Das Internet der Dinge bringt auch Datenschutzfragen mit sich. Mit der Überweisung eines Postulats Schwaab (sp, VD) im Dezember 2014 wollte der Nationalrat die Eigentumsrechte im Fall von unerwünschten Verbindungen stärken. Der Bundesrat soll prüfen, ob Personen, die in Besitz oder Eigentümer eines Gerätes sind, das sich mit dem Internet oder anderen Netzwerken verbinden kann, das unabdingbare Recht eingeräumt werden soll, diese Verbindungen zu trennen und bei Zulassen einer Verbindung selber zu entscheiden, welche Daten an Dritte weitergegeben werden. Die geforderte „Control by Design“ (Kontrolle ab der Herstellung) bedeutet auch, dass bereits bei der Herstellung solcher Geräte darauf geachtet werden müsste, dass unerwünschte Verbindungen jederzeit getrennt werden können.

Im Nachgang des Wirbels um die Weitergabe persönlicher Daten von Bankmitarbeitenden lancierte der Kanton Genf eine Standesinitiative, um die Betroffenen künftig besser zu schützen. Der Vorstoss sah vor, dass die Weitergabe von Personendaten ausserhalb von Rechtshilfeabkommen oder bestehenden internationalen Verträgen nicht mehr erlaubt wäre, und dass in künftigen Abkommen ausdrücklich das Recht auf Anhörung festgehalten würde. Da der Gegenstand der Initiative mit den nach dem Scheitern der Lex USA entworfenen Musterverfügungen bereits materiell erfüllt war, gab der Ständerat der Standesinitiative keine Folge. Wäre der Initiative Folge gegeben worden, so hätte dies auch eine Änderung der bisherigen Praxis zur Folge gehabt, da heute die Amtshilfeabkommen meist in Gesetzen und nicht in Rechtshilfeabkommen oder internationalen Verträgen geregelt sind.

Es soll keinen automatischen Adressdatenaustausch zwischen der Post und den Einwohnerdiensten geben. Ein solcher Austausch wäre nicht nur aus datenschützerischen Gründen heikel, sondern würde auch nur der Post dienen. Dies befand der Bundesrat in einem Bericht, den er in Erfüllung des Postulats „Adressdatenaustausch zwischen Einwohnerregistern, Post und anderen Dateninhabern“ der staatspolitischen Kommission des Nationalrats ausgearbeitet hatte. Prüfenswert fand die Regierung jedoch die Idee einer zentralen Adressdatenbank für die öffentliche Verwaltung und beauftragte das EJPD mit der Ausarbeitung möglicher Modelle.

Snowden, fortschreitende Digitalisierung, NSA-Skandale und Cyber-Crimes rückten den Datenschutz zuoberst auf die Politikagenda und verhalfen der Datenschutzproblematik zu einer hohen Medienpräsenz. Die zunehmende Angst vor dem „gläsernen Bürger“ erhielt daher in Gestalt verschiedener Vorstösse auch Einzug ins Parlament. Unter ihnen befand sich eine parlamentarische Initiative Vischer (gp, ZH), welche ein Grundrecht auf informationelle Selbstbestimmung verankern wollte. Die moderne Datenverarbeitung gefährde nicht nur die freie Entfaltung der Persönlichkeit, sondern durch die selbstbestimmte Mitwirkung der Bürger auch das Gemeinwohl. Aus diesem Grund soll der verfassungsrechtliche Datenschutz von einem Missbrauchsschutz zu einem Grundrecht auf informationelle Selbstbestimmung aufgewertet werden. Damit würde ein Paradigmenwechsel in der Beweislast zugunsten der Bürger und Bürgerinnen vorgenommen. Die sicherheitspolitische Kommission des Nationalrates gab dem Vorstoss mit 12 zu 8 Stimmen Folge.

