Um Verwaltungsabläufe effizienter zu gestalten und damit letztlich eine einfachere und kostengünstigere Verwaltungsarbeit erreichen zu können, sollen Behörden systematisch die AHV-Nummer als Personenidentifikator verwenden dürfen. Der Bundesrat schickte eine entsprechende Änderung des AHVG Anfang November 2018 in die Vernehmlassung. Im Gegensatz zu den Behörden von Bund, Kantonen und Gemeinden sollen aber Institutionen ohne Behördencharakter, die mit der Erfüllung einer öffentlichen Aufgabe betraut sind, die AHV-Nummer weiterhin nur mit spezialgesetzlicher Ermächtigung verwenden dürfen. Es soll dem Gesetzgeber zudem möglich sein, für bestimmte Verwendungszwecke sektorielle Personenidentifikatoren vorzuschreiben.
Mit der AHV-Nummer reiche ein einziges Merkmal, um eine Person zu identifizieren, was nicht nur die Datenbearbeitung vereinfache, sondern auch Verwechslungen vorbeuge, so der Bundesrat in seiner Medienmitteilung. Für den Datenschutz und die Informationssicherheit sehe der Vorentwurf wirksame Massnahmen vor; zusätzlich zu den üblichen Sicherheitsmassnahmen bei Informatiksystemen des Bundes müsse einerseits der Zugang zu den Datenbanken optimal gesichert werden, andererseits werde das Unterlassen oder die unsorgfältige oder nicht fachgerechte Ausführung von Sicherheitsmassnahmen unter Strafe gestellt. Ausserdem würden die gesetzlichen Bestimmungen zur Verknüpfung verschiedener Datenbanken nicht geändert; die Verwaltung verknüpfe also nicht mehr Daten der Bürgerinnen und Bürger als bisher. Die breitere Verwendung der AHV-Nummer gehe nicht einmal mit einem erhöhten Anreiz zu häufigerem illegalem Verknüpfen verschiedener Datenbanken einher, da bereits mit den bisher erfassten Identitätsmerkmalen in 99.98 Prozent der Fälle eine erfolgreiche Verknüpfung erreicht werden könnte, wie das BSV in einem Hintergrunddokument zum Datenschutz erläuterte. Die Vernehmlassung läuft bis am 22. Februar 2019.

Nachdem der Ständerat in der Herbstsession 2018 am Eintreten auf das Informationssicherheitsgesetz (ISG) festgehalten hatte, beriet die SiK-NR die Vorlage im Oktober desselben Jahres zum zweiten Mal. Diesmal trat sie zwar mit 17 zu 8 Stimmen bei einer Enthaltung darauf ein, beschloss dann aber mit 17 zu 9 Stimmen die Sistierung des Geschäftes. Unterdessen soll das VBS bis im Juni 2019 Verbesserungsvorschläge für das Gesetzgebungsprojekt ausarbeiten. Neben der inhaltlichen Abstimmung des ISG auf die NCS und der Berücksichtigung eines zukünftigen Kompetenzzentrums für Cybersicherheit verlangte die Kommission eine klare Ausweisung und Limitierung sowie die departementsübergreifende Kompensation der Umsetzungskosten. Weiter muss das VBS aufzeigen, welche Kosten im Bereich der Betriebssicherheitsverfahren auf die öffentlichen und privaten Unternehmen in der Schweiz zukommen bzw. wie eine Belastung der Unternehmen durch das neue Gesetz vermieden werden kann. Generell erwartet die Kommission einen konkreteren, einfacheren und strafferen Gesetzesentwurf.

In der Herbstsession 2018 beschäftigte sich der Ständerat als Zweitrat mit der ersten Etappe der DSG-Revision, welche nur die Schengen-relevanten Bestimmungen des Gesetzgebungsprojektes umfasste. Die Schweiz hätte ihr Datenschutzrecht eigentlich bis zum 1. August 2018 an die EU-Richtlinie 2016/680 betreffend den Datenschutz in Strafsachen anpassen müssen, war damit im September also schon leicht im Verzug. Obwohl sich Kommissionssprecherin Pascale Bruderer Wyss (sp, AG) nicht sonderlich begeistert von der Etappierung der Vorlage zeigte – der Schengen-relevante Teil sei nicht der einzige, der zügig abgeschlossen werden sollte, denn die übrigen Bestimmungen seien zwar nicht für das Fortbestehen der Schengen-Assoziierung, aber sehr wohl für den Angemessenheitsbeschluss relevant und somit nicht weniger wichtig –, appellierte sie an den Rat, das Beste daraus zu machen und den eingeschlagenen Weg möglichst rasch weiterzugehen.
Nachdem die kleine Kammer ohne Gegenantrag auf die Vorlage eingetreten war, wurde auch hier, wie zuvor im Nationalrat, die Diskussion geführt, ob die gewerkschaftlichen Ansichten in der Definition der besonders schützenswerten Personendaten explizit aufgeführt werden müssten oder ob man diese streichen könne, da sie von den politischen und weltanschaulichen Ansichten erfasst würden. Wie der Nationalrat sprach sich auch der Ständerat mehrheitlich für die Streichung der gewerkschaftlichen Ansichten aus, obwohl, wie von Bundesrätin Sommaruga und Minderheitsvertreter Stöckli (sp, BE) angemerkt, dieser Antrag gar nie begründet worden sei. Materiell änderte sich damit nichts im Vergleich zum geltenden Recht, weshalb sowohl die Justizministerin als auch der Minderheitsvertreter letztlich vergebens die Notwendigkeit dieser Anpassung – notabene in einem ohnehin befristeten Gesetz – angezweifelt hatten. Als zweite Änderung und damit neue Differenz zum Nationalrat verbot der Ständerat dem EDÖB grundsätzlich die Ausübung jeglicher Nebentätigkeiten, unabhängig davon, ob diese vergütet werden oder nicht. Abweichend vom Grundsatz soll der Bundesrat eine solche jedoch gestatten können, wenn der EDÖB dadurch nicht in der Ausübung seiner Tätigkeit, seiner Unabhängigkeit und seinem Ansehen beeinträchtigt wird. Diese Absicht hatte bereits der Bundesrat in seinem Entwurf gezeigt, der Ständerat habe jetzt aber die «richtige Perspektive» und die «richtige Formulierung» gefunden, so Bundesrätin Sommaruga. Einstimmig verabschiedete die kleine Kammer das Schengen-Datenschutzgesetz mit dieser einen verbleibenden Differenz. Ebenfalls einstimmig genehmigte sie auch den Notenaustausch zwischen der Schweiz und der EU betreffend die Übernahme der EU-Richtlinie 2016/680 zum Datenschutz in Strafsachen.
Der Nationalrat räumte die Differenz daraufhin oppositionslos aus und nahm das Schengen-Datenschutzgesetz in der Schlussabstimmung mit 182 zu 11 Stimmen an. Der Genehmigung des Notenaustausches stimmte er mit 139 zu 45 Stimmen zu; dagegen opponierte ein Grossteil der SVP-Fraktion. Im Ständerat passierten beide Entwürfe die Schlussabstimmung einstimmig.

Mit zwölf zu einer Stimme beantragte die SiK-SR ihrem Rat im Herbst 2018, am Eintreten auf das Informationssicherheitsgesetz festzuhalten. Das Gesetz sei im Auftrag des Parlamentes entstanden und berücksichtige klare Vorgaben der GPK und der GPDel, erklärte Kommissionssprecher Isidor Baumann (cvp, UR) vor dem Ratsplenum. Er fügte eine Liste von Gründen an, weshalb das Gesetz notwendig sei: Es brauche das Gesetz, um bei allen Bundesbehörden einen einheitlichen, minimalen Sicherheitsstandard zu gewährleisten, um die Kantone bei der Zusammenarbeit mit dem Bund denselben Sicherheitsvorschriften zu unterstellen, um durch die Verwendung biometrischer Daten unberechtigte Zugriffe auf die Informationssysteme des Bundes besser zu verhindern und um Personensicherheitsüberprüfungen bei Betreibenden oder Verwaltenden der kritischen Informationssysteme des Bundes durchführen zu können. Darüber hinaus könnten damit die Vertrauenswürdigkeit von Unternehmen, die sensible Aufträge für den Bund ausführten, sowie die Einhaltung der Sicherheitsstandards während der Auftragserfüllung kontrolliert werden. Das inhaltlich abgestimmte Gesetz ermögliche gegenüber dem heutigen System einen Bürokratieabbau, indem es Verantwortlichkeiten und Prozesse vereinfache und Massnahmen standardisiere, hob Baumann die Vorteile des Projektes hervor. Auch Bundesrat Guy Parmelin betonte noch einmal die Bedeutung dieses Gesetzes für die Schweiz. Stillschweigend hielt der Ständerat am Eintretensentscheid fest, womit sich nun erneut der Nationalrat mit dem Geschäft befassen wird.

