Der Nationalrat befasste sich in der Frühjahrssession 2022 als Erstrat mit den drei Entwürfen, die seine SPK zur Regelung des Arbeitsverhältnisses der oder des EDÖB ausgearbeitet hatte. Diskussionsbedarf gab es bei zwei Punkten: Erstens hatte die Mehrheit der SPK-NR ursprünglich eine Änderung im neuen Datenschutzgesetz vorgesehen, die eine Entschädigung für den oder die EDÖB nach Auflösung des Arbeitsverhältnisses ausdrücklich ausschliesst. Eine Minderheit Widmer (sp, ZH) wollte hingegen dem oder der EDÖB eine Abgangsentschädigung zugestehen, wie sie auch der Bundesanwalt bzw. die Bundesanwältin und die erstinstanzlichen Bundesrichterinnen und -richter erhalten. Auch der Bundesrat hatte sich in seiner Stellungnahme für die Abgangsentschädigung ausgesprochen, weil das Fehlen einer solchen die Unabhängigkeit des oder der EDÖB insofern beeinträchtigen könne, als mit einer Nichtwiederwahl finanzielle Konsequenzen verbunden sind. Die Kommissionsmehrheit schwenkte daraufhin auf die Linie des Bundesrates um und beantragte dem Rat, dem nunmehr einzigen Vorschlag Widmer zuzustimmen, was die grosse Kammer dann auch stillschweigend tat. Zweitens wollte die Kommissionsmehrheit den oder die EDÖB mit einer Änderung im Informationssicherheitsgesetz von der Personensicherheitsprüfung ausnehmen, wie das auch für andere Magistratspersonen üblich sei. Wie Kommissionssprecher Kurt Fluri (fdp, SO) erklärte, sehe die Kommissionsmehrheit die öffentliche Wahl – neu wird der oder die EDÖB vom Parlament gewählt – «gewissermassen als Substitut für die Personensicherheitsprüfung». Eine Minderheit Addor (svp, VS) sprach sich indessen gegen eine solche Ausnahme aus. Angesichts der extrem sensiblen Daten, auf die der oder die EDÖB Zugriff habe, erscheine eine solche Überprüfung als notwendig. Der Nationalrat folgte entgegen der geschlossen stimmenden SVP-Fraktion seiner Kommissionsmehrheit und nahm den oder die EDÖB von der Personensicherheitsprüfung aus. In der Gesamtabstimmung nahm die Volkskammer die beiden Gesetzesentwürfe zur Änderung des neuen Datenschutzgesetzes und zur Änderung des Informationssicherheitsgesetzes mit einer Gegenstimme (Andrea Geissbühler; svp, BE) an. Der «Verordnung über das Arbeitsverhältnis der Leiterin oder des Leiters des EDÖB» stimmte der Nationalrat einhellig zu.

In Anbetracht der steigenden Vernetzung und Zahl von Datenbanken auf Bundes- und Kantonsebene forderte Beat Flach (glp, AG) mittels eines Postulats einen Bericht, welcher die Risiken der Datenbanken und den Handlungsbedarf bezüglich des Datenschutzes aufzeigen soll. Ferner solle der Bericht auch als Gesamtübersicht über die bestehenden Datenbanken, deren Art, Umfang und Zweck, deren Vernetzung und Zugriffe dienen. Um hohe Kosten im Schadensfall zu verhindern, sei es unerlässlich, die Risiken des Datentransfers zu kennen und Sicherheitslücken vorsorglich zu schliessen, argumentierte der Postulant. Der Bundesrat beantragte mit dem Argument des Legalitätsprinzips die Ablehnung des Postulats: Staatliche Datenbanken müssten demnach zwingend auf einer gesetzlichen Grundlage basieren, die deren Zweck, die Zugriffe und das Auskunftsrecht regle. Ausserdem sei die Transparenz solcher Datenbanken auf Bundesebene durch die Meldepflicht nach dem Datenschutzgesetz gewährleistet. Bezüglich kantonaler Datenbanken lägen die Kompetenzen hingegen vollständig bei den Kantonen. Justizministerin Karin Keller-Sutter merkte im Nationalratsplenum an, dass gewisse Herausforderungen bezüglich der Datensicherheit in Datenbanken bereits 2018 und 2019 in den Berichten «Zukunft der Datenbearbeitung und Datensicherheit» respektive «Herausforderungen der künstlichen Intelligenz» dokumentiert worden seien. Entgegen dem Antrag des Bundesrats nahm der Nationalrat das Postulat in der Herbstsession 2021 mit 167 zu 24 Stimmen bei 3 Enthaltungen an.