Am 20. Juni 2014 unterbreitete der Bundesrat dem Parlament die Botschaft zur Totalrevision des Strafregistergesetzes. Um dem gesellschaftlichen Sicherheitsbedürfnis zu entsprechen, sieht die Vorlage folgende Veränderungen vor: Zum einen sollen die Zugangsrechte für die Behörden personell wie materiell ausgedehnt und mehr Straftaten – neu auch von juristischen Personen – im Strafregister-Informationssystem VOSTRA gespeichert werden. Zum anderen soll das Auskunftsrecht von Privaten gesetzlich präziser geregelt und dadurch der Datenschutz gestärkt werden. In diesem Sinne sieht der Bundesrat vier Arten von Strafregisterauszügen vor, die sicherstellen sollen, dass die Behörden nur jene Daten sehen, die sie benötigen.

Mit der diskussionslosen Annahme einer Motion Galladé (sp, ZH) wollte der Nationalrat die Exekutive beauftragen, in Absprache mit der EU-Kommission die USA zur mehr Datenschutz bei der Nutzung der Daten von Privatpersonen in der Schweiz aufzufordern. Der Ständerat folgte mit 23 zu 19 Stimmen jedoch der ablehnenden Haltung seiner Kommissionsmehrheit, die aufgrund der bereits laufenden Tätigkeiten des Bundesrates keinen Handlungsbedarf ausmachte. Nur eine Minderheit der kleinen Kammer wollte am Auftrag festhalten, um der Öffentlichkeit zu signalisieren, dass die Bundesversammlung die bundesrätlichen Bemühungen unterstütze.

Um verstärkten Datenschutz bemühte sich eine Motion Rechsteiner (sp, SG), welche die Einsetzung einer Expertenkommission zur Zukunft der Datenbearbeitung und Datensicherheit wünschte. Auslöser des Vorstosses waren die eine historische Wende darstellenden Enthüllungen durch Edward Snowden, die die Welt in ein Vor- und Nach-Snowden teilten. Der eidgenössische Datenschutzbeauftragte begrüsste die Prüfung der Frage, ob die Verfassungs- und Gesetzesbestimmungen in diesem Bereich noch adäquat seien. Nach dem Ständerat nahm denn auch der Nationalrat die Motion mit 97 zu 80 Stimmen bei 4 Enthaltungen an, änderte sie jedoch dahingehend, dass der Einsatz einer solchen Expertenkommission auf drei Jahre beschränkt wird. Die kleine Kammer stimmte dieser Änderung zu.

Im April 2014 sorgte die Aufdeckung einer Sicherheitslücke bei der weitverbreiteten Verschlüsselungssoftware Open SSL für Aufregung. Durch das „Heartbleed“ genannte Leck konnten Kriminelle an sensible Daten wie Passwörter gelangen. Betroffen waren viele Dienstleistungsanbieter wie Krankenversicherer, Banken, Webshops, Google und Yahoo. Nachdem die Sicherheitslücke wohl zwei Jahre bestanden hatte, konnte sie bei den betroffenen Banken in der Schweiz innerhalb eines Tages geschlossen werden.

Um den Informationsschutz des Bundes zu verbessern, hatte der Bundesrat bereits 2010 das VBS beauftragt, im Rahmen einer interdepartementalen Arbeitsgruppe mit einem Bundesgesetz für die Informationssicherheit (ISG) eine einheitliche, formell-gesetzliche Grundlage für die Steuerung und die Organisation der Informationssicherheit bei den Bundesbehörden auszuarbeiten. Im Nachgang an die Datendiebstähle im Nachrichtendienst des Bundes (NDB) hatte der Bundesrat 2012 den Auftrag um eine Gefahrenanalyse und Vorschläge für Sofortmassnahmen ergänzt. Das VBS ortete in seinem Zwischenbericht Handlungsbedarf in den Bereichen Führung, Organisation, Technik und Personal, insbesondere bei den Führungskräften.
Im Frühjahr 2014 führte das VBS eine Vernehmlassung zum Informationssicherheitsgesetz durch. Der Entwurf enthielt Massnahmen im Bereich der Informationsklassifizierung, des Schutzes von Informations- und Kommunikationstechnologien, der Personensicherheitsprüfungen, der Unterstützung kritischer Infrastrukturen und des Betriebssicherheitsverfahrens. Konkret sollten Minimalstandards im Umgang mit digitalen Technologien geschaffen, durch geregelte Zuständigkeiten das Risikomanagement verbessert und weniger, dafür zielgerichtete Personenprüfungen durchgeführt werden. Da das Gesetz keine Detailbestimmungen enthielt und damit nicht direkt umsetzbar wäre, müssten die Bundesbehörden jeweils Ausführungsbestimmungen erlassen. Aus den im November vorgelegenen Stellungnahmen ging hervor, dass eine Mehrheit der Vernehmlasser die Schaffung eines Informationssicherheitsgesetzes grundsätzlich begrüsste. Einzig die SVP stellte sich gegen die Vorlage, die aus ihrer Sicht nur bürokratischen Mehraufwand brächte. Voraussichtlich wird der überarbeitete Gesetzesentwurf im Sommer 2015 dem Parlament vorgelegt werden.