Mittels Motion forderte Nationalrat Daniel Fässler (cvp, AI), wieder eine Bewilligungspflicht für ausländische Redner an politischen Veranstaltungen einzuführen. Eine solche Bestimmung hatte es in der Schweiz schon einmal gegeben, bis sie 1998 aufgehoben worden war, weil sie als überholt und verfassungswidrig angesehen worden war. Der Motionär war der Ansicht, seit 1998 verfüge die Schweiz über kein taugliches Mittel mehr, Auftritte von ausländischen Politikerinnen und Politikern in der Schweiz zu unterbinden. Beispielhaft habe dies ein geplanter, umstrittener Auftritt des türkischen Aussenministers 2017 in Zürich gezeigt, den die zuständigen Zürcher Behörden nur unter Berufung auf den Brandschutz hätten verhindern können. So etwas sei «eines Staatswesens unwürdig», die aufgehobenen Regeln hätten sich zuvor jahrzehntelang bewährt und «die Ruhe in unserem Land» garantiert, so Fässler. Der Bundesrat stellte sich indes auf den Standpunkt, die lokalen Behörden hätten grundsätzlich die Möglichkeit, politische Veranstaltungen nicht oder nur unter Auflagen zu bewilligen. Darüber hinaus könne das Fedpol gestützt auf das Ausländergesetz ein Einreiseverbot gegen ausländische Personen erlassen, wenn diese die innere oder äussere Sicherheit der Schweiz gefährdeten. Gestützt auf das NDG könne der Bundesrat einer ausländischen Person zudem via Tätigkeitsverbot untersagen, an einer politischen Veranstaltung in der Schweiz aufzutreten, wenn der Auftritt dazu diene, terroristische oder gewaltextremistische Aktivitäten zu propagieren. Die Bewilligungspflicht stelle also einen unverhältnismässigen Eingriff in die Meinungsäusserungsfreiheit dar. Die knappe Mehrheit der Nationalrätinnen und Nationalräte sah dies jedoch anders und stimmte der Motion im Herbst 2018 mit 90 zu 85 Stimmen bei 3 Enthaltungen zu.

Das in Art. 3 EMRK formulierte und auch in Art. 25 Abs. 3 BV verankerte Rückschiebeverbot verbietet es absolut, eine Person in einen Staat auszuschaffen, in dem ihr Folter oder eine andere Art grausamer oder unmenschlicher Behandlung oder Bestrafung droht. CVP-Nationalrat Fabio Regazzi (cvp, TI) forderte mit seiner Motion «Ausweisung von Terroristinnen und Terroristen in ihre Herkunftsländer, unabhängig davon, ob sie als sicher gelten oder nicht», die innere Sicherheit der Schweiz solle im Falle von Flüchtlingen, die mit terroristischen Aktivitäten in Verbindung gebracht werden und damit eine Gefahr für die Sicherheit der Schweiz darstellen, Vorrang haben. Erreichen wollte er dies durch die vorrangige Anwendung von Art. 33 Abs. 2 des internationalen Abkommens über die Rechtsstellung der Flüchtlinge, demzufolge sich ein Flüchtling nicht auf das Ausweisungsverbot berufen könne, «wenn erhebliche Gründe dafür vorliegen, dass er als eine Gefahr für die Sicherheit des Aufenthaltsstaates angesehen werden muss oder wenn er eine Bedrohung für die Gemeinschaft dieses Landes bedeutet, weil er wegen eines besonders schweren Verbrechens oder Vergehens rechtskräftig verurteilt worden ist.» Das Ausweisungsverbot an der vom Motionär genannten Stelle in der Flüchtlingskonvention ist jedoch weiter gefasst ist als das Non-Refoulement-Prinzip des zwingenden Völkerrechts und verbietet eine Rückschiebung nicht nur bei drohender Folter oder Todesstrafe, sondern auch bei Gefährdung des Lebens oder der Freiheit des Flüchtlings «wegen seiner Rasse, Religion, Staatszugehörigkeit, seiner Zugehörigkeit zu einer bestimmten sozialen Gruppe oder seiner politischen Anschauungen» (Art. 33 Abs. 1 FK). Ergo kann das Ausweisungsverbot der Flüchtlingskonvention bei Gefährdung der öffentlichen Sicherheit eingeschränkt werden; für das Rückschiebeverbot des zwingenden Völkerrechts gilt dies jedoch nicht, das Non-Refoulement-Prinzip gilt absolut.
Obwohl Justizministerin Simonetta Sommaruga vor dem Nationalratsplenum klarstellte, dass es erstens nicht nur ausländische Dschihadisten gebe und zweitens die Schweiz bereits heute Rückführungen in «unsichere Staaten» vornehme, da die Unsicherheit in einem Land kein Hinderungsgrund für eine Rückführung sei, sondern nur eine Verletzung des Rückschiebeverbots im individuellen Fall, nahm der Nationalrat die Motion im Herbst 2018 mit 102 zu 73 Stimmen bei 3 Enthaltungen an. Auch die Begründung, der Bundesrat habe hier gar keinen Handlungsspielraum – man könne das zwingende Rückschiebeverbot nicht einfach ignorieren, weil man der Flüchtlingskonvention Vorrang vor der Bundesverfassung gewähre – sowie die Versicherung, man sei auch vonseiten des Bundesrats durchaus um Massnahmen zur Terrorismusbekämpfung bemüht – so zeige dies beispielsweise die in der Vernehmlassung gut angekommene Ausweitung des präventiv-polizeilichen Instrumentariums –, stiess mehrheitlich auf taube Ohren. Während die SVP-Fraktion geschlossen für den Vorstoss votierte, stimmten die Grüne, die SP- und die GLP-Fraktion geschlossen dagegen. Die bürgerlichen Parteien zeigten sich gespalten, wobei sich die Fraktionen der FDP und der CVP mehrheitlich dafür und jene der BDP mehrheitlich dagegen aussprachen.

Diskussionslos überwies der Nationalrat in der Herbstsession 2018 ein Postulat seiner Rechtskommission für ein Sicherheitskonzept für Personenidentifikatoren. Der Bundesrat muss nun aufzeigen, wie den Risiken bei der Verwendung der AHV-Nummer als Personenidentifikationsnummer begegnet und wie der Datenschutz bei der Verwendung von Personenidentifikationsnummern allgemein verbessert werden kann. Die Regierung hatte das Postulat zur Annahme beantragt, da sie sich der Problematik bei der Verwendung der AHV-Nummer und der starken Ausweitung dieser Praxis bewusst sei. Er habe beim EDI bereits im Februar 2017 einen Vorentwurf zur Regelung der systematischen Verwendung der AHV-Nummer im Behördenverkehr in Auftrag gegeben, so der Bundesrat in seiner Stellungnahme.

