Differenz zwischen der Anzahl Ja- und Nein-Stimmen (5780) löste Hunderte von Beschwerden mit der Forderung einer Neuauszählung aus. Da aber nirgendwo konkrete Unregelmässigkeiten moniert wurden, blieben sie erfolglos. Gemäss der Vox-Analyse waren die Zweifel an der Datensicherheit bei einer zentralen Speicherung der Passinformationen das wichtigste Motiv für die Nein-Stimmenden gewesen. Unterschiede im Stimmverhalten liessen sich kaum feststellen. So opponierten Junge, trotz des Einsatzes der Jungparteien nicht mehr gegen die neuen Pässe als ältere Personen, und auch die Bildung und die Sprachregion spielten keinen Einfluss.


Abstimmung vom 17. Mai 2009

Beteiligung: 45,2%
Ja: 953'173 (50,1%)
Nein: 947'493 (49,9%)

Parolen: Ja: FDP, CVP (2)*, EVP (1)*, BDP; economiesuisse, SGV, SBV.
Nein: SVP (2)*, SP (1)*, GP, CSP, EDU, SD, Lega, FPS, PdA; Travail.Suisse.
Stimmfreigabe: GLP.
* In Klammer Anzahl abweichender Kantonalsektionen

Am 17. Mai fand die Volksabstimmung über die mit einem Referendum bekämpfte Einführung der biometrischen Pässe statt. Hauptkritikpunkt der Gegner war die Aufnahme der Daten in eine bereits existierende zentrale Datenbank über die ausgestellten Ausweise. Diese zentralisierte Datenbank ist für die Schengen-Mitgliedstaaten nicht vorgeschrieben und beispielsweise Deutschland verzichtet darauf. Insbesondere die Linke kritisierte diese Erfassung der Passinformationen und der biometrischen Kennzeichen wie Fingerabdrücke in einer zentralen Datenbank als „Zwangsfichierung“. Befürchtungen in Bezug auf ungenügenden Datenschutz bei dieser beim Bundesamt für Polizei angesiedelten Datenbank bewogen auch viele Printmedien (unter anderem Bund, NZZ und SGT), eine Ablehnung des Gesetzes zu empfehlen. Daneben wurde von den Gegnern auch bemängelt, dass der Bundesrat ermächtigt wird, später auch für die Identitätskarte die Aufnahme biometrischer Merkmale vorzuschreiben. Ein dritter Kritikpunkt betraf die Zentralisierung der kantonalen Passausgabestellen. Von Befürworterseite wurde die Sicherheit der neuen Pässe ins Feld geführt und auf die Erschwernisse im Reise- und Geschäftsverkehr hingewiesen, wenn bei der Nichteinführung der neuen Pässe Schweizer wieder ein Visum bräuchten, um in die USA einzureisen. Die SP und die GP hatten die Einführung der biometrischen Pässe im Parlament bekämpft und empfahlen ein Nein. Bei den Gegnern waren, wie schon bei der Unterschriftensammlung für das Referendum, die Jungparteien besonders aktiv. Mit Ausnahme der Jungen CVP beteiligten sich alle Jungparteien an einem gemeinsamen Auftritt gegen den Bundesbeschluss. Der Jungen SVP gelang es sogar, ihre Mutterpartei, die noch im Nationalrat die Vorlage knapp unterstützt hatte, von der Nein-Parole zu überzeugen. Nur gerade zwei SVP-Kantonalparteien wichen davon ab. Die Jungfreisinnigen gaben, im Gegensatz zur Mutterpartei, die Nein-Parole aus.

Als Zweitrat befasste sich der Nationalrat mit der Übernahme der EU-Verordnung über biometrische Pässe und andere Reisedokumente. Grundsätzlich geht es dabei um die Aufnahme von biometrischen Daten (vorläufig nur Gesichtsmerkmale, ab 2009 auch zwei Fingerabdrücke) auf einem Chip in diesen Ausweisdokumenten und um die Speicherung dieser biometrischen Merkmale in der existierenden zentralen Datenbank über die ausgestellten Ausweise. Für die Reisepässe würde dieser Chip sofort eingeführt, für die Identitätskarten erhielte der Bundesrat die Kompetenz, ihn später als obligatorisch zu erklären. Nationalrat Zisyadis (pda, VD) stellte einen von respektablen Minderheiten der SVP und der GP unterstützten, aber letztlich erfolglosen Nichteintretensantrag. Die vorberatende Staatspolitische Kommission hatte aber auch einige Einwände, welche sie als Abänderungsanträge formulierte. Aus der Überlegung heraus, dass eine Mehrheit der Bevölkerung nie in die USA reist, wollte sie, dass neben den von diesem Land verlangten teuren neuen Ausweisdokumenten weiterhin eine herkömmliche Identitätskarte ohne Chip mit biometrischen Daten erhältlich sein soll. Im Sinn der Publikumsfreundlichkeit sollen zudem weiterhin die Gemeinden, und nicht nur die von den Kantonen bezeichneten regionalen Verwaltungsstellen diese nicht biometrischen Identitätskarten abgeben dürfen. Als Ergänzung der neuen biometrischen Ausweispapiere forderte die SPK zudem, dass dieser Chip auch Elemente für die Schaffung einer elektronischen Identität enthalten kann, wie sie für Transaktionen im Internet nützlich ist (so genannte elektronische Signatur). Alle drei Vorschläge akzeptierte der Rat oppositionslos. Der lauten Kritik in der Öffentlichkeit an den vorgesehenen hohen Ausgabepreisen für die Dokumente trug der Rat insofern Rechnung, als er festhielt, dass diese Gebühren „familienfreundlich“ ausgestaltet sein müssen. Die Grünen und die SP gingen mit ihrer Kritik weiter als die SPK. Sie lehnten auch die zentrale Datenbank ab, in der unter anderem die Fingerabdrücke aller Inhaber dieser neuen Ausweispapiere gespeichert werden. Diese zentrale Datenbank werde vom Schengen-Abkommen nicht verlangt und eröffne die Möglichkeit, dass diese später von der Polizei nicht nur wie gesetzlich erlaubt für die Identifikation von Opfern von Gewalttaten oder Katastrophen, sondern auch für andere Ermittlungsarbeiten beigezogen werden könnte. Ihr Antrag, dass die Fingerabdrücke nicht in die Datenbank aufgenommen resp. auf Wunsch gelöscht werden, konnte sich nicht durchsetzen. In der Gesamtabstimmung sprachen sich nicht nur die geschlossenen Grünen und eine starke Mehrheit der SP gegen die Vorlage aus, sondern auch ein Teil der SVP; in der Schlussabstimmung votierte neben der Linken fast die Hälfte der SVP dagegen. Der SVP-Protest richtete sich aber weniger gegen die Vorlage an sich, als gegen die Tatsache, dass die Schweiz wegen ihrer Teilnahme am Schengen-Abkommen zur Übernahme dieser neuen Passvorschriften verpflichtet ist.