In der E-Government-Strategie des Bundes nahm der Bundesrat eine Anpassung der Verordnung über die Ausweise für Schweizer Staatsangehörige (Ausweisverordnung, VAwG) vor, wonach beim Verfahren für die Identitätskartenbeantragung bei der Wohnsitzgemeinde bis Ende 2014 von den Papierformularen auf ein elektronisches Verfahren umzustellen ist. Eine weitere Anpassung betraf das Recht der Polizei, bei einer Verlustmeldung eines Ausweisdokuments die Gesichtsbilder in der Datenbank einzusehen. Damit beinhaltet die Verordnungsanpassung zugleich auch die Umsetzung einer 2013 überwiesenen Motion Geissbühler (svp, BE).

Im September 2013 wurde bekannt, dass in zwei ehemaligen Rechenzentren der Swisscom Backup-Tapes mit grossen Datenmengen entwendet worden waren. Die Swisscom bemerkte den Diebstahl erst nach einer Anfrage der NZZ, welcher die Daten von einem Unbekannten zugespielt worden waren. Die Telecom-Anbieterin reichte daraufhin bei der Staatsanwaltschaft Bern-Mittelland eine Strafanzeige gegen Unbekannt ein und informierte den Eidgenössischen Datenschutzbeauftragten. Im Dezember wurde das Strafverfahren sistiert. Die Swisscom konnte sich nicht erklären, wie die Daten entwendet werden konnten. Zwischen der NZZ und der Swisscom entbrannte ein Streit darüber, ob die Zeitung über den Inhalt der Datenbänder hätte berichten dürfen. Im Dezember verhinderte die Swisscom die Publikation weiterer Artikel und erwirkte vom Handelsgericht des Kantons Bern eine superprovisorische Verfügung gegen weitere Veröffentlichungen. Die NZZ erwog dies anzufechten, weil laut Experten für Informationsrecht die Daten auf den Bändern niemandem gehörten und die Swisscom deshalb nicht klageberechtigt sei.

Jede Medaille hat ihre Kehrseite. Im Falle der Fortschritte in der Informations- und Kommunikationstechnik ist es die zunehmende Gefahr der Verletzung der Persönlichkeitsrechte, die rechtlich nur ungenügend geschützt sind. Dieses Problem zu analysieren und Lösungen vorzuschlagen, wurde der Bundesrat durch ein Postulat Recordon (gp, VD), welches der Ständerat an die Regierung überwies, aufgefordert. Der Bundesrat war bereit, das Anliegen in die seit 2011 laufende Revision des Datenschutzgesetzes (DSG) aufzunehmen.

Eine interdisziplinäre Expertenkommission soll die Zukunft der Datensicherheit und Datenbearbeitung untersuchen. Dies forderte eine in Reaktion auf die Enthüllungen durch den ehemaligen NSA-Mitarbeiter Edward Snowden eingereichte Motion Rechsteiner (sp, SG), welche der Ständerat in der Wintersession 2013 mit 21 zu 15 Stimmen bei 3 Enthaltungen an den Nationalrat überwies. Auch der Bundesrat ortete Handlungsbedarf in diesem Bereich und stellte in Aussicht, zu Beginn 2014 ein Bundesgesetz über die Informationssicherheit in die Vernehmlassung zu schicken. Das Gesetz werde einheitliche, formell-gesetzliche Grundlagen für die Steuerung und die Organisation der Informationssicherheit im Bund schaffen. Der Vorentwurf erfasst unter anderem die Klassifizierung von Informationen, den Schutz von IKT-Mitteln, die Personensicherheitsprüfungen sowie das vereinheitlichte Betriebssicherheitsverfahren. Weiter ist eine behördenübergreifende Organisation der Informationssicherheit im Bund vorgesehen. Eine Expertenkommission wollte der Bundesrat nicht einsetzen und er warnte vor „übertriebenem Aktivismus“.