Die Schweiz dürfe nicht zu einem Rückzugsort für Terroristen werden, befand die SVP-Fraktion im Herbst 2016, als sie eine Motion zum Umgang mit staatsgefährdenden Personen einreichte. Sie forderte damit die Schaffung von Rechtsgrundlagen, um Personen, die zu Terrorismus aufrufen, anleiten oder ermuntern bzw. terroristische Aktivitäten ankünden, finanzieren, begünstigen oder zu deren Unterstützung aufrufen – aber keine Straftat begangen haben – durch unverzügliche Inhaftierung oder Ausschaffung an ihrem Tun zu hindern.
Der Bundesrat beantragte den Vorstoss zur Ablehnung, aber nicht, wie Justizministerin Simonetta Sommaruga vor dem Nationalratsplenum erläuterte, weil er das Anliegen grundsätzlich ablehnte, sondern weil er die Motion «in wesentlichen Teilen» schon als erfüllt ansah. Einerseits bestünden bereits Straftatbestände, die auch terroristische Akte einschlössen, sowie die Haftgründe der Wiederholungs- und Ausführungsgefahr. Andererseits seien mit der Verstärkung des strafrechtlichen Instrumentariums gegen Terrorismus und organisierte Kriminalität sowie dem Bundesgesetz über polizeiliche Massnahmen zur Terrorismusbekämpfung zwei Vorlagen zum Umgang mit sogenannten terroristischen Gefährdern in Arbeit. Auch wenn darin keine Präventivhaft vorgesehen sei – es gehe ja schliesslich um Menschen, die keine Straftat verübt haben, erinnerte die Bundesrätin –, eigneten sich die vorgeschlagenen Instrumente, um Gefährderinnen und Gefährder zu überwachen und Material für ein allfälliges Strafverfahren zu sammeln. Dies genügte dem Nationalrat aber offenbar nicht; er nahm die Motion im Herbst 2018 mit 113 zu 64 Stimmen an.

Von den insgesamt 59 Vernehmlasserinnen und Vernehmlassern, die eine Stellungnahme zum Vorentwurf für ein Bundesgesetz über polizeiliche Massnahmen zur Bekämpfung von Terrorismus (PMT) abgegeben hatten, äusserte sich die grosse Mehrheit grundsätzlich zustimmend, wenn auch mit Vorbehalten, zum bundesrätlichen Vorhaben. Zwei Drittel der Teilnehmenden anerkannten, dass gesetzgeberischer Handlungsbedarf in diesem Bereich bestehe. Besonders positiv beurteilt wurden die Ausweitung des Kataloges an präventiv-polizeilichen Massnahmen sowie die anvisierte Zusammenarbeit der kommunalen, kantonalen und eidgenössischen Ebenen. Diese wurde im Vernehmlassungsbericht als «zentrale Voraussetzung für die Erkennung, Beurteilung und Verhinderung von terroristischen Straftaten» gewürdigt. Zehn Stellungnahmen fielen indes klar oder eher negativ aus. Die GLP, die Grünen, der SGV, die Menschenrechtsorganisationen Amnesty International, humanrights.ch und grundrechte.ch sowie weitere Organisationen aus juristischen Kreisen lehnten das Gesetzgebungsprojekt ab. Sie argumentierten hauptsächlich, die bereits bestehenden oder sich gerade in Einführung befindenden Massnahmen – darunter das NDG, der NAP gegen Radikalisierung und gewalttätigen Extremismus sowie die sich in Vernehmlassung befindenden Anpassungen des Strafrechts – reichten vorerst aus und müssten zuerst evaluiert werden, bevor weitere massive Eingriffe in die Grundrechte beschlossen würden. Hauptsächlich von den Kantonen wurden ausserdem Vorbehalte zum verfassungsrechtlichen Subsidiaritätsgebot vorgebracht, weil die Anordnung der präventiv-polizeilichen Massnahmen dem Fedpol und nicht den Kantonen obliege. Ebenfalls von den Kantonen kritisiert wurde der vorgesehene kantonale Vollzug der Massnahmen, weil dies bei unterschiedlichen oder fehlenden kantonalen Rechtsgrundlagen zu Schwierigkeiten führen könne und für sie mit erheblichem koordinatorischem sowie finanziellem Aufwand verbunden sei. Aus rechtsstaatlichen Gründen als bedenklich angesehen wurde überdies die vorgeschlagene Präventivhaft vor der Einleitung eines Strafverfahrens. Vorgeschlagen wurde von der KKJPD dagegen eine sogenannte gesicherte Unterbringung für Gefährder (GUG), um Verurteilte, die nach Verbüssen der Strafe ein konkretes und ernsthaftes Rückfallrisiko aufweisen, nicht in die Freiheit entlassen zu müssen und somit die Öffentlichkeit besser vor Gefährdern schützen zu können.

Darüber, dass das mittlerweile in die Jahre gekommene Schweizer Datenschutzrecht revidiert werden muss, bestand in der Sommersession 2018 im Nationalrat Einigkeit, jedoch nicht unbedingt darüber, wie diese Revision vonstattengehen soll. Die SPK-NR hatte die Vorlage des Bundesrates zweigeteilt, sodass in einem ersten Schritt alle Bestimmungen zur Umsetzung der Schengen-relevanten EU-Richtlinie 2016/680 «zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung» möglichst zeitnah verabschiedet werden können, bevor in der zweiten Etappe die Revision des Datenschutzgesetzes (DSG) unter Einbezug der EU-Datenschutz-Grundverordnung und der revidierten Datenschutzkonvention des Europarates ohne Zeitdruck angegangen werden kann. Nicht einverstanden mit diesem Plan wollte Cédric Wermuth (sp, AG) das Geschäft mittels Minderheitsantrag an die Kommission zurückweisen, damit diese die Teilung rückgängig mache und die Vorlage integral berate. Er hielt es für ineffizient, dass sich das Parlament innert kurzer Zeit zweimal mit dem Datenschutzrecht befassen müsste. Bevor darüber abgestimmt werden konnte, zog Wermuth seinen Antrag jedoch mit der Begründung zurück, zum jetzigen Zeitpunkt könne die Rückweisung nicht mehr zu einer Beschleunigung des Verfahrens führen; es sei nun vielmehr schneller, den eingeschlagenen Weg weiterzugehen und das Geschäft in der kommenden Herbstsession dem Ständerat zu unterbreiten. Somit trat die grosse Kammer ohne Gegenantrag auf die Vorlage ein und genehmigte deren Teilung. Damit wurden die für die Schengen-Zusammenarbeit im Strafrechtsbereich relevanten Bestimmungen in das neue Schengen-Datenschutzgesetz (SDSG) ausgelagert, das als Anhang des bestehenden DSG konzipiert ist. Das SDSG wird nach der Totalrevision des DSG hinfällig werden und war in seinem Inhalt im Nationalrat unbestritten. Im Zuge eines einzigen Minderheitsantrags befasste er sich mit der Frage, ob gewerkschaftliche Ansichten ausdrücklich in der Definition von besonders schützenswerten Daten natürlicher Personen erwähnt werden sollen oder ob diese automatisch unter den besonderen Schutz der politischen und weltanschaulichen Ansichten fallen, wie die Kommissionsmehrheit argumentierte. Bundesrätin Simonetta Sommaruga stellte fest, dass es keine materielle Differenz zwischen den beiden Vorschlägen gebe. Die Minderheit wollte im Einklang an die Formulierung im bestehenden DSG sowie in der EU-Richtlinie die gewerkschaftlichen Ansichten explizit beibehalten, doch der Nationalrat folgte in diesem Streitpunkt der Kommissionsmehrheit. In der Gesamtabstimmung nahm die grosse Kammer die Änderungen der ersten Etappe der Revision des Datenschutzgesetzes mit 174 zu 5 Stimmen bei 2 Enthaltungen an. Mit ebenso grosser Mehrheit (170 zu 5 Stimmen bei 2 Enthaltungen) stimmte sie der Genehmigung des Notenaustauschs zwischen der Schweiz und der EU betreffend die Übernahme der EU-Richtlinie zu.