In der Herbstsession behandelte der Ständerat dann die vier Gesetze über die Personenregister. Die vier Vorlagen passierten mit einigen Detailänderungen. Grundsätzlich umstritten war einzig das Gesetz über die Zusammenlegung der beiden bereits über gesetzliche Grundlagen verfügenden Datenbanken Isok (organisiertes Verbrechen) und Dosis (Drogen) der kriminalpolizeilichen Zentralstellen des Bundes (Vorlage C). Vertreter des SP begründeten ihre Ablehnung mit dem Argument, dass die vorgeschlagenen Bestimmungen viel zu wenig präzis seien und keine echte Kontrolle durch die politischen Behörden garantieren könnten.

Die Beratungen zum neuen Datenschutzgesetz konnten im Berichtsjahr zum Abschluss gebracht werden. In der Differenzbereinigung schloss sich der Nationalrat dem Ständerat an und verzichtete ebenfalls auf eine zeitliche Befristung der Ausnahmebestimmungen für den Staatsschutz. Anlass für diesen Entscheid war die sich abzeichnende Verzögerung bei der Schaffung eines eigentlichen Staatsschutzgesetzes, nachdem die SP den Vorentwurf dazu in der Vernehmlassung abgelehnt hatte. Im Verfahrensbereich räumte der Nationalrat eine zweite gewichtige Differenz aus: Während der Datenschutzbeauftragte im privaten Bereich direkt an die Datenschutzkommission gelangen kann, wenn seine Empfehlungen nicht befolgt werden, soll er im öffentlichen Bereich lediglich die Funktion einer Ombudsperson einnehmen. Dabei wird er die zur Klage legitimierten Beschwerdeführer zwar über seine Empfehlung informieren, jedoch nicht selbst die Datenschutzkommission anrufen können.

Bei der Regelung des Datenschutzes im Bereich der Bundesstrafrechtspflege und des Datenaustausches mit den Kantonen und dem Ausland übernahm der Nationalrat die meisten Beschlüsse des Ständerates aus dem Vorjahr. Die Sozialdemokraten kämpften dabei zusammen mit den Grünen vergeblich gegen die rechtlichen Anderungen im Bereich des Datenaustausches und die Schaffung von Gesetzesgrundlagen für das computerisierte Fahndungssystem RIPOL. Immerhin wurde auf Antrag von Leuenberger (sp, ZH) ein zusätzlicher Persönlichkeitsschutz eingebaut. Betroffene Personen sollen – nach Abschluss der Ermittlungen – nicht nur dann informiert werden, wenn es zu einer formellen richterlichen Voruntersuchung kommt, sondern in der Regel auch dann, wenn die vorangehende polizeiliche Fahndung ohne Eröffnung einer Voruntersuchung eingestellt wird.

Breite Kreise im Komitee «Schluss mit dem Schnüffelstaat» versuchten, den Fichenskandal mit der Volkszählung in einen Konnex zu bringen. Nach langen internen Diskussionen, in denen sich vor allem die grossen Organisationen (SP, LdU und SGB) gegen eine Verweigerung aussprachen, verzichtete das Komitee auf einen Boykottaufruf. Im Gegensatz zu den erwähnten Parteien schloss sich hingegen die PdA dem Boykottaufruf an. Im Nationalrat nahm Leutenegger Oberholzer (gp, BL) die Argumente der im Komitee unterlegenen Seite wieder auf. Sie schlug in einer Interpellation vor, auf die Durchführung der Volkszählung zu verzichten, bis alle von der Bundesanwaltschaft registrierten Personen vollständige Einsicht in ihre Dossiers erhalten haben. Für den Bundesrat bestand dazu kein Anlass, da weder ein rechtlicher noch ein sachlicher Zusammenhang zwischen den beiden Bereichen bestehe. Die Befragten seien zudem durch das im Rahmen des neuen Bundesgesetzes über die Volkszählung geschaffene Statistikgeheimnis vor der personenbezogenen Verwendung ihrer Angaben geschützt.