Im August 2018 legte der Bundesrat dem Parlament den Bericht der Expertengruppe zur Zukunft der Datenbearbeitung und Datensicherheit vor. Der Einsatz der aus zwölf Expertinnen und Experten aus Wissenschaft, Verwaltung und Wirtschaft bestehenden Gruppe, angeführt von alt-Nationalrätin Brigitta Gadient (bdp, GR), war auf drei Jahre beschränkt gewesen. Der Schlussbericht der Gruppe beinhaltete unter anderem eine Liste von 51 Empfehlungen an den Bundesrat und die Kantone. Das Parlament schrieb daraufhin die Motion Rechsteiner (sp, SG), die am Ursprung der Expertengruppe gestanden hatte, im Sommer 2019 ab.

Dass die Schweiz eine E-ID schaffen soll, war im Ständerat genauso unbestritten wie im Nationalrat. Die Frage aber, ob die E-ID ein rein staatliches Produkt sein soll oder ob der Staat dafür mit privatwirtschaftlichen Anbietern zusammenarbeiten darf, war in der ständerätlichen Debatte zum E-ID-Gesetz in der Sommersession 2019 mindestens genauso umstritten. Ähnlich wie der Nationalrat befasste sich also auch der Ständerat zuerst mit einem Rückweisungsantrag, demzufolge der Bundesrat die Vorlage dahingehend anpassen müsste, dass die Ausstellung einer E-ID als öffentliche Aufgabe definiert und eine Verwaltungsstelle mit deren Ausstellung beauftragt wird. Für Antragstellerin Anita Fetz (sp, BS) war klar, dass die E-ID «genauso wie der rote Pass» allein vom Staat herausgegeben werden dürfe. Da mit der E-ID zentrale Staatsaufgaben wie Steuern, elektronische Patientendossiers oder vielleicht einmal E-Voting verknüpft sein werden, fielen bei deren Verwendung sensible Daten an, die «nicht in private Hände, auch nicht in datengeschützte private Hände» gelegt werden sollten. Umfragen hätten gezeigt, dass die Bevölkerung dem Staat diesbezüglich das grössere Vertrauen entgegenbringe als der Privatwirtschaft. Das vom Bundesrat vorgebrachte Argument, der Staat könne dem technologischen Wandel nicht genügend folgen, sei im 21. Jahrhundert gar fragwürdig, denn wenn das tatsächlich so wäre, «dann würde er [der Staat] sich abschaffen». Wäre der Staat tatsächlich technologisch inkompetent, fragte Fetz rhetorisch, wie sollte er dann Cybersicherheit schaffen oder ein sicheres E-Voting-System anbieten können? Überdies befürchtete sie, dass man bestimmte Dienstleistungen aus dem Kreise der E-ID-anbietenden Firmen nur noch mit einer E-ID nutzen werden könne, weil diese ein zu starkes Interesse daran hätten, die E-ID zu promoten. Diese Fehler solle man besser jetzt mittels Rückweisung korrigieren, als das Scheitern in einer Referendumsabstimmung in Kauf zu nehmen, begründete Fetz ihr Begehren. Die anschliessende Diskussion um die Machtverteilung zwischen Staat und Markt bei der E-ID verlief überhaupt nicht entlang der klassischen, parteipolitischen Links-Rechts-Konfliktlinie. Während sich die SP-Fraktion selbst gespalten zeigte und Claude Janiak (sp, BL), der noch in der Kommission mit seinem Rückweisungsantrag gescheitert war, im Rat auf die Unterstützung des Antrags Fetz verzichtete, pflichtete SVP-Vertreter Hannes Germann (svp, SH) seinem SP-Ratskollegen Paul Rechsteiner (sp, SG) in dessen Votum für eine staatliche Lösung bei. «Es kommt ja nicht alle Tage vor [...], dass wir gleicher Meinung sind», kommentierte Germann dies.
Auf der anderen Seite plädierten Kommissionssprecher Beat Vonlanthen (cvp, FR), FDP-Ständerat Ruedi Noser (fdp, ZH) sowie Bundesrätin Karin Keller-Sutter für Eintreten. Es handle sich bei der E-ID eben – anders als in den Medien oft kommuniziert – nicht um einen Ausweis, sondern um ein «qualifiziertes Login», das besonders vertrauenswürdig sein soll, aber keinen digitalen Pass darstelle, so Keller-Sutter. Als weiteres Argument gegen die Rückweisung wurde angeführt, schnelles Handeln sei erforderlich, da die Schweiz im Bereich digitale Identität den Anschluss zu verlieren drohe und internationale Lösungen, beispielsweise von Google, Facebook oder Apple, diese Funktion übernehmen könnten, wenn die Schweiz nicht zeitnah eine E-ID anbiete. Beispiele aus anderen Ländern zeigten zudem, dass rein staatliche Lösungen wie in Deutschland oder Grossbritannien mit einer Marktdurchdringung von drei Prozent nicht sehr erfolgreich seien. Demgegenüber erreichten skandinavische Länder, die mit einer privatwirtschaftlichen Lösung arbeiteten, Marktdurchdringungsraten von bis zu 90 Prozent, was zeige, dass dies auch für die Schweiz der richtige Weg sei. Die Hoheit über die Personenidentifizierungsdaten bleibe auch bei diesem Modell vollumfänglich beim Staat, nur müsse der Staat nicht alle Kosten für die technologische Umsetzung selber tragen. Mit 32 zu 7 Stimmen bei 3 Enthaltungen lehnte der Ständerat den Rückweisungsantrag schliesslich deutlich ab.
Als Eintreten einmal beschlossen war, verlief die weitere Detailberatung des Gesetzesentwurfs ausgesprochen unspektakulär. Die grösste Änderung, die der Ständerat einbrachte, war die Einführung einer unabhängigen, vom Bundesrat zu wählenden E-ID-Kommission (Eidcom), die anstelle des ursprünglich dafür vorgesehenen Informatiksteuerungsorgans des Bundes die Anerkennung und Kontrolle der Identity Provider übernehmen wird. Diese Neuerung, die schon von der Kommission geschlossen unterstützt worden war, wurde vom Ständerat stillschweigend gutgeheissen. Zudem strich die kleine Kammer den Artikel über die Sorgfaltspflichten aus dem Entwurf – ein Anliegen, das im Nationalrat noch gescheitert war – mit der Begründung, es sei so klarer, dass ohnehin die Sorgfaltspflichten des OR gelten. Um der Kritik am privatwirtschaftlichen Modell etwas entgegenzukommen, wurde dem Bund überdies die Möglichkeit gegeben, jederzeit ein eigenes E-ID-System anzubieten, und nicht nur ausdrücklich subsidiär zum Markt, sowie sich an privaten Anbietern zu beteiligen – um diese beispielsweise aufzukaufen, wenn ansonsten die Übernahme durch ein ausländisches Unternehmen bevorstünde. Mit 33 zu 4 Stimmen bei 2 Enthaltungen stimmte der Ständerat dem Entwurf zu und übergab ihn mit den geschaffenen Differenzen zurück an den Nationalrat. Am Konzept der staatlich-privatwirtschaftlichen Aufgabenteilung bei der E-ID wird das Parlament wohl nichts mehr ändern. Medienberichten zufolge befinde sich die «Allianz gegen die private E-ID» schon in den Startlöchern für das Referendum.