Mit der Botschaft zur Totalrevision des Bundesgesetzes über den Datenschutz und der Änderung weiterer Erlasse zum Datenschutz beantragte der Bundesrat die Abschreibung eines Postulats Béglé (mitte, VD). Béglé hatte gefordert, in der Revision des DSG Wege für eine geschützte, transparente und zielgerichtete Datenerhebung, insbesondere bei medizinischen Daten, aufzuzeigen. In der Botschaft zur Revision des DSG verwies der Bundesrat darauf, dass im revidierten DSG neue Pflichten für Verantwortliche und Auftragsbearbeitende vorgesehen seien, welche den Forderungen des Postulats entsprächen. Weiter würden die Kompetenzen der Beauftragten gestärkt, die strafrechtlichen Sanktionen verschärft und Verhaltenskodizes erarbeitet, die den Datenschutz auch für medizinische Daten verbesserten. Somit sei das Anliegen des Postulats erfüllt. Der Nationalrat kam dem Antrag des Bundesrats in der Sommersession 2018 stillschweigend nach und schrieb das Postulat ab.

Mit dem neuen Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz) soll für natürliche Personen die Möglichkeit geschaffen werden, sich im Internet sicher und bequem auszuweisen. Es beinhaltet die gesetzliche Grundlage für die Herausgabe von elektronischen Identifizierungsmitteln, die zur Registrierung bei privaten und öffentlichen Online-Portalen – wie zum Beispiel an «virtuellen Schaltern» für E-Government-Anwendungen – genutzt werden können. Der Bundesrat verabschiedete die entsprechende Botschaft am 1. Juni 2018 zuhanden des Parlaments.
Das Gesetz sieht bei der Bereitstellung der E-ID eine Aufgabenteilung zwischen dem Staat und der Privatwirtschaft vor. Während die amtliche Überprüfung und Bestätigung der Identität einer Person dem Staat – konkret einer speziellen Identitätsstelle im EJPD – obliegt, sollen die technischen Trägermittel für die Identifizierung von der Privatwirtschaft hergestellt und entwickelt werden, die sich gemäss Bundesrat besser der Dynamik des technologischen Wandels anpassen könne als der Staat. Die Ausstellung der E-ID sowie das Betreiben des E-ID-Systems sollen also in die Zuständigkeit privater Anbieter übergeben werden (sog. Identity Provider), die wiederum vom Staat anerkannt und kontrolliert werden. Nicht festgelegt wird, auf welchem Trägermedium die E-ID gespeichert werden muss; so sind u.a. Karten mit Speicherchips, Mobiltelefon- oder gar nicht materialisierte Lösungen (wie sie beispielsweise bei Online-Banking-Systemen eingesetzt werden) denkbar. Für die staatliche Anerkennung und Kontrolle sind drei verschiedene, im Gesetz definierte und sowohl von der EU als auch vom National Institute of Standards and Technology der USA festgeschriebene Sicherheitsniveaus massgebend, für die jeweils andere Mindestanforderungen gelten. Ausserdem formuliert das Gesetz die datenschutzrechtlichen Rahmenbedingungen für den Verwendungszweck, die Bearbeitung und Weitergabe der Daten durch die Identity Provider und die Bundesbehörden. Einerseits liegt die Hoheit über den Einsatz und die Freigabe der Daten vollumfänglich und ausschliesslich bei den Nutzerinnen und Nutzern, andererseits können Anbieter von Online-Diensten selbst entscheiden, ob für die Verwendung ihres Dienstes eine staatlich anerkannte E-ID verlangt werden soll oder nicht. In der Botschaft betonte der Bundesrat zudem, dass das Gesetz relevante internationale Regelungen berücksichtige; so wäre die vorgeschlagene Lösung im Falle einer Einbindung der Schweiz in das elektronische Identifizierungssystem der EU mit der einschlägigen EU-Verordnung vereinbar.

Nach Ansicht des Bundesrates wurde die Forderung der Motion der SiK-SR (15.3498) nach einer unabhängigen Aufsicht über den NDB mit den Bestimmungen des neuen Nachrichtendienstgesetzes – konkret Art. 75 ff. NDG – erfüllt, weshalb er deren Abschreibung beantragte. In einem Bericht zur Abschreibung der Motion legte er dar, dass die mit dem Inkrafttreten des NDG etablierte Aufsichtsstelle zwar administrativ dem VBS angegliedert ist, jedoch über ein eigenes Budget, eigene Räumlichkeiten und eigenes Personal, das sie auch selbst anstellt, verfügt. Ferner kann die Aufsichtsstelle ihre Arbeitsweise und Organisation selbst bestimmen und weisungsungebunden operieren. Eine Ansiedlung dieser Aufsichtsbehörde ausserhalb der Bundesverwaltung brächte somit keinen zusätzlichen Nutzen im Sinne von verstärkter Unabhängigkeit, sehr wohl aber einen unverhältnismässig grossen administrativen und finanziellen Zusatzaufwand mit sich. Im Sommer bzw. Herbst 2018 nahmen die eidgenössischen Räte vom Bericht Kenntnis und schrieben die Motion als erfüllt ab. Ein Antrag auf Rückweisung des Berichts an den Bundesrat mit dem Auftrag, nach zweijähriger Tätigkeit die Aufsicht über den NDB zu evaluieren und zu diesem späteren Zeitpunkt noch einmal die Vor- und Nachteile einer von der Bundesverwaltung unabhängigen Aufsichtsbehörde zu erörtern, blieb im Nationalrat chancenlos.

Die SPK-NR trat im Januar 2018 einstimmig auf die Revision des Datenschutzrechts ein, da es unbestritten notwendig sei, das schweizerische Datenschutzrecht an die gesellschaftlichen und technologischen Entwicklungen anzupassen. Teil dieser Vorlage war auch die Umsetzung der EU-Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts. Wie bei allen Weiterentwicklungen des Schengen-Besitzstandes hat die Schweiz auch für die Übernahme dieser Richtlinie zwei Jahre Zeit. In diesem Fall endet diese Frist am 1. August 2018. Angesichts der zeitlichen Dringlichkeit der Schengen-relevanten Anpassungen einerseits sowie der Komplexität und Tragweite der Datenschutzthematik andererseits entschied die Kommission mit 14 zu 8 Stimmen bei 2 Enthaltungen, die Vorlage in zwei Teile zu spalten, sodass zuerst zeitnah die Schengen-relevanten Anpassungen verabschiedet werden können und die Totalrevision des Datenschutzgesetzes anschliessend ohne Zeitdruck erfolgen kann. Die zur Umsetzung der Richtlinie erforderlichen Anpassungen waren in der Kommission weitgehend unbestritten, weshalb sie diese erste Etappe im April desselben Jahres einstimmig annahm. Die Minderheit sah hingegen keinen Nutzen in der Teilung der Vorlage und wird dem Nationalrat beantragen, das Geschäft an die Kommission zurückzuweisen, damit diese die Revision des Datenschutzrechts integral berät.

Wie im vergangenen Dezember schon der Ständerat und dessen sicherheitspolitische Kommission stellte im Frühjahr 2018 auch die SiK-NR Handlungsbedarf im Informationssicherheitsmanagement des Bundes fest. Anders als ihre Schwesterkommission, der die kleine Kammer widerstandslos gefolgt war, zweifelte die nationalrätliche Kommission jedoch am Mehrwert, den das Informationssicherheitsgesetz mit sich brächte. Die bedeutendsten Unbekannten im Gesetzgebungsprojekt waren nach wie vor die Kosten und der Personalaufwand im Zusammenhang mit der Umsetzung. Während sich der Ständerat mit der Zusicherung zufriedengegeben hatte, zu den Kosten später noch einmal konsultiert zu werden, beauftragte die SiK-NR die Verwaltung, die Kosten und den Personalaufwand für verschiedene mögliche Sicherheitsniveaus zu beziffern. Es wurden also drei mögliche Szenarien vorgestellt: Ambitionsniveau 1 mit Kosten von CHF 5 Mio. und 9,5 bis 15,5 zusätzlichen Stellen, Ambitionsniveau 2 mit Kosten von CHF 33 bis 58 Mio. und 42 zusätzlichen Stellen sowie Ambitionsniveau 3 mit Kosten von CHF 62 bis 87 Mio. und 78 zusätzlichen Stellen. Für die Kommissionsmehrheit standen diese beträchtlichen Kosten in einem ungenügenden Verhältnis zum Ertrag und darüber hinaus befürchtete sie, der neu geschaffene, komplexe Informationsschutzapparat könnte eine Eigendynamik entwickeln und sich zunehmend der Kontrolle durch das Parlament entziehen. Aus diesen Gründen beantragte die Mehrheit der SiK-NR ihrem Rat Nichteintreten. Eine Minderheit erachtete hingegen den gesamtheitlichen Ansatz der Vorlage als zentral, um die Informationssicherheit beim Bund zu verbessern. Sie hielt die Kosten für vertretbar, da dadurch Sicherheitslücken geschlossen und die Koordination erheblich verbessert werden könne. Einen drohenden Kontrollverlust des Parlaments sah sie nicht und beantragte folglich Eintreten. Die Eintretensdebatte gestaltete sich dementsprechend umfangreich, kontrovers und emotionsgeladen.

