In der Herbstsession 2019 beschäftigte sich der Ständerat mit dem Bundesgesetz über die Datenweitergabe der Versicherer in der obligatorischen Krankenpflegeversicherung. Für die Kommission fasste Erich Ettlin (cvp, OW) die Erarbeitung des Geschäfts und dessen Inhalt zusammen. Erstens solle die Erhebung der Daten zur Aufsicht über die Versicherungen im KVAG, diejenige zu den Aufgaben nach KVG jedoch im KVG geregelt werden. Zweitens sollten die Daten wann immer möglich aggregiert erhoben werden. In gesetzlich geregelten Ausnahmefällen solle die Erhebung von Individualdaten möglich sein. Eine Problematik, die trotz dieser Regelung weiter bestehe, betreffe jedoch die Re-Identifizierung von Personen, erklärte Ettlin weiter: Gemäss EDÖB könne eine solche aufgrund des Detaillierungsgrades, der Einzigartigkeit, der Akkumulation und der Verknüpfung der Efind-Daten nicht ausgeschlossen werden. Das BAG stehe diesbezüglich aber in engem Kontakt zum EDÖB und sei dabei, dieses Risiko zu minimieren. Bei der Detailberatung erklärte der Kommissionssprecher, die Kommissionsmehrheit halte es für sinnvoller, zuerst die Ergebnisse der mittels Postulat verlangten Datenstrategie abzuwarten und zu schauen, ob die Daten, welche die Minderheit ebenfalls in Individualform weitergeben möchte, nicht bereits vorhanden seien. Dieser Argumentation konnte Minderheitensprecher Hans Stöckli (sp, BE) nichts abgewinnen. Die Daten für Efind5 und Efind6, also die Daten zu den Medikamenten und der MiGeL, seien vorhanden; er verstehe darum nicht, welcher Grund wirklich hinter dieser Argumentation zur Datenstrategie stecke. Zudem könne dasselbe Argument auch für die Datenbereiche, welche die Mehrheit als Individualdaten liefern wolle, angeführt werden. Diese zusätzlichen Daten seien dringend nötig, wie ihm der Kanton Bern verdeutlicht habe. Mit 23 zu 15 Stimmen sprach sich der Ständerat jedoch gegen seinen Minderheitsantrag aus. Einstimmig nahm der Rat in der Folge den Entwurf der Kommission an.

Das neue Bundesgesetz über die Datenweitergabe der Versicherer in der obligatorischen Krankenpflegeversicherung soll präzisieren, zu welchem Zweck und in welcher Form Krankenversicherungen Daten dem BAG übermitteln müssen. Generell sollen die Daten aggregiert weitergeben werden, lediglich dort, wo dies nicht ausreicht, sollen anonymisierte Individualdaten transferiert werden. Bisher erhielt das BAG anonymisierte Individualdaten über alle Versicherten in der OKP (Efind-Daten) sowie Daten über Prämien und Behandlungskosten (Efind2). Neu sollen aber auch Individualdaten über die Kosten pro Leistungsart und Leistungserbringenden (Efind3), Medikamente (Efind5) und MiGeL (Efind6) weitergeleitet werden können, wobei letztere zwei Datensätze ursprünglich nicht Teil dieser Vorlage waren. Eine Minderheit Stöckli (sp, BE) der SGK-SR hatte jedoch beantragt, sie ebenfalls aufzunehmen. Damit soll die Kostenentwicklung überwacht sowie Entscheidgrundlagen zu ihrer Eindämmung entwickelt, eine Wirkungsanalyse sowie Entscheidgrundlagen bezüglich des Gesetzes und des Gesetzesvollzugs erstellt und die Evaluation des Risikoausgleichs sowie die Erfüllung der Aufsichtsaufgaben nach dem KVAG ermöglicht werden. Zudem würde die bisher bestehende Verknüpfung von KVAG und KVG bezüglich der Datenlieferpflicht gelöst.

In der Vernehmlassung stiess die Vorlage auf grossen Anklang bei den Kantonen und der GDK. Einer Mehrheit von ihnen war es wichtig, dass das BAG über die notwendigen Daten verfügt; wo die aggregierte Form nicht ausreiche, müssten entsprechend Individualdaten geliefert werden. Nur so sei eine Überprüfung der Wirtschaftlichkeit und Qualität der Leistungen möglich. Geteilter Meinung waren die Parteien. Die SP zeigte sich gegenüber der Zielsetzung der Vorlage – der Herstellung von Verhältnismässigkeit bei der Datenweitergabe – skeptisch, da sie es für unerlässlich halte, dass der Bund über die notwendigen Daten verfüge. Die CVP begrüsste die Vorlage weitgehend, während FDP und SVP