Mit dem Datenaustausch zwischen der Post und der für die Führung der Einwohnerregister zuständigen Amtsstellen beschäftigte sich eine 2011 im Ständerat eingereichte parlamentarische Initiative Germann (svp, SH). Diese forderte eine Regelung im Registerharmonisierungsgesetz für einen regelmässigen, strukturierten und elektronischen Austausch, der den Gemeinden vollständige und aktualisierte Adressdaten bieten sollte. Nachdem die staatspolitische Kommission des Nationalrates der Initiative keine Folge gegeben hatte, befanden 2013 die Räte darüber. Während der Ständerat der Initiative mit 28 zu 4 Stimmen Folge gab, scheiterte das Anliegen im Nationalrat mit 126 zu 54 Stimmen.

Sind Daten das neue Gold der Schweiz? Wie einfach Datenserver überwacht werden können, hängt vom Rechtssystem ab, welchem sie unterliegen, was wiederum durch ihren Standort bedingt ist. In jüngster Zeit wuchs das Interesse in- und ausländischer Firmen an IT-Dienstleistern, deren Server sich auf Schweizer Boden befinden. Denn im Gegensatz zu den USA, die auf der Grundlage des Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001 (USA PATRIOT Act) ohne richterliche Verfügung auf Server von US-Firmen zugreifen können, braucht es in der Schweiz eine richterliche Anordnung zur Datenherausgabe.

Der Zugriff auf das 2010 eingeführte Informationssystem Ausweisschriften (ISA) soll gelockert werden. Im Ständerat konnte sich ein Kommissionsminderheitsantrag mit 21 zu 15 Stimmen für die Überweisung einer Motion Geissbühler (svp, BE) durchsetzen. Die Motion forderte, dass die Polizeibehörden einen leichteren Zugang zu den im Informationssystem gespeicherten Fotos haben. Der Bundesrat hatte 2009 aufgrund der im Rahmen der Referendumsabstimmung zum neuen Ausweisgesetz (AwG) in der Bevölkerung geäusserten Bedenken explizit den Zugriff auf die Datenbank für Fahndungszwecke ausgeschlossen. In der kleinen Kammer setzte sich jedoch die Meinung durch, dass die Praxis einen Abbau der Zugangshürden zum ISA notwendig mache.

Der Nationalrat überwies ein Postulat seiner staatspolitischen Kommission, welches den Bundesrat beauftragt, zu prüfen, ob für den automatischen Informationsaustausch zwischen den öffentlichen Dateninhabern eine gesetzliche Grundlage geschaffen werden muss. Der Bundesrat hatte sich bereits im Vorjahr bereit erklärt, auch dieses Anliegen in die laufende Revision des Datenschutzgesetzes aufzunehmen.

Privatpersonen können in Zukunft beantragen, dass ihre Adresse auf dem Portal für Handels- und Firmendaten Moneyhouse noch am selben Tag gelöscht wird. Damit kommt das Internetportal den Empfehlungen des Eidgenössischen Datenschutzbeauftragten (EDÖB), die dieser im Anschluss an verschiedene Beschwerden erlassen hatte, nach.

Ebenfalls mit sozialen Netzwerken beschäftigte sich ein Postulat Amherd (cvp, VS), welches die Regierung beauftragt, zu prüfen, wie Kinder vor den schädlichen Auswirkungen von Social Media geschützt werden können. Die Regierung teilte mit, dass sie das Anliegen bereits im aus der Erfüllung des Postulats Amherd „Rechtliche Basis für Social Media“ stammenden Bericht sowie mit dem Nationalen Programm "Jugendmedienschutz und Medienkompetenz" Rechnung trägt. Der Nationalrat überwies das Postulat in der Wintersession ohne Diskussion.