Die bürgerlichen Fraktionen machten sich – mit Ausnahme der BDP – für den Nichteintretensantrag stark. Die Kosten entsprächen einer «Blackbox» und es sei «unseriös», nur auf Annahmen gestützt zu entscheiden; anstatt Experimente zu machen, sollten besser bestehende Gesetze angepasst werden, um die Sicherheit zu gewährleisten, so Ida Glanzmann-Hunkeler (cvp, LU) als Vertreterin der CVP-Fraktion. David Zuberbühler (svp, AR) legte die Ansicht der SVP-Fraktion dar: Das Gesetz sei ein neues «Bürokratiemonster», biete nur «Scheinsicherheit» und sei einen konkreten Nutzennachweis bisher schuldig geblieben, weshalb es «brandgefährlich» sei, darauf einzutreten. Für die FDP-Fraktion waren vor allem die Bedenken bezüglich der Kostenfolgen ausschlaggebend dafür, dass man nicht auf das überladene Gesetz und den damit verbundenen «Blindflug» eintrete. Demgegenüber stellte BDP-Fraktionssprecherin Rosmarie Quadranti (bdp, ZH) Eintreten als alternativlos dar; angesichts des Handlungsbedarfs sei Nichtstun jetzt «fahrlässig». Priska Seiler Graf (sp, ZH) hielt als Vertreterin der SP-Fraktion eine regelrechte Brandrede für Eintreten: Das Gesetz werde dringend benötigt und es sei «fatal», dass anstelle der Sicherheitsfragen vielmehr die finanziellen Folgen im Zentrum der Beratungen in der sicherheitspolitischen Kommission gestanden hätten. Sie warf der SiK «Arbeitsverweigerung» vor und wies darauf hin, dass man nach dem Eintreten die Möglichkeit hätte, das – je nach Ansicht überladene, unberechenbare oder lückenhafte – Gesetz zu «entrümpeln». Arbeitsscheue sei in diesem Fall jedoch «geradezu verantwortungslos», denn auch ein Versäumnis ziehe unbezifferbare Kosten nach sich. Ins gleiche Horn blies auch der Grünen-Vertreter Balthasar Glättli (gp, ZH), indem er Nichteintreten als «Dienstverweigerung» bezeichnete und argumentierte, dass Informationssicherheitslecks sowohl Reputations- als auch Finanzschäden zur Folge hätten. Auch Beat Flach (glp, AG) als Sprecher der GLP-Fraktion erschien es unverständlich, weshalb trotz erkanntem Handlungsbedarf nicht eingetreten werden sollte; ein weiteres Mal fiel das Wort «Arbeitsverweigerung». Die Abstimmung ergab schliesslich 117 zu 68 Stimmen für Nichteintreten (8 Enthaltungen). Obschon die Fraktionen der BDP, der SP, der Grünen und der GLP geschlossen für Eintreten votierten, besiegelte die geballte Stimmkraft des SVP-/FDP-/CVP-Blocks mit nur drei Abweichlern den Nichteintretensentscheid.

Bevor die SiK-NR einen Entscheid zur parlamentarischen Initiative der FDP-Fraktion mit der Forderung nach der Schaffung einer Terrorismusstrafnorm fällte, liess sie sich von Bundesrätin Simonetta Sommaruga und von NDB-Direktor Markus Seiler über die laufenden Arbeiten von Bund und Kantonen in der Terrorismusbekämpfung informieren. Sie nahm zudem Kenntnis vom dritten TETRA-Bericht, vom Stand der Arbeiten zum Nationalen Aktionsplan zur Verhinderung und Bekämpfung von Radikalisierung und gewalttätigem Extremismus sowie von der Vernehmlassung zur Umsetzung des Übereinkommens des Europarates über die Terrorismusbekämpfung und des entsprechenden Zusatzprotokolls. Dennoch erachtete die Kommissionsmehrheit den Handlungsbedarf im Sinne der parlamentarischen Initiative weiterhin als unbestritten. Gerade vor dem Hintergrund der jüngsten terroristischen Anschläge müsse der Druck auf den Bundesrat aufrechterhalten werden, argumentierte die Kommissionsmehrheit, weshalb sie den Vorstoss im Oktober 2017 zur Annahme beantragte. Für die Kommissionsminderheit überwog jedoch die Gefahr von Koordinationsproblemen und Doppelspurigkeiten mit der Vorlage des Bundesrates zur Umsetzung des Terrorismus-Abkommens. Sie war der Ansicht, das Ziel der parlamentarischen Initiative könne schneller und besser durch Einbringung in die bundesrätliche Vorlage erreicht werden, weswegen sie für die Ablehnung der Initiative plädierte. Der Nationalrat folgte in der Frühjahrssession 2018 schliesslich seiner Kommissionsmehrheit und gab der parlamentarischen Initiative mit 126 zu 53 Stimmen Folge.

Die Motion der FDP-Fraktion, welche im Zusammenhang mit der Erarbeitung des E-ID-Gesetzes eine Reihe an Forderungen an den Bundesrat stellte, wurde in der Frühjahrssession 2018 auch vom Ständerat stillschweigend angenommen.

Mit der Eröffnung der Vernehmlassung zum Bundesgesetz über polizeiliche Massnahmen zur Bekämpfung von Terrorismus (PMT) stiess der Bundesrat Ende 2017 das dritte und letzte der für jenes Jahr angekündigten Projekte zur Umsetzung der Strategie zur Terrorismusbekämpfung an. Die ersten beiden waren die Vorlage zur Verschärfung des Strafrechts und der Nationale Aktionsplan zur Verhinderung und Bekämpfung von Radikalisierung und gewalttätigem Extremismus gewesen. Das PMT verstärkt das polizeiliche Instrumentarium zur Gewährleistung der Sicherheit ausserhalb der Strafverfolgung. Dessen präventiv-polizeiliche Massnahmen sollen die nicht-polizeilichen Massnahmen des NAP ergänzen, um die Prävention am Anfang einer Radikalisierung sowie nach dem Strafvollzug zu stärken. Um Terrorismus vorzubeugen, soll das Gesetz radikalisierte Personen einerseits an der Ausreise in ein ausländisches Kampfgebiet hindern sowie sie andererseits von ihrem kriminogenen Umfeld trennen, sodass sie nicht von jenen Bezugspersonen zu einem entsprechenden Verbrechen veranlasst werden. Die neuen Möglichkeiten für den Umgang mit sogenannten Gefährdern – Personen, von denen eine gewisse Gefahr ausgeht, gegen die aber nicht genügend Hinweise für die Eröffnung eines Strafverfahrens vorliegen – umfassen vor allem verwaltungspolizeiliche Massnahmen wie die Pflicht, sich regelmässig auf einem Polizeiposten zu melden, ein Ausreiseverbot, ein Kontaktverbot, die Ein- bzw. Ausgrenzung – d.h. das Verbot, ein bestimmtes Gebiet zu verlassen bzw. zu betreten – und als letztes Mittel Hausarrest. Ergänzend sind Kontroll- und Umsetzungsmassnahmen wie die Mobilfunklokalisierung oder eine elektronische Fussfessel vorgesehen. Die Gefährdung der inneren oder äusseren Sicherheit der Schweiz wird zudem als neuer Haftgrund im Hinblick auf eine ausländerrechtliche Wegweisung vorgesehen. Ebenfalls zur Verbesserung der Terrorismusbekämpfung beitragen soll ein besserer Informationsaustausch zwischen dem Grenzwachtkorps, dem Zoll, der Transportpolizei des Bundes, dem SEM, dem NDB sowie dem Fedpol als zuständige Stelle für die Anordnung der im PMT vorgesehenen Massnahmen. Um gegen die kriminellen Netzwerke des Terrorismus vorgehen zu können, die sich über das Internet und die elektronischen Medien organisieren, soll das Fedpol künftig in ebendiesen Kommunikationskanälen verdeckt ermitteln können. Ausserdem sollen Personen, bei denen der Verdacht besteht, sie würden eine schwere Straftat begehen oder planen, im Schengener Informationssystem SIS sowie im nationalen Fahndungssystem RIPOL zur verdeckten Registrierung oder gezielten Kontrolle ausgeschrieben werden können. Die Vernehmlassung dauert bis Ende März 2018.