Um verstärkten Datenschutz bemühte sich eine Motion Rechsteiner (sp, SG), welche die Einsetzung einer Expertenkommission zur Zukunft der Datenbearbeitung und Datensicherheit wünschte. Auslöser des Vorstosses waren die eine historische Wende darstellenden Enthüllungen durch Edward Snowden, die die Welt in ein Vor- und Nach-Snowden teilten. Der eidgenössische Datenschutzbeauftragte begrüsste die Prüfung der Frage, ob die Verfassungs- und Gesetzesbestimmungen in diesem Bereich noch adäquat seien. Nach dem Ständerat nahm denn auch der Nationalrat die Motion mit 97 zu 80 Stimmen bei 4 Enthaltungen an, änderte sie jedoch dahingehend, dass der Einsatz einer solchen Expertenkommission auf drei Jahre beschränkt wird. Die kleine Kammer stimmte dieser Änderung zu.

Eine interdisziplinäre Expertenkommission soll die Zukunft der Datensicherheit und Datenbearbeitung untersuchen. Dies forderte eine in Reaktion auf die Enthüllungen durch den ehemaligen NSA-Mitarbeiter Edward Snowden eingereichte Motion Rechsteiner (sp, SG), welche der Ständerat in der Wintersession 2013 mit 21 zu 15 Stimmen bei 3 Enthaltungen an den Nationalrat überwies. Auch der Bundesrat ortete Handlungsbedarf in diesem Bereich und stellte in Aussicht, zu Beginn 2014 ein Bundesgesetz über die Informationssicherheit in die Vernehmlassung zu schicken. Das Gesetz werde einheitliche, formell-gesetzliche Grundlagen für die Steuerung und die Organisation der Informationssicherheit im Bund schaffen. Der Vorentwurf erfasst unter anderem die Klassifizierung von Informationen, den Schutz von IKT-Mitteln, die Personensicherheitsprüfungen sowie das vereinheitlichte Betriebssicherheitsverfahren. Weiter ist eine behördenübergreifende Organisation der Informationssicherheit im Bund vorgesehen. Eine Expertenkommission wollte der Bundesrat nicht einsetzen und er warnte vor „übertriebenem Aktivismus“.