Die im Frühjahr 2020 durchgeführte Vernehmlassung zur Änderung des Asylgesetzes – angestossen durch eine parlamentarische Initiative Rutz (svp, ZH) – ergab, dass die Mehrheit der Stellungnehmenden die Möglichkeit begrüssten, zur Identitätsüberprüfung von Asylsuchenden deren mobile Geräte zu nutzen. 24 von 25 stellungnehmenden Kantonen – alle mit Ausnahme des Kantons Neuenburg – sowie die Parteien der CVP, FDP und SVP stimmten diesem Vorhaben im Grundsatz zu, da sie sich davon eine effiziente Methode zur Identifizierung von Personen erhofften, für die keine Identitätsdokumente vorliegen würden. Opposition erfuhr der Entwurf von den linken Parteien und von den meisten stellungnehmenden interessierten Kreisen. Diese erachteten die Massnahme als unverhältnismässigen Eingriff in die persönlichen Grundrechte, vermissten eine gesetzliche Grundlage und bezweifelten darüber hinaus die postulierte Effizienz eines solchen Vorgehens. Nicht zuletzt brachten sie datenschutzrechtliche Bedenken vor. Fünf Kantone und die SVP setzten sich auf der anderen Seite für die Möglichkeit einer zwangsweisen Abnahme der elektronischen Datenträger ein. Der Entwurf der Kommission sah eine Mitwirkungspflicht, aber keinen Zwang vor. Einige stellungnehmende Akteure, darunter auch der EDÖB, machten deutlich, dass sie die Grundrechtskonformität im Falle eines Zwanges nicht mehr gegeben sähen. Der EDÖB forderte etwa auch die Schaffung einer Gesetzesgrundlage für die Bearbeitung personenbezogener Daten von Drittpersonen, da diese auch von den zur Identitätserkennung unternommenen Auswertungen betroffen sein könnten.
Die zuständige SPK-NR übernahm gewisse Empfehlungen aus der Vernehmlassung, insbesondere datenschutzrechtliche Belange, und verabschiedete im Oktober 2020 mit 13 zu 8 Stimmen bei 2 Enthaltungen die Vorlage an den Bundesrat.

Die im Mai 2017 von Gregor Rutz (svp, ZH) eingereichte parlamentarische Initiative «Mitwirkungspflicht im Asylverfahren. Überprüfungsmöglichkeit bei Mobiltelefonen» forderte eine dahingehende Anpassung des Asylgesetzes, dass Mobiltelefone und Computer von Asylsuchenden von den zuständigen Behörden eingezogen und überprüft werden dürfen, wenn ansonsten die Identität der betroffenen Person nicht festgestellt werden kann. Rutz begründete sein Anliegen damit, dass 2016 anscheinend acht von zehn Asylbewerbern ohne Papiere in die Schweiz eingereist seien und deren Identität nur mit grossem Aufwand geklärt werden konnte. Zugriffsrechte auf Mobiltelefone und Computer würden diesen Prozess erleichtern und zudem für zusätzliche Sicherheit sorgen.
Im Februar 2018 gab die SPK-NR der Initiative mit 17 zu 7 Stimmen Folge, im Juni folgte mit 9 zu 1 Stimmen bei 2 Enthaltungen die Zustimmung der Schwesterkommission SPK-SR.
Im Februar 2020 gab die Nationalratskommission per Medienmitteilung die Eröffnung des Vernehmlassungsverfahrens bekannt. Die geplante Gesetzesänderung sah wie von Rutz gefordert vor, dem SEM «weitreichende Kompetenzen zur Überprüfung von mobilen Datenträgern bei der Identitätsabklärung» einzuräumen. Für die Person, deren Identität ermittelt wird, soll bei der Auswertung der Daten eine Mitwirkungspflicht gelten: Einerseits, damit ihr das rechtliche Gehör gewährt werde, andererseits, damit sie während der Sichtung der Daten Stellung nehmen und so die Bestimmung der Identität beschleunigen könne. Datenträger sollen aber auch in Abwesenheit deren Besitzer ausgewertet werden dürfen. Eine Verweigerung des Herausgebens der Datenträger soll verfahrensrechtliche Konsequenzen für die Asylsuchenden nach sich ziehen. Die zur Feststellung der Identität benötigten Daten sollen für maximal zwei Jahre zwischengespeichert werden dürfen.