Die Schaffung eines Cybersecurity-Kompetenzzentrums auf Stufe Bund war im Ständerat kaum bestritten und auch im Vorfeld an die Plenardebatte in der grossen Kammer wurden die Zeichen auf grün gesetzt. Das auf eine Motion Eder (fdp, ZG) zurück gehende Anliegen fand einstimmige Unterstützung in der sicherheitspolitischen Kommission des Nationalrates. Sie kam nach Gesprächen mit Cybersicherheits-Fachpersonen aus der Bundesverwaltung sowie unter Berücksichtigung der bereits laufenden Arbeiten im Bereich der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) und dem entsprechenden Aktionsplan zum Schluss, dass die Motion unterstützt werden soll, denn tiefer greifende Koordination sei im Cyberbereich notwendig. Ein Kompetenzzentrum für Cybersicherheit sei hierzu der richtige Weg.
Kommissionssprecher Glättli (gp, ZH) präzisierte in seiner Einleitung zur Debatte, dass die MELANI nur über beschränkte Personalressourcen verfüge und zudem ihr Auftrag limitiert sei. MELANI, als verwaltungsinterne Koordinationsstelle auch für Cyberkriminalität zuständig, leiste gute Arbeit, so Glättli weiter, es bedürfe aber weiter reichender Kompetenzen für ein eigentliches Kompetenzzentrum. Der anwesende Bundesrat Maurer vertrat auch im Nationalrat die ablehnende Haltung des Siebnerkollegiums: Es werde bereits viel im Cyberbereich unternommen und diverse Expertengruppen würden bald ihre Arbeiten abschliessen. Insofern bat Maurer die Nationalrätinnen und Nationalräte, nicht vorzugreifen. Im Wesentlichen zielten die gegenwärtig angestossenen Prozesse in die gleiche Richtung, wie der Motionär vorgebe, und dies ohne Aufblähung der Verwaltung. Letzteres befürchtete Maurer, falls eine zusätzliche Verwaltungseinheit geschaffen werden müsste. Kommissionssprecher Glättli entgegnete hierauf, dass mit der Motion noch keine operativen Beschlüsse gefasst und die Ausgestaltung und Umsetzung eines solchen Cyber-Kompetenzzentrums Gegenstand weiterer Diskussionen sein würden.
Das Ratsplenum folgte seiner Kommission und hiess die Motion mit 177 zu 2 Stimmen ohne Enthaltungen deutlich gut.

In seiner dem Parlament im Februar 2017 unterbreiteten Botschaft stellte der Bundesrat den Entwurf zum neuen Informationssicherheitsgesetz (ISG) vor. Im Zentrum des Gesetzgebungsprojektes stehen mit der Zusammenführung der wichtigsten Rechtsgrundlagen im Bereich der Informations- und Informatikmittelsicherheit des Bundes in einen einzigen Erlass sowie mit der Einführung einer einheitlichen Regelung für alle Behörden und Organisationen des Bundes zur Erreichung eines möglichst einheitlichen Sicherheitsniveaus zwei ambitiöse Ziele. Dazu sollen im neuen Gesetz insbesondere das Risikomanagement, die Klassifizierung von Informationen, die Sicherheit beim Einsatz von Informatikmitteln, die personellen Massnahmen und der physische Schutz von Informationen und Informatikmitteln geregelt werden. Ausdrücklich festgehalten werden soll auch der Vorrang des Öffentlichkeitsgesetzes, um zu betonen, dass das Öffentlichkeitsprinzip in der Verwaltung weiterhin uneingeschränkte Geltung haben wird. Überdies überführte der Bundesrat die Regelungen über die Personensicherheitsprüfung vom BWIS in das neue ISG und erweiterte den Geltungsbereich des militärischen Betriebssicherheitsverfahrens auf zivile Beschaffungen, um die Informationssicherheit bei der Vergabe von sicherheitsempfindlichen Aufträgen an Dritte zu gewährleisten. Die Kantone sind vom neuen Gesetz insofern betroffen, als sie bei der Bearbeitung von klassifizierten Informationen des Bundes und beim Zugriff auf seine Informatikmittel für eine gleichwertige Informationssicherheit sorgen müssen. Dazu sollen sie in einem Koordinationsorgan Einsitz nehmen.

Mit einem langen Votum eröffnete Ständerat Isidor Baumann (cvp, UR) als Sprecher der vorberatenden SiK-SR in der Wintersession 2017 die Debatte im Erstrat. Er gab dem Ratsplenum einen Einblick in die Arbeiten der Kommission und legte dar, wie sie im Verlaufe von vier Sitzungen zu ihren Entscheidungen gelangt war. Zum grossen und sehr grundsätzlichen Diskussionspunkt der Gesetzesentschlackung führte er aus, man habe sich von der Verwaltung erklären lassen, dass Umfang und Dichte der vorgeschlagenen Regulierung – der Gesetzesentwurf umfasst immerhin 92 Artikel – notwendig seien, weil die Bestimmungen für verschiedenste Behörden, darunter auch das Bundesgericht und die Nationalbank, gelten sollen und eine solche einheitliche Lösung nur auf Gesetzes- und nicht auf Verordnungsstufe erlassen werden könne. Um sich ein besseres Bild von den Auswirkungen des neuen Gesetzes machen zu können, hatte die Kommission bei der Bundesverwaltung weitere Unterlagen angefordert, so beispielsweise eine Liste der zu schliessenden rechtlichen Lücken, eine Auflistung der indirekten Auswirkungen auf die Kantone und genauere Angaben zu personellen und finanziellen Folgen. Darüber hinaus hatte sie Professor Markus Müller, Leiter der Expertengruppe, die am Anfang dieses Gesetzgebungsprojektes gestanden hatte, EDÖB Adrian Lobsiger, RK-MZF-Generalsekretär Alexander Krethlow sowie Vertreterinnen und Vertreter des Bundesgerichts, der Parlamentsdienste, der Nationalbank und der Wirtschaft angehört. Der integrale Ansatz und die angestrebte Vereinheitlichung seien am Gesetzgebungsprojekt von allen Eingeladenen gelobt worden und auch der Handlungsbedarf sei unbestritten anerkannt worden. Kritisiert worden sei die Vorlage vor allem von der Wirtschaftsvertretung, welche das Gesetz auf seine KMU-Tauglichkeit überprüft und mit der laufenden Revision des Bundesgesetzes über das öffentliche Beschaffungswesen abgestimmt wissen wollte. Krethlow habe indes als Kantonsvertreter die Forderung platziert, dass die Kantone für ihre Tätigkeiten im Zusammenhang mit dem Informationssicherheitsgesetz vollumfänglich vom Bund entschädigt werden sollten. Zusammen mit einer Stellungnahme des VBS hatten die in den Anhörungen vorgebrachten Vorschläge und Empfehlungen der Kommission als Grundlage für die Detailberatung gedient. Noch unklar war die Höhe der Umsetzungskosten gewesen, weil das anzustrebende Sicherheitsniveau von den Bundesbehörden erst im Rahmen des Vollzugs festgelegt werde. Der Bundesrat habe sich jedoch einverstanden gezeigt, die SiK-SR zu allen kostenrelevanten Umsetzungsstrategien und Vollzugserlassen zu konsultieren. Die SiK-SR hatte dem Entwurf sodann einstimmig zugestimmt. Nach diesen umfangreichen Erläuterungen trat der Ständerat ohne Gegenantrag auf die Vorlage ein.