Drei Tage nachdem die Schweizer Stimmbevölkerung am 7. März 2021 das E-ID-Gesetz an der Urne verworfen hatte, reichten Verfechterinnen und Verfechter einer staatlichen Lösung aus allen politischen Lagern sechs gleichlautende Motionen für eine «vertrauenswürdige staatliche E-ID» ein. Gerhard Andrey (gp, FR; Mo. 21.3124), Franz Grüter (svp, LU; Mo. 21.3125), Min Li Marti (sp, ZH; Mo. 21.3126), Jörg Mäder (glp, ZH; Mo. 21.3127), Simon Stadler (mitte, UR; Mo. 21.3128) sowie die FDP-Liberale-Fraktion (Mo. 21.3129) argumentierten übereinstimmend, die Volksabstimmung habe deutlich gezeigt, dass sich die Bevölkerung eine E-ID wünsche, aber deren Herausgabe und Betrieb nicht privaten Unternehmen überlassen werden dürfe. Nur wenn der Staat dafür zuständig sei, könne die E-ID Vertrauen und Akzeptanz der Nutzerinnen und Nutzer geniessen. Die Vorstösse enthielten demzufolge den Auftrag an den Bundesrat, eine staatliche E-ID zu schaffen, die insbesondere die Grundsätze der «privacy by design», der Datensparsamkeit und der dezentralen Datenspeicherung einhalten soll.
Der Bundesrat beantragte die Annahme der Motionen. Bundesrätin Karin Keller-Sutter interpretierte das Abstimmungsresultat gleich wie die Motionärinnen und Motionäre und erklärte, der Bundesrat wolle so rasch wie möglich einen neuen Vorschlag für eine E-ID präsentieren. Ende Mai habe er deshalb das EJPD bereits mit der Ausarbeitung eines Grobkonzepts beauftragt. Die daraus resultierende Auslegeordnung verschiedener staatlicher Lösungsansätze befinde sich momentan in öffentlicher Konsultation. Basierend darauf wolle der Bundesrat voraussichtlich Mitte 2022 ein neues E-ID-Gesetz in die Vernehmlassung schicken, führte die EJPD-Chefin im Nationalratsplenum aus.
Für etwas Dissonanz in all dem Einklang sorgte Jean-Luc Addor (svp, VS), der die Vorstösse bekämpfte. Er sah den Ursprung des Misstrauens vonseiten der Stimmbevölkerung nicht in der privatwirtschaftlichen Natur des abgelehnten Vorschlags, weshalb es die falsche Schlussfolgerung sei, nun alles dem Staat überlassen zu wollen. Auch die Zentralisierung und der Datenschutz seien wichtige Fragen für die Konzeption der E-ID. Erfahrungen hätten zudem gezeigt, dass der Bund auch kein «unerschütterliches Vertrauen» bei der erfolgreichen Durchführung von IT-Projekten geniesse. Ausserhalb seiner eigenen Fraktion verfing die Kritik Addors allerdings nicht. Die grosse Kammer nahm die sechs Motionen in der Herbstsession 2021 mit 145 zu 39 Stimmen bei 7 Enthaltungen an. Ausser der SVP stimmten alle Fraktionen geschlossen dafür.

Anlässlich der Freischaltung der SwissCovid-App um Mitternacht des 25. Juni 2020 brachten die Medien der Bevölkerung die genaue Funktionsweise sowie die Vor- und Nachteile der SwissCovid-App näher. Am ersten Tag wurde die App gemäss Presseberichten bereits eine halbe Million Mal aktiviert. Eine gute Woche später war diese Zahl auf rund eine Million gestiegen. Damit sei das Interesse an der App aber deutlich geringer als erwartet beziehungsweise sei die anfängliche Euphorie allzu schnell verflogen, so das allgemeine Urteil. Verschiedene Experten stellten übereinstimmend fest, dass das Vertrauen in die App und die Bereitschaft zur Installation wohl doch geringer seien als gedacht. Es sei nun an den Behörden, besser zu kommunizieren, um diesen Widerstand in der Bevölkerung doch noch zu überwinden.
Drei Wochen nach dem Start fiel die Bilanz der SwissCovid-App eher nüchtern aus und die NZZ fragte rhetorisch: «Geht der SwissCovid-App die Luft aus?» Sie verwies auf die bereits wieder rückläufige Anzahl aktiver Apps, die ihrerseits jedoch nach wie vor steigenden und inzwischen rund 1.8 Mio. zählenden Downloads gegenüberstanden. Das BAG führte diese Diskrepanz auf Probleme bei der Messung der aktiven Apps zurück und versprach künftig genauere Zahlen. Ausserdem kündigte das Bundesamt eine weitere, gross angelegte Werbekampagne für die App an.
Der Nutzen der App wurde in der öffentlichen Debatte folglich aber nicht nur durch die geringen Nutzerzahlen, sondern auch durch die mangelhafte Arbeit der involvierten Behördenstellen relativiert. Wie die NZZ berichtete, erhielten positiv getestete Personen den Covidcode zum Teil erst mit erheblicher zeitlicher Verzögerung, sodass die Kontaktpersonen viel zu spät gewarnt würden. Ausserdem funktioniere die Zusammenarbeit zwischen der Hotline des Bundes, an die sich App-Nutzer im Falle einer Benachrichtigung über eine mögliche Ansteckung wenden sollten, und den Contact-Tracing-Stellen der Kantone beziehungsweise den kantonsärztlichen Diensten alles andere als reibungslos. Dadurch erhielten die von der App gewarnten Personen keine offizielle Quarantäneanordnung und damit keinen Erwerbsersatzanspruch, wie es der Bundesrat im Erläuterungsbericht zur Proximity-Tracing-System-Verordnung vorgesehen hatte. Gerade deshalb blieben viele der potenziell Infizierten nicht zu Hause und gefährdeten so Andere, kritisierte der Geschäftsführer der BAG-Hotline-Betreiberin Andy Fischer.
Unterdessen lancierte ein Bürgerkomitee in der Westschweiz ein Referendum gegen die vom Parlament beschlossene dringliche Änderung des Epidemiengesetzes, die als gesetzliche Grundlage für die SwissCovid-App dient. Das Komitee bemängelte, dass keine richtige demokratische Debatte über die Risiken der Tracing-Technologie geführt worden sei, und befürchtete deren Missbrauch zur staatlichen Kontrolle sowie sozialen Druck zu deren Nutzung. Die Konzerne Apple und Google, die die entscheidende Bluetooth-Schnittstelle zur Verfügung stellten, seien nicht gerade für ihren Datenschutz berühmt und die Bluetooth-Technologie sei zu ungenau, sodass viele unnötige Quarantänen verfügt würden, was der Wirtschaft schade, zitierte die Presse aus der Argumentation. Aus dem Kreis der eidgenössischen Parlamentarierinnen und Parlamentarier gehörte dem Komitee der Walliser SVP-Nationalrat Jean-Luc Addor an. Bis am 8. Oktober hat das Komitee Zeit, die notwendigen 50'000 Unterschriften zu sammeln. Das dringliche Gesetz würde bei einem zustande gekommenen Referendum jedoch erst nach der Ablehnung in der Volksabstimmung oder ein Jahr nach Inkrafttreten, falls die Abstimmung nicht vorher stattfindet, ausser Kraft gesetzt.

In der Herbstsession 2019 ging das Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz) in die Differenzbereinigung. In der ersten Runde konnte sich die bürgerliche Mehrheit im Nationalrat bei allen Streitpunkten durchsetzen, womit die Volkskammer an ihren ursprünglichen Positionen festhielt und keine grosse Kompromissbereitschaft an den Tag legte. Obwohl sich die Frage um das Vertrauen der Bürgerinnen und Bürger in die E-ID wie ein roter Faden durch die Debatte zog, schienen die diesbezüglichen Überlegungen die Entscheidungen des Rats nur wenig zu beeinflussen. So lehnte der Nationalrat sowohl den von einer Minderheit Arslan (basta, BS) geforderten Zwang als auch die vom Ständerat eingeführte, vorbedingungslose Möglichkeit für den Staat zur Herausgabe einer E-ID ab und hielt an der rein subsidiären staatlichen Herausgabe fest, obwohl sich Bundesrätin Karin Keller-Sutter für den ständerätlichen Kompromiss ausgesprochen hatte. Der Staat sollte sich auch nicht wie vom Ständerat vorgesehen an privaten E-ID-Anbietern (Identity Providern) beteiligen können. Des Weiteren hielt die grosse Kammer an der Nennung der Sorgfaltspflichten im E-ID-Gesetz fest und strich lediglich die Delegationsnorm, welche die Konkretisierung der Sorgfaltspflichten durch den Bundesrat vorgesehen hätte. Eine Minderheit Flach (glp, AG) blieb mit dem Vorschlag eines Mittelwegs erfolglos, der das explizite Verbot der Weitergabe der E-ID streichen, die abstrakte Beschreibung der Sorgfaltspflichten aber beibehalten wollte. Ebenfalls erfolglos blieb die durch Beat Flach eingebrachte Forderung des Konsumentenschutzes, dass Dienstleistungen, für die eine E-ID der Sicherheitsstufe «niedrig» ausreicht, auch ohne E-ID genutzt werden können müssen. Da die Angst, im Internet eine Datenspur zu hinterlassen, nachvollziehbar sei, hatte sich Bundesrätin Keller-Sutter auch hierfür vergebens stark gemacht. Die vom Ständerat neu eingeführte E-ID-Kommission (Eidcom) als unabhängige Stelle zur Anerkennung und Kontrolle der Identity Provider blieb im Nationalrat vorerst ebenso chancenlos wie die von der Schwesterkammer verschärften Datenschutzbestimmungen.
Im Ständerat erklärte es Kommissionssprecher Beat Vonlanthen (cvp, FR) zum Ziel dieses Gesetzgebungsprozesses, dass das Gesetz bzw. die E-ID «vertrauenswürdig sein und in einer allfälligen Volksabstimmung bestehen können» müssten. In diesem Lichte hielt die Kantonskammer an ihren Positionen zur Möglichkeit für eine staatliche Herausgabe der E-ID und für eine staatliche Beteiligung an Identity Providern sowie zur Einführung der Eidcom, die sie allesamt als zentral für die Vertrauensbildung in der Bevölkerung erachtete, stillschweigend fest. Einen Schritt auf ihre Schwesterkammer zu machte sie bei den Sorgfaltspflichten, wo sie sich für den zuvor im Nationalrat diskutierten, aber dort noch abgelehnten Mittelweg Flach entschied. Mit der im Nationalrat abgelehnten, zwingenden Alternative zur E-ID bei Dienstleistungen, die nur Sicherheitsstufe «niedrig» verlangen, fand das Anliegen des Konsumentenschutzes im Ständerat Gehör und wurde ins Gesetz aufgenommen. Zugeständnisse an den Nationalrat machte die kleine Kammer auch beim Datenschutz, indem sie einen Kompromiss einführte, wonach die Zweckbindung der Datenverarbeitung erhalten bleiben, eine Bearbeitung durch Dritte im Rahmen des Datenschutzgesetzes aber erlaubt sein soll, um die konzerninterne Arbeitsteilung und das Outsourcing der Datenbearbeitung nicht zu verunmöglichen.
Während sich der Nationalrat bei den Sorgfaltspflichten schliesslich auf den Mittelweg Flach einliess und diese Differenz damit ausräumte, brachte die RK-NR einen neuen Vorschlag betreffend die Rolle des Staates vor. Demnach soll der Staat nur dann selber ein E-ID-System betreiben dürfen, wenn die Zwecke der E-ID gemäss Art. 1 BGEID nicht erfüllt werden. Der Bundesrat unterstützte diese Subsidiaritätsregel nun, da sie die Voraussetzungen für das Tätigwerden des Staates klar formuliere und der Bund auch ohne diese Einschränkung ohnehin nur mit gebührender Zurückhaltung agiert hätte. Entgegen einer Minderheit Min Li Marti (sp, ZH), die von der SP-, der Grünen- sowie einzelnen Mitgliedern der FDP-Fraktion getragen wurde und an der ständerätlichen Version festhalten wollte, entschied sich die grosse Kammer für diesen neuen Kompromiss. Bezüglich der Eidcom hatte sich die Mehrheit der RK-NR seit der letzten Beratung umstimmen lassen; sie setzte sich nun gemeinsam mit dem Bundesrat für deren Einführung als unabhängige Aufsicht ein, da der Staat, würde er subsidiär tätig, sich im Falle der Aufsicht durch das Informatiksteuerungsorgan des Bundes letztlich selber beaufsichtigen würde. Die Mehrheit des Nationalratsplenums liess sich davon überzeugen und schloss sich mit 113 zu 69 Stimmen dem Ständerat an, während die SVP- und die BDP-Fraktionen sowie einige FDP-Vertreterinnen und -vertreter dagegen votierten. Dem ständerätlichen Kompromiss beim Datenschutz stimmte die grosse Kammer stillschweigend ebenfalls zu.
In der einen verbleibenden Differenz zum subsidiären E-ID-System des Bundes schloss sich der Ständerat schliesslich stillschweigend dem neuen nationalrätlichen Vorschlag an. Die so bereinigte Vorlage passierte die Schlussabstimmung im Nationalrat mit 144 zu 51 Stimmen bei 2 Enthaltungen und jene im Ständerat mit 35 zu 2 Stimmen bei 8 Enthaltungen. Wie bereits seit längerem angekündigt, zeigten sich die SP und die Grünen nicht zufrieden mit dem Gesetz, weil sie sich die Herausgabe der E-ID durch den Staat gewünscht hätten. Das letzte Wort in dieser Angelegenheit dürfte wohl das Volk haben, mutmasste die Presse.

Wie schon in der Vernehmlassung stellte sich auch im Nationalrat die Frage der Aufgabenteilung zwischen Staat und Privatwirtschaft als der zentrale Knackpunkt des Bundesgesetzes über elektronische Identifizierungsdienste (E-ID-Gesetz) heraus. Während Eintreten in der Frühjahrssession 2018 unbestritten war, wurde lange und ausführlich über einen Rückweisungsantrag der links-grünen Kommissionsminderheit diskutiert, mit dem der Bundesrat beauftragt werden sollte, eine Vorlage auszuarbeiten, die die Ausstellung der E-ID als öffentliche Aufgabe definiert, die der Bund allenfalls mittels Leistungsauftrag an Private übertragen könnte. Die SP- und die Grüne Fraktion unterstützten die Rückweisung mit dem Argument, analoge Ausweise wie der Pass und die Identitätskarte würden auch vom Staat ausgegeben. Alle übrigen Fraktionen sprachen sich jedoch für die vom Bundesrat vorgeschlagene Lösung aus, wonach die Prüfung und Bestätigung der Identität einer Person dem Staat zufallen, die technologische Umsetzung der E-ID hingegen von der Privatwirtschaft übernommen werden soll. Sie betonten, privatwirtschaftliche Anbieter könnten besser auf die technologischen Entwicklungen und die Bedürfnisse der Anwenderinnen und Anwender reagieren, was die E-ID sicherer und nutzerfreundlicher mache; die Innovation werde durch den Wettbewerb gefördert. Mit 131 zu 53 Stimmen bei 2 Enthaltungen wurde das links-grüne Lager überstimmt und der Rückweisungsantrag abgelehnt.
Auch in der Detailberatung stand das links-grüne Lager mehr oder weniger isoliert; alle dessen Minderheitsanträge wurden mit grosser Mehrheit abgelehnt. Die Streichung der Sorgfaltspflichten für E-ID-Inhaberinnen und -Inhaber aus dem Gesetz, wie erstens von einer Minderheit Arslan (basta, BS) gefordert, ändere nichts an der Rechtslage, so die Ansicht der ablehnenden Ratsmehrheit, da die Verschuldenshaftung des OR ohnehin zum Tragen komme – d.h. haftbar ist grundsätzlich, wer in Verletzung von Sorgfaltspflichten einen Schaden verursacht. Um die E-ID nutzen zu können, müssen die Antragstellerinnen und Antragsteller zweitens einwilligen, dass ihre persönlichen Daten ans Fedpol übermittelt werden, damit dieses die Identität bestätigen kann. Ebenfalls eine Minderheit Arslan beantragte, diese Einwilligung durch eine Kenntnisnahme der Übermittlung zu ersetzen, da man sie nicht verweigern könne, sofern man die E-ID nutzen möchte, und unterlag damit der Mehrheit, die fand, die Formulierung mache hier letztendlich keinen Unterschied, wobei die Einwilligung einfacher verständlich sei. Drittens wollte eine Minderheit Marti (sp, ZH) dem Bund die Möglichkeit einräumen, ein eigenes E-ID-System zu betreiben bzw. sich an einem bestehenden System zu beteiligen, und zwar nicht nur wie im Entwurf vorgesehen, wenn der Markt kein Angebot mit den für behördliche Applikationen geforderten Sicherheitsniveaus «substanziell» und «hoch» bereitstellt. Damit sollte verhindert werden, dass bei Nichtfunktionieren der Marktlösung, z.B. infolge Vertrauensverlust nach Hackerangriffen oder Ausstieg der Anbieter aufgrund zu geringer Rentabilität, gar keine E-ID mehr angeboten wird. Der Ratsmehrheit zufolge sei jedoch ein Staatseingriff nur subsidiär zum Markt akzeptabel und eine Mehrheitsbeteiligung von Bundesunternehmen an E-ID-Anbietern nicht wünschenswert, weshalb es keine solche Bestimmung brauche; mit Minderheitsanteilen seien die SBB, die Post und die Swisscom auch ohne explizite gesetzliche Grundlage bereits am SwissSign-Konsortium beteiligt. Viertens solle die Beantragung einer E-ID nicht nur wie vom Bundesrat vorgesehen online direkt beim Anbieter, sondern auch analog auf der Gemeindekanzlei oder beim Passbüro eingeleitet werden können, um Nicht-Digital-Natives den Zugang zu erleichtern, so ein Minderheitsantrag Flach (glp, AG). Die ablehnende Mehrheit argumentierte jedoch, man wolle den Gemeinden und Kantonen keine Zusatzaufgaben aufbürden und ohnehin würden Personen, die nicht mit dem Internet vertraut sind, keine E-ID benutzen. Weitere Minderheiten forderten vergebens die sofortige Vernichtung der Daten durch die Identity Provider, statt wie vorgesehen die Löschung nach sechs Monaten, ein explizites Verbot der kommerziellen Nutzung dieser Daten (beide Arlsan), die Anbindung der Preise an die tatsächlich anfallenden Kosten (Marti) und ausdrückliche Garantien, dass staatliche Dienstleistungen auch weiterhin ohne E-ID zugänglich und eine E-ID auch ohne Kundenbeziehung zum Anbieter erhältlich sein müssen (beide Mazzone, gp, GE).
Als Einzige mit ihrem Minderheitsantrag erfolgreich war Andrea Gmür-Schönenberger (cvp, LU), die Bundesrätin Karin Keller-Sutter sowie eine knappe Ratsmehrheit von der Notwendigkeit überzeugen konnte, den barrierefreien Zugang zur E-ID im Gesetz zu verankern, sodass Menschen mit Behinderung bei der Beantragung einer E-ID nicht benachteiligt werden. Als zweite substanzielle Änderung am bundesrätlichen Entwurf ergänzte der Nationalrat das Gesetz auf Antrag seiner Kommission dahingehend, dass die Identity Provider allen Personen, die einen Antrag stellen und die Voraussetzungen erfüllen, eine E-ID ausstellen müssen. Der Bundesrat plädierte vergeblich für die Wirtschaftsfreiheit der privaten Anbieter. Mit 181 zu 1 Stimme war die grosse Kammer der Ansicht, dass niemand von der E-ID ausgeschlossen werden soll. Das viel und heftig diskutierte, am Ende gegenüber dem Entwurf des Bundesrates aber nur leicht angepasste Gesetz passierte die Gesamtabstimmung im Nationalrat schliesslich mit 128 zu 48 Stimmen bei 4 Enthaltungen; dagegen votierten die Fraktionen der Grünen und der SP – letztere mit einer Ausnahme – geschlossen.