Der eidgenössische Datenschutzbeauftragte Hanspeter Thür verlangt, dass die beiden Abkommen mit den USA zum Austausch von Polizeidaten umfassende Garantien zum Datenschutz enthalten sollen. Aufgrund des ungenügenden Datenschutzes in den Vereinigten Staaten müssten die Abkommen explizit den Verwendungszweck der Daten definieren. Zudem solle nur zur Aufklärung schwerer Verbrechen ein Datenaustausch stattfinden. Die aussenpolitischen Kommissionen (APK-SR und APK-NR) beider Räte haben das Verhandlungsmandat des Bundesrates im März 2012 gutgeheissen. So konnte der Bundesrat im Dezember 2012 das Abkommen zum Austausch von Fingerabdruck- und DNA-Daten zur Bekämpfung von Schwerkriminalität (PCSC) und das Memorandum of Understanding über den Austausch von Daten zu mutmasslichen und bekannten Terroristen (HSPD-6) in Washington D.C. unterzeichnen. Als Gegenleistung wird Schweizern ein maximal neunzigtägiger, visumsfreier Aufenthalt in den USA weiterhin erlaubt (Visa Waiver Program).

Ebenfalls ins Visier des Datenschützers geriet der Online-Suchdienst Moneyhouse. Der Dienst hatte begonnen, neben Wirtschaftsauskünften auch Privatadressen zu veröffentlichen, um Zugriffe auf die Website und somit deren Werbeeinahmen zu erhöhen. Auf ein Gesuch des Eidgenössischen Datenschutzbeauftragten erliess das Bundesverwaltungsgericht eine superprovisorische Verfügung, nach welcher der Internetdienst die Suchfunktion für Adressen von Personen per sofort einstellen musste. Nach der Anhörung der Stellungnahme von Moneyhouse kam das Gericht auf seine Anordnung zurück und wies das Gesuch von Hanspeter Thür ab. Es genüge, wenn Gesuche auf Löschung innert kürzester Frist bearbeitet würden.

Auch nach diesem Entscheid sieht Hanspeter Thür noch Handlungsbedarf bezüglich des Datenschutzes. So kritisierte er die automatische Informationsübermittlung an soziale Netzwerke via Social-Media-Buttons, den sogenannten Cookies. Thür ist der Ansicht, dass das zwanzigjährige Datenschutzgesetz den technologischen Entwicklungen bald angepasst werden muss.

Mit der Überweisung des Postulats von Nationalrat Schwaab (sp, VD) beauftragte der Nationalrat den Bundesrat, die Aufnahme eines Rechts auf Vergessen im Internet in das Bundesrecht zu prüfen. Damit sollen insbesondere soziale Netzwerke verpflichtet werden, die Speicherung von personenbezogenen Daten auf ein absolutes Minimum zu beschränken. Der Bundesrat unterstützt dieses Anliegen. In seinem aus der Evaluation des Bundesgesetzes über den Datenschutz resultierenden Bericht gelangt er zu einer übereinstimmenden Auffassung.

Nachdem das Bundesverwaltungsgericht 2012 nahezu alle Forderungen des Eidgenössischen Datenschutzbeauftragten betreffend des Datenschutzes durch Google Street View gutgeheissen hatte, hat das Bundesgericht die Beschwerde von Google nur teilweise bestätigt. So muss der Internetdienst keine vollständige Anonymisierung aller im öffentlichen Raum fotografierten Personen garantieren. Jedoch darf die Fehlerquote beim Verwischen höchstens ein Prozent betragen und Einspruchswege per Internet und Post müssen offengehalten werden. Die anderen Forderungen des Datenschützers, wie etwa die vollständige Anonymisierung im Bereich von heiklen Einrichtungen, wurden auch vom Bundesgericht unterstützt.

Eine von Nationalrat Hochreutener (cvp, BE) eingereichte parlamentarische Initiative forderte, dass Hostingprovider für unzureichenden Schutz der von ihnen gespeicherten Informationen zur Verantwortung gezogen werden können. Die Rechtskommission des Nationalrates empfahl die Initiative nach der Ablehnung ihrer Schwesterkommission nun ebenfalls zur Ablehnung, weil seit dem Einreichen der Initiative verschiedene gesetzliche wie auch nichtgesetzgeberische Massnahmen ergriffen worden waren. Der Nationalrat folgte dem Antrag seiner Kommission in der Sommersession 2012.