In der Detailberatung zeigte sich die Unbestrittenheit der Vorlage: Zu keinem der zahlreichen Änderungsanträge der SiK-SR fand eine Diskussion statt und auch der Bundesrat zeigte sich mit allen Anpassungen einverstanden. Trotz der vielen Anträge, die alle stillschweigend angenommen wurden, änderte sich inhaltlich nur wenig am Entwurf des Bundesrates. So wurde die Trinkwasserversorgung explizit in die Liste der kritischen Infrastrukturen aufgenommen und die systematische (und nicht nur vorübergehende) Verwendung der AHV-Nummer zur Identifikation von Personen, die Zugang zu Informationen, Informatikmitteln, Räumlichkeiten und anderen Infrastrukturen des Bundes haben, erlaubt. Die Bestimmung, wonach Umsetzung, Zweckmässigkeit, Wirksamkeit und Wirtschaftlichkeit des ISG periodisch überprüft werden muss, ergänzte der Ständerat dahingehend, dass diese Überprüfung durch eine unabhängige Stelle, namentlich durch die Eidgenössische Finanzkontrolle, zu geschehen habe. Des Weiteren nahm er das Personal von Fedpol und Bundesanwaltschaft einerseits sowie dolmetschende und übersetzende Personen im Asylbereich andererseits in den Kreis jener Personen auf, die unabhängig davon, ob sie Zugang zu geschützten Informationen oder Informatiksystemen des Bundes haben, einer Sicherheitsprüfung unterzogen werden können. Ins Muster der fehlenden Kontroverse fügte sich schliesslich auch die Gesamtabstimmung ein, bei der die kleine Kammer die Vorlage einstimmig (bei vier Enthaltungen) annahm.

Die Vernehmlassung zum E-ID-Gesetz zeigte, dass das Vorhaben, klare Regeln für einen staatlich anerkannten, überprüfbaren und eindeutigen digitalen Identitätsnachweis festzulegen, grundsätzlich begrüsst wird. Einzig die SVP lehnte das Vorhaben des Bundesrates ab. Wenn die E-ID nicht – wie von der SVP gewünscht – vom Staat herausgegeben werde, solle der Bund auch von jeglicher Verantwortung in Bezug auf die E-ID absehen und es allein dem Markt überlassen, welches System zur digitalen Identifizierung sich durchsetzen werde. Die Rolle des Staates war denn auch bei den anderen Vernehmlassungsteilnehmern der umstrittenste Punkt des Vorentwurfs. Der Bundesrat hatte vorgesehen, dass der Staat lediglich die Kernaufgaben bei der Ausstellung der digitalen Identität – also die amtliche Prüfung und Bestätigung der Existenz einer Person und ihrer Identitätsmerkmale – übernimmt, nicht jedoch die Entwicklung und Ausstellung der konkreten technologischen Träger der digitalen Identität. Diese Aufgaben sollen nicht-staatliche Anbieter übernehmen, die ihrerseits jedoch einem staatlichen Anerkennungsverfahren und regelmässigen Kontrollen unterliegen. Die vorgeschlagene Aufgabenteilung zwischen Staat und Markt war in vielen Stellungnahmen Gegenstand von Kritik. So sahen die BDP, die CVP, die Grünen und die Piratenpartei sowie sieben Kantone die Herausgabe der E-ID grundsätzlich als Staatsaufgabe, welche nicht – oder zumindest nicht im geplanten Ausmass – an Private übertragen werden sollte. Während die SP für einen Kompromissvorschlag zwischen einer vollständigen Auslagerung an die Wirtschaft und einer rein staatlichen Lösung plädierte, unterstützten die FDP und die GLP sowie 21 Kantone das Konzept des Bundesrates. Unter Berücksichtigung der Vernehmlassungsantworten wird das EJPD bis im Sommer 2018 eine Botschaft für das E-ID-Gesetz ausarbeiten. Der Bundesrat hat bereits angekündigt, an der im Vorentwurf enthaltenen Kooperation von staatlichen und nicht-staatlichen Akteuren festzuhalten. Seiner Ansicht nach könnten so einerseits die besten Voraussetzungen für eine praxistaugliche und konsumentenfreundliche Anwendung geschaffen und andererseits die nötige Flexibilität für technologische Veränderungen erreicht werden.

Da mit der Verbesserung der informationellen Selbstbestimmung das zentrale Anliegen der beiden parlamentarischen Initiativen Vischer (gp, ZH; Pa.Iv. 14.413) und Derder (fdp, VD; Pa.Iv. 14.434) voraussichtlich im Zuge der Totalrevision des Datenschutzgesetzes umgesetzt werden soll, verzichtete die zuständige SPK-NR vorerst auf eine eigene gesetzgeberische Tätigkeit. Sie wollte zuerst die Botschaft des Bundesrates zum Datenschutzgesetz abwarten. Im August 2017 musste die Kommission nun entscheiden, was mit den zwei Jahre zuvor gutgeheissenen Vorstössen geschehen soll. Die mit Stichentscheid des Präsidenten Heinz Brand (svp, GR) äusserst knapp zustande gekommene Kommissionsmehrheit plädierte für eine zweijährige Fristverlängerung bei beiden Vorstössen. Die SPK-NR werde als zuständige Kommission für Datenschutz auch das Datenschutzgesetz vorberaten und damit die Möglichkeit haben, allenfalls nicht berücksichtigte Forderungen der Initiativen als Anträge einzubringen. Danach könnten die beiden Initiativen abgeschrieben werden. Anstelle der Fristverlängerung beantragte die Kommissionsminderheit die Abschreibung der beiden Vorstösse, da Art. 13 BV (Schutz der Privatsphäre) bereits den Schutz der persönlichen Daten umfasse, womit die Initiativen obsolet seien. Diese Argumentation von Minderheitssprecher Philippe Nantermod (fdp, VS) überzeugte in der Herbstsession 2017 auch die Mehrheit im Nationalrat: Mit 118 zu 76 Stimmen sprach sich die grosse Kammer für Abschreiben der beiden parlamentarischen Initiativen aus.

Mit einer im März 2017 eingereichten Motion wollte die FDP-Fraktion die elektronische Identität und damit auch den landesweiten Bürokratieabbau vorantreiben. Sie stellte in dem Vorstoss drei konkrete Forderungen an den Bundesrat, die er bei der Erarbeitung des E-ID-Gesetzes berücksichtigen soll. Damit die Systeme vielseitig einsetzbar sind, soll erstens die Interoperabilität durch offene Schnittstellen – beispielsweise zum Identitätsverbund Schweiz, zu den Kantonen und Gemeinden, aber auch zum Ausland – gewährleistet werden. Zweitens soll der Bundesrat Sicherheitsstandards für die Dienstleistungsanbieter definieren und als Kontrollinstanz deren Einhaltung überwachen. Da die elektronische Identität echten Nutzen für Privatpersonen, Unternehmen und den Bund mit sich bringe, sei dem Projekt drittens die entsprechende Priorität einzuräumen, sowohl im Hinblick auf eine zeitnahe Umsetzung als auch bezüglich einer sichergestellten Finanzierung der verwaltungsinternen Vorleistungen. In der Herbstsession 2017 behandelte der Nationalrat den Vorstoss, der von der SVP-Fraktion mit dem Argument bekämpft wurde, dass der Staat bei der Herausgabe der elektronischen Identität nicht nur eine Kontrollfunktion innehaben, sondern diese als hoheitliche Aufgabe selbst übernehmen sollte. Nachdem Bundesrätin Simonetta Sommaruga jedoch versichert hatte, dass diese Motion keinen Einfluss auf die Frage nach der staatlichen oder privaten Einführung der elektronischen Identität habe, wurde die Bekämpfung eingestellt und die Motion stillschweigend angenommen.

Zeitgleich mit Josef Dittli (cvp, UR) reichte auch Ständerat Eder (fdp, ZG) eine Motion zu Cyber-Fragen ein. Er fokussierte jedoch nicht auf Armeestrukturen, sondern regte generell die Schaffung eines Cybersecurity-Kompetenzzentrums auf Stufe Bund an. Im Laufe der Überprüfung der NCS solle der Bund Massnahmen in die Wege leiten, um eine solche Organisationseinheit zu schaffen. Eder schwebte eine Koordinationsstelle vor, die bundesweit die Vorgänge im Bereich der Cybersicherheit überwacht und fördert, die jedoch ferner auch eine Weisungsbefugnis gegenüber den Ämtern erhalten solle. Die Notwendigkeit einer solchen Stelle leitete Eder aus früheren parlamentarischen Vorstössen sowie dem Geschäftsbericht des Bundesrates über das vergangene Jahr ab, wo klar geworden sei, dass noch zu wenig für die Cybersicherheit gemacht werde. Wie sein Ratskollege Dittli regte Eder eine Zusammenarbeit mit Wissenschaft und Hochschulen sowie der IT-Branche an.

Der Bundesrat teilte die Auffassung, dass der Cyberbereich eine Koordinationsstelle braucht. Zusammen mit MELANI sei eine solche Stelle jedoch bereits geschaffen worden. Das Know-how sei vorhanden und die geforderte Weisungsbefugnis sei auch bereits erteilt worden. Bei grösseren Cybervorfällen würden departementsübergreifende Task-Forces eingesetzt, um Kräfte zu bündeln. Die Bedrohung werde zunehmen – dessen war sich auch die Regierung sicher – und die Anforderungen an die Durchhaltefähigkeit der zuständigen Stellen steige im Ereignisfall. Ein Koordinationszentrum, wie es in der Motion gefordert wird, sei entsprechend fachlich und personell weiterzuentwickeln. Genau dies werde in der Weiterentwicklung der NCS angestrebt, weswegen der Bundesrat die Ablehnung der Motion beantrage.

Anders sah dies der Ständerat. Die Motion wurde mit 41 zu 4 Stimmen deutlich angenommen. Der Abstimmung ging jedoch eine längere Debatte voraus, die rasch verdeutlichte, dass der Bundesrat allein auf weiter Flur stand. Der Motionär selbst eröffnete die Beratungen mit seiner Erstaunensbekundung: Zwar sage die Regierung, sie wolle die Kompetenzen zur Cyberabwehr verstärken und koordinieren, aber die Motion wolle sie nicht zur Annahme empfehlen. Das passe nicht zusammen und das gehe auch für andere Mitunterzeichnende (22 an der Zahl) nicht auf. Verdeutlichen konnte er sein Anliegen mit eben bekannt gewordenen Angriffen auf zwei Departemente. Die Meinung. dass die Meldestelle MELANI bereits Aufgaben im Cyberbereich wahrnehme, teilte der Motionär nicht. Deren Arbeit stellte er nicht infrage, aber in der noch gültigen Cyberstrategie des Bundes komme das Wort "Cybersecurity-Kompetenzzentrum nicht ein einziges Mal vor." Daraufhin hielt er ein eigentliches Plädoyer für die Sache, man müsse endlich handeln – die beiden ETH stünden bereit. Weitere Redner pflichteten Eder (fdp, ZG) bei. Besonders Vertreter der SP sprachen sich dabei für einen Ausbau der Cyberabwehr aus, durchaus auch zu Lasten von anderen Abwehrprogrammen (Rüstung). Erich Ettlin (cvp, OW) fand die Debatte dann "fast schon langweilig", weil sich alle einig waren. Alle ausser Bundesrat Maurer, der die Regierung vertrat. Sein langes Votum – im Wesentlichen zeigte er die bisher angewendeten Vorgänge und Massnahmen auf und die Tatsache, dass kaum eine Bundesratssitzung ohne Cyber-Thema abgehalten werde – schloss er mit dem Appell, man solle die Regierung und MELANI nicht unterschätzen. Das Plenum wollte jedoch ganz offensichtlich ein Zeichen setzen und die Arbeiten im Cyberbereich dergestalt bündeln, dass eine zentrale Stelle die Koordination übernimmt.

Die Totalrevision des Datenschutzgesetzes (DSG) verfolgt gemäss der Mitte September 2017 verabschiedeten Botschaft des Bundesrates hauptsächlich zwei Ziele: Erstens sollen die der rasanten technologischen Entwicklung in jüngster Zeit geschuldeten Schwächen des bestehenden Gesetzes behoben werden und zweitens soll das revidierte Gesetz den diesbezüglichen Entwicklungen im Europarat und in der EU Rechnung tragen. Im Rahmen der Revision ihres Datenschutzrechts erliess die EU u.a. die Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts, die auch Teil des Schengen-Acquis ist. Die DSG-Revisionsvorlage soll daher die Anforderungen der genannten EU-Richtlinie übernehmen, um sicherzustellen, dass die Schweiz ihre Schengen-Verpflichtungen wahrnehmen kann. Der Europarat erarbeitete indes ein Protokoll zur Revision des Übereinkommens SEV 108 zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten, womit das schweizerische DSG nach der Revision ebenfalls vereinbar sein soll. Aus Sicht des Bundesrates bilden die Ratifikation dieses Übereinkommens einerseits und die Annäherung an das Datenschutzrecht der EU andererseits die zentralen Voraussetzungen dafür, dass die Europäische Kommission der Schweiz weiterhin ein angemessenes Datenschutzniveau attestiert. Vor allem für die Schweizer Wirtschaft ist dieser sogenannte Angemessenheitsbeschluss von zentraler Bedeutung, da die Schweiz in allen Bereichen, die nicht der Schengen-Zusammenarbeit unterstehen, von der EU als Drittstaat angesehen wird und ein Datenaustausch zwischen EU-Mitgliedstaaten und Drittstaaten nur erlaubt ist, wenn Letzterer ein angemessenes Datenschutzniveau gewährleistet.
Zu den wichtigsten inhaltlichen Änderungen im DSG zählt neben dem Verzicht auf den Schutz der Daten juristischer Personen eine grundsätzliche Informationspflicht bei der Datenbeschaffung für alle Bearbeitungen durch Private, um die Transparenz der Datenbearbeitung generell zu verbessern. Überdies soll bei den für die Datenbearbeitung Verantwortlichen über entsprechende, von den Branchen erarbeitete Verhaltenskodizes die Selbstregulierung gefördert werden. Auch der EDÖB soll in seiner Position und Unabhängigkeit gestärkt werden und neu wie seine europäischen Amtskollegen Untersuchungen gegenüber Datenbearbeitern eröffnen sowie Verfügungen erlassen können. Letztlich sollen auch die Strafbestimmungen gegenüber heute verschärft werden. Zur Umsetzung der EU-Richtlinie 2016/680 umfasst die Vorlage zusätzlich Anpassungen in weiteren Gesetzen, namentlich im Strafgesetzbuch, in der Strafprozessordnung, im Rechtshilfegesetz sowie im Schengen-Informationsaustauschgesetz.
Mit seinem Entwurf kam der Bundesrat vor allem der Wirtschaft entgegen, die in der Vernehmlassung Kritik an der weitgehenden Regulierung geübt hatte. So wurde nun auf ein «Swiss Finish» verzichtet; d.h. es sind keine Anpassungen vorgesehen, die über den EU-Standard hinausgehen. Insbesondere das Sanktionensystem kommt im Vergleich zur Vernehmlassung abgeschwächt daher, soll die maximale Busse doch nur noch CHF 250'000 und nicht wie ursprünglich vorgeschlagen CHF 500'000 betragen. In den Augen des SGV sind die Bussen dennoch zu hoch und die Position des EDÖB zu stark. Der EDÖB Adrian Lobsiger selbst zeigte sich im Grossen und Ganzen zufrieden mit dem Entwurf des Bundesrates und bedauerte einzig, dass ihm nicht die Kompetenz zugestanden wird, ohne Strafprozess direkt Bussen zu verhängen.