Ursprünglich war die Frist der Vernehmlassung auf den 4. Juni 2020 angesetzt, doch beantragte die SPK-NR im Mai ohne Gegenstimme, die Frist zur Ausarbeitung einer Vorlage bis zur Sommersession 2022 zu verlängern. Im Juni 2020 wurde dieser Antrag auf Verlängerung der Frist im Nationalrat stillschweigend gutgeheissen.

Zu der im Ordnungsantrag Rutz (svp, ZH) vorgesehenen Behandlung der verschiedenen Motionen zur Ergänzung der Datenschutzbestimmungen in verschiedenen Bundesgesetzen kam es nicht mehr. Mit 22 zu 0 Stimmen (bei 2 Enthaltungen) beantragte die SGK-NR die Ablehnung der fünf Motionen der SPK-NR und reichte stattdessen mit 13 zu 10 Stimmen eine eigene Motion zur Bearbeitung von Personendaten in der Krankenversicherung ein (Mo. 20.3013). Die Staatspolitische Kommission zog die fünf Motionen in der Folge noch vor deren geplanter Behandlung in der Frühjahrssession zurück.

Bei der Totalrevision des Datenschutzgesetzes begann in der Frühjahrssession 2020 der Nationalrat mit der Differenzbereinigung. Als Kernpunkt der Vorlage identifizierte Kommissionssprecher Matthias Jauslin (fdp, AG) die Bestimmungen zum sogenannten Profiling (d.h. automatisierte Datenbearbeitung zur Bewertung bestimmter Aspekte einer Person). Einig war man sich hier inzwischen geworden, dass im Sinne eines risikobasierten Ansatzes irgendwie zwischen verschiedenen Arten von Profiling unterschieden werden muss. Weder der Ansatz des Bundesrates, an alle Arten von Profiling erhöhte Datenschutzanforderungen zu stellen, noch der vom Nationalrat als Erstrat beschlossene Verzicht auf jegliche Regulierung des Profilings wurden nunmehr als gangbare Wege betrachtet. Um die richtige Lösung für die Definition der verschiedenen Risikostufen wurde allerdings noch gerungen. Der ständerätliche Vorschlag, Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person von gewöhnlichem Profiling zu unterscheiden, war in der SPK-NR auf Skepsis gestossen, weil in der Praxis fast jedes Profiling die einschlägigen Kriterien – die bearbeiteten Personendaten stammen entweder aus verschiedenen Quellen oder betreffen verschiedene Lebensbereiche – für hohes Risiko erfülle. Während die SP- und die Grüne Fraktion den Minderheitsantrag Glättli (gp, ZH) auf Beibehaltung der ständerätlichen Lösung unterstützten, sprach sich die Ratsmehrheit für einen Minderheitsantrag Jauslin aus, der es mit einer anderen Risikodefinition versuchte. Jedoch wurde auch dieser Vorschlag nicht als ausgereift angesehen. Im Prinzip war es einerlei, ob die Kommissionsmehrheit oder die Minderheit Jauslin obsiegte; das Hauptanliegen der Ratsmehrheit war es, hier die Differenz aufrechtzuerhalten, damit die Diskussion dieser Problematik weitergeführt werde. Die linke Ratsseite machte indes klar, dass diese Bestimmungen die «Pièce de Résistance» dieses Gesetzes seien, wie es deren Wortführer Cédric Wermuth (sp, AG) und Balthasar Glättli ausdrückten. Eine laschere Regelung als diejenige des Ständerates wollten sie nicht akzeptieren. Zusammen mit der SVP, die das Gesetz ohnehin als «Meisterwerk der Bürokratie» (Gregor Rutz, svp, ZH) ablehnte, könnte diese Drohung, je nach Entscheid des Ständerats, im Hinblick auf die Schlussabstimmungen noch brisant werden, mutmasste der Tages-Anzeiger.
Bei einigen weiteren umstrittenen Punkten erhielt der Nationalrat die Differenz zum Ständerat aufrecht, indem er an seinen Beschlüssen als Erstrat festhielt. So definierte die grosse Kammer nach wie vor nur jene genetischen Daten als besonders schützenswerte Personendaten, die eine Person eindeutig identifizieren. Der besondere Schutz aller genetischen Daten schaffe Rechtsunsicherheit für die Forschung, so das Argument der Kommissionsmehrheit, die den entsprechenden Antrag gestellt hatte. Des Weiteren sah die Volkskammer keine Notwendigkeit, dass der betroffenen Person bei der Beschaffung von Personendaten zwingend die Liste ihrer Rechte und gegebenenfalls die Absicht des Bearbeitenden, eine Kreditwürdigkeitsprüfung vorzunehmen, mitgeteilt werden müssen, um die der Ständerat die Informationspflicht ergänzt hatte. An der als Erstrat noch eingefügten Ausnahme von der Informationspflicht bei unverhältnismässigem Aufwand hielt der Nationalrat hingegen nicht mehr fest, weil sie wohl nicht mit den EU-Kriterien für ein angemessenes Datenschutzniveau vereinbar wäre. Hinsichtlich der Kreditwürdigkeitsprüfung beharrte die grosse Kammer jedoch darauf, dass dafür Daten der letzten zehn, anstatt wie vom Bundesrat und vom Ständerat vorgesehen nur der letzten fünf, Jahre beigezogen werden dürfen.
In zwei weiteren wichtigen Punkten räumte der Nationalrat die Differenzen aus, indem er dem Beschluss des Ständerates folgte. Er hiess einerseits das vom Ständerat eingeführte «Konzernprivileg» gut, das die Datenweitergabe innerhalb von Konzernen erleichtert, indem die Weitergabe zwischen Unternehmen, die von derselben juristischen Person kontrolliert werden, nicht als Weitergabe an Dritte betrachtet wird. Auch hier bestehe aber noch Nachbesserungsbedarf, stellte Kommissionssprecher Jauslin fest, da die Erleichterung bei sehr grossen Konzernen, deren Unternehmen zwar durch die gleiche juristische Person kontrolliert werden, aber verschiedene Geschäftstätigkeiten ausüben, eventuell zu weit gehe. SP-Vertreter Cédric Wermuth hatte anhand von Alphabet, dem Mutterkonzern von Google, auf dieses Problem aufmerksam gemacht, da zu Alphabet «inzwischen die halbe Internetinfrastruktur» gehöre. Der Kommissionssprecher drückte indes seine Hoffnung aus, dass der Bundesrat in der Verordnung eine Lösung für solche Fälle finde. Andererseits beliess der Nationalrat die Strafbestimmung, die bei Verletzung der Sorgfaltspflichten für die Datensicherheit eine Busse von bis zu CHF 250'000 androht, im Gesetz. In seiner ersten Beratung hatte er diese noch gestrichen, vom Ständerat war sie dann aber wieder eingefügt worden, da eine solche Strafbestimmung zu den Anforderungen für die Datenschutzäquivalenz der EU gehöre. Mit einer Handvoll verbliebener der anfänglich elf Differenzen überwies die Volkskammer den Entwurf wieder an die Ständekammer.

In der Wintersession 2019 behandelte der Nationalrat zwei Ordnungsanträge zu den Motionen 19.3960 bis 19.3964, mit denen die SPK-NR Datenschutzbestimmungen in verschiedenen Bundesgesetzen ergänzen wollte. So standen sich ein Ordnungsantrag Barrile (sp, ZH) und ein Ordnungsantrag Rutz (svp, ZH) gegenüber. Angelo Barrile verlangte, die Motionen von der Tagesordnung des Nationalrats vom 17. Dezember 2019 zu nehmen, da es sich dabei nicht um «rein datenschützerische Anliegen, sondern vielmehr um die Ausweitung der Kompetenzen verschiedener Versicherer» handle. Ihre Annahme hätte weitreichende Folgen im Bereich der Sozialversicherungen, weshalb die SGK-NR zuständig werden und sich damit befassen solle. Auch Gregor Rutz verlangte die Streichung der Geschäfte von der aktuellen Tagesordnung, wollte die Motionen aber nicht fix der SGK zuweisen, dieser – und anderen Kommissionen – aber die Möglichkeit zu einem Mitbericht geben und die Motionen entsprechend erst in der Frühjahrssession 2020 behandeln. Mit 104 zu 87 Stimmen folgte der Nationalrat dem Ordnungsantrag Rutz.

Der Totalrevision des Datenschutzgesetzes und der Änderung weiterer Erlasse zum Datenschutz nahm sich in der Herbstsession 2019 der Nationalrat als Erstrat an. Das ein Jahr zuvor verabschiedete und am 1. März 2019 in Kraft getretene Schengen-Datenschutzgesetz, das aus Gründen der zeitlichen Dringlichkeit zunächst nur die Schengen-relevanten Anpassungen umsetzte, wird mit der Annahme des totalrevidierten Gesetzes wieder ausser Kraft treten. Mit der Totalrevision sollen über die Schengen-Anforderungen hinausgehend einerseits die Schwächen des heutigen Datenschutzrechts, das noch aus einer Zeit vor dem Internet stammt, behoben und andererseits die Entwicklungen auf EU- und Europarats-Ebene aufgenommen werden. Besonders bedeutsam für die Schweiz ist hierbei, von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt zu werden. Ansonsten, so wurde befürchtet, wäre die Schweizer Wirtschaft mit erheblichen Wettbewerbsnachteilen konfrontiert, da Schweizer Unternehmen nicht mehr so einfach Daten mit Firmen in der EU austauschen könnten. Bis im Mai 2020 wird die EU die Äquivalenz des Schweizer Datenschutzes beurteilen, was eine gewisse Dringlichkeit für die Revision gebietet.
Wie schwierig dieses Unterfangen werden würde, hatte sich schon in der vorberatenden SPK-NR abgezeichnet: Nur mit Stichentscheid des Präsidenten Kurt Fluri (fdp, SO) hatte sich die Kommission im August 2019 durchgerungen, die Vorlage nach mehr als einem Jahr Arbeit überhaupt vors Ratsplenum zu bringen. Die wichtigsten Anpassungen der Kommission am bundesrätlichen Entwurf waren die neu einzuführende Direktwahl des EDÖB durch die Bundesversammlung, die Einführung eines Rechts auf Datenportabilität, die Anpassung der Definition der besonders schützenswerten Personendaten sowie der Verzicht auf eine besondere Regelung für den Umgang mit Daten verstorbener Personen und auf eine ausdrücklich erforderliche Einwilligung zum Profiling. Im Rahmen ihrer Beratungen hatte die SPK-NR zudem sechs Motionen zur Vervollständigung der Datenschutzbestimmungen in weiteren Gesetzen eingereicht.
Kurz vor der Debatte im Nationalrat hatte das Bundesamt für Justiz überdies eine Liste dazu veröffentlicht, welche problematischen Differenzen es zwischen dem Kommissionsvorschlag und den Anforderungen der EU sehe. Auch EDÖB Adrian Lobsiger hatte in der Presse bezweifelt, dass das von der Kommissionsmehrheit vorgeschlagene Gesetz mit dem verlangten Niveau der EU-Datenschutzgrundverordnung (DSGVO) mithalten könne; beim Entwurf des Bundesrates hätte er indes keine Probleme gesehen.
Während der strittige Vorschlag der Kommissionsmehrheit für die SVP bereits zu weit ging, bemängelten SP, Grüne und GLP, er sei zu lasch. Wirtschaftsverbände drängten unterdessen auf eine möglichst rasche, EU-konforme Lösung. So wurde im Vorfeld der nationalrätlichen Debatte von den Mitte- und Linksparteien noch fieberhaft nach Kompromissen gesucht, um den drohenden Absturz der Revision zu verhindern.

In der Eintretensdebatte in der grossen Kammer wurde von allen Seiten – ausser von der SVP-Fraktion – betont, wie wichtig und notwendig das vorliegende Revisionsprojekt sei, sowohl um den Datenschutz dem Internetzeitalter anzupassen als auch um den Datenschutz auf ein der EU gleichwertiges Niveau zu bringen, auch wenn man in den Details der Ausgestaltung verschiedene Ansichten vertrat. Die SVP betrieb hingegen Fundamentalopposition gegen «diesen bürokratischen Unsinn», wie Fraktionsvertreter Gregor Rutz (svp, ZH) das neue Gesetz nannte, denn es sei insgesamt, vor allem für KMU, schlechter als das geltende Datenschutzgesetz – ein Argument, das wenig später durch das Votum von FDP-Vertreter Kurt Fluri (fdp, SO) entkräftet werden sollte, der berichtete, dass der Gewerbeverband die Stossrichtung der Kommissionsmehrheit begrüsse und die Rückweisung nicht unterstütze. Mit der DSGVO verkaufe die EU laut Rutz ihre Bürger für dumm, da sie «kein Mensch» verstehe. «Wir haben langsam genug davon, jeden Unsinn aus der EU ungesehen zu übernehmen!», ärgerte sich der SVP-Vertreter und rief das Ratsplenum auf, die Vorlage an den Bundesrat zurückzuweisen mit dem Auftrag, sie zu entschlacken und EU-Vorschriften nur dort zu übernehmen, wo es unumgänglich sei. Auch eine linke Minderheit hatte ursprünglich die Rückweisung, allerdings an die Kommission, beantragt und diese beauftragen wollen, die Vereinbarkeit der Vorlage mit dem Übereinkommen SEV 108 des Europarats, die Äquivalenz mit dem EU-Datenschutzrecht, die Kompatibilität mit den Schengen-Verträgen und die Nicht-Unterschreitung des heute geltenden Schutzniveaus sicherzustellen. Um die doch eher dringliche Revision nicht unnötig zu verlangsamen und um sich einer «produktiven Diskussion» nicht zu verschliessen, zog Cédric Wermuth (sp, AG) diesen Antrag jedoch «im Sinne eines Vorschussvertrauensbeweises» zurück und hoffte, das Gesetz während der Beratung noch auf eine den genannten Forderungen nähere Linie bringen zu können. Der Rückweisungsantrag der SVP-Minderheit wurde mit 120 zu 66 Stimmen (1 Enthaltung) deutlich verworfen; ausserhalb der geschlossenen SVP-Fraktion sah niemand eine Rückweisung als den richtigen Weg an.

Im Laufe der Detailberatung musste der Nationalrat über 45 Minderheits- und mehrere Einzelanträge befinden, die zu einem beträchtlichen Teil die Unterstützung des Bundesrates genossen – hauptsächlich immer dort, wo die Kommissionsmehrheit mit ihrem Vorschlag einen schwächeren Datenschutz wollte als der Bundesrat und somit das heute geltende Schutzniveau oder die Anforderungen der EU und/oder des Europarats unterschreiten wollte. So war die Kommissionsmehrheit bestrebt, sowohl die Daten über gewerkschaftliche Ansichten und Tätigkeiten als auch die Daten über Massnahmen der sozialen Hilfe aus dem Katalog der besonders schützenswerten Daten, für deren Bearbeitung besondere Anforderungen gelten, zu streichen. Während eine bürgerliche Ratsmehrheit die Streichung der Daten über gewerkschaftliche Ansichten und Tätigkeiten guthiess, schwenkte der Nationalrat bei den Daten über Massnahmen der sozialen Hilfe – neben Sozialhilfedaten sind davon auch solche über Sozialversicherungsmassnahmen bei Krankheit oder Unfall, Massnahmen der Vormundschaftsbehörden oder KESB, die fürsorgerische Unterbringung in psychiatrischen Kliniken, Ergänzungsleistungen und Prämienverbilligungen erfasst – auf die Linie des Bundesrates zurück und beliess sie im Katalog. Grünen-Vertreter Balthasar Glättli (gp, ZH) hatte zuvor mit Nachdruck klargemacht, dass deren Streichung für die Grünen und die SP ein Grund wäre, dem Gesetz die Zustimmung zu verweigern. Eine ähnliche Drohung sprach SVP-Fraktionssprecher Gregor Rutz aus, als die Einschränkung des Geltungsbereichs des DSG auf natürliche Personen zur Debatte stand: Einem Gesetz, das – anders als bisher – keinen Datenschutz für juristische Personen mehr vorsehe, werde man «nie im Leben» zustimmen können. Alle anderen Fraktionen befanden den Schutz für juristische Personen durch andere gesetzliche Bestimmungen jedoch als ausreichend und so glich der Nationalrat das DSG mit der Streichung des Schutzes juristischer Personen an die europäischen Regeln an. Bei der Frage der Anforderungen für das sogenannte Profiling zeichnete sich während der Diskussion ab, dass man an diesem Tag keine zufriedenstellende Lösung finden würde. Für jegliche Formen des Profilings, das die Aargauer Zeitung treffend als die «automatisierte Auswertung von Daten, mit denen bestimmte Merkmale einer Person bewertet werden, um etwa Vorhersagen über ihr künftiges Verhalten zu treffen» definierte, hatte der Bundesrat eine ausdrückliche Einwilligung der betroffenen Person voraussetzen wollen, wie sie auch zur Bearbeitung besonders schützenswerter Personendaten vorgesehen war. Da das geltende Recht so eine Regelung für das Erstellen von Persönlichkeitsprofilen umfasst, würde eine komplette Streichung der ausdrücklichen Einwilligung zum Profiling, wie es die Kommissionsmehrheit vorgeschlagen hatte, ein Rückschritt vom aktuellen Schutzniveau darstellen. In der Diskussion wurde mehrheitlich anerkannt, dass verschiedene Formen des Profilings unterschieden werden müssten, da es, wie es Balthasar Glättli erklärte, durchaus einen Unterschied mache, ob Profiling zur Erstellung von passenden Bücherempfehlungen, zur Abschätzung des Risikos für eine Versicherung oder zur Vorhersage der politischen Entscheidungen einer Person gebraucht werde. Der Bundesrat unterstützte folglich einen Einzelantrag Glättli, der eine ausdrückliche Einwilligung nur für ein Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person vorsah. Die Fraktionen der Grünen, SP und GLP unterstützten diesen Antrag ebenfalls, unterlagen jedoch der bürgerlichen Ratsmehrheit, die beim Vorschlag der Kommissionsmehrheit ohne besondere Anforderungen für das Profiling blieb. Der Nachhall der Diskussion war jedoch klar, dass sich der Ständerat noch einmal intensiv mit dieser Frage auseinandersetzen müsse.
Betreffend die Informationspflicht bei der Beschaffung von Personendaten, die Regeln für die Bekanntgabe von Personendaten ins Ausland, die Rechenschaftspflicht für datenbearbeitende Unternehmen über die Einhaltung des Datenschutzrechts sowie das Auskunftsrecht einer Person zu den über sie gesammelten oder bearbeiteten Daten lehnte die Volkskammer einige von der Kommissionsmehrheit vorgeschlagene Lockerungen ab und umschiffte somit ein paar der vielen Klippen im Hinblick auf den Angemessenheitsbeschluss der EU. Die vom Bundesrat eingefügten Regelungen über Daten von verstorbenen Personen erachtete der Rat jedoch als nicht notwendig und strich mit bürgerlicher Mehrheit alle entsprechenden Bestimmungen aus dem Gesetz. Ganz neu und weitgehend unbestritten verankerte der Nationalrat auf Vorschlag seiner Kommissionsmehrheit ein Recht auf Datenportabilität, das heisst auf Datenherausgabe und -übertragung, im Gesetz. Wie Bundesrätin Karin Keller-Sutter erklärte, habe der Bundesrat mit dieser Neuerung eigentlich noch zuwarten wollen, bis erste Erkenntnisse aus der konkreten Umsetzung dieses Rechts in der EU vorlägen; nichtsdestotrotz unterstützte er den Vorschlag der Kommissionsmehrheit, einen Anspruch jeder Person auf «die Herausgabe ihrer Personendaten in einem gängigen elektronischen Format oder sogar deren Übertragung auf einen anderen Verantwortlichen zu verlangen», wie Keller-Sutter das neue Recht erläuterte.
Zurückgehend auf eine entsprechende parlamentarische Initiative Leutenegger Oberholzer (sp, BL; Pa.Iv. 16.409) änderte die grosse Kammer das Wahlverfahren des EDÖB dahingehend, dass er neu von der Bundesversammlung gewählt und nicht mehr durch den Bundesrat ernannt und vom Parlament nur bestätigt werden sollte. Gleichzeitig wurden die Aufsichts- und Untersuchungskompetenzen des EDÖB bei Datenschutzverstössen gestärkt. Diese Änderung sei von wesentlicher Bedeutung im Hinblick auf den Angemessenheitsbeschluss der EU, wie Bundesrätin Keller-Sutter betonte, denn nach bisher geltendem Recht besitze der EDÖB nicht nur weniger Kompetenzen als die Datenschutzbehörden in Europa, sondern auch als andere Aufsichtsbehörden des Bundes, zum Beispiel die Finma oder die Weko. Bei den Strafbestimmungen legte der Nationalrat eine maximale Busse von CHF 250'000 für Datenschutzverstösse fest. Ein neuer Straftatbestand für die Nichteinhaltung der Mindestanforderungen an die Datensicherheit im Sinne einer Sorgfaltspflichtverletzung wurde von der bürgerlichen Ratsmehrheit jedoch nicht goutiert, was laut Bundesrätin Keller-Sutter für die EU-Angemessenheit problematisch sein könnte. Der letzte grosse Zankapfel der Vorlage verbarg sich in den Schlussbestimmungen, namentlich in der Frage zum Inkrafttreten des Gesetzes. Während die Kommissionsmehrheit das Inkrafttreten um zwei Jahre nach Annahme des Gesetzes beziehungsweise nach Verstreichen der Referendumsfrist verzögern wollte, beantragte eine Minderheit Humbel (cvp, AG), wie üblich den Bundesrat das Inkrafttreten bestimmen zu lassen. Eine solche Verzögerung sei bereits wegen der Schengen-relevanten Bestimmungen des Gesetzes ein Problem und daher nicht im Interesse der Wirtschaft, was das Argument der Kommissionsmehrheit gewesen war. Auf Empfehlung des Bundesrates und entgegen der geschlossenen SVP-Fraktion erteilte die grosse Kammer der zweijährigen Inkrafttretensfrist eine Absage.

In der Gesamtabstimmung nahm der Nationalrat das totalrevidierte Datenschutzgesetz mit 98 zu 68 Stimmen bei 27 Enthaltungen an. In den ablehnenden Stimmen spiegelte sich vor allem die Opposition der SVP gegen das Gesetz. Demgegenüber hatte sich die SP-Fraktion mehrheitlich enthalten und damit signalisiert, dass sie noch weitere Nachbesserungen erwartete. Wirklich zufrieden mit dem Gesetz in vorliegender Form war wohl niemand; in dieser Hinsicht sprach das Fazit von Kommissionssprecher Matthias Jauslin (fdp, AG) Bände: «Wir haben jetzt eine Vorlage, die aus Sicht der Kommission durchaus bearbeitbar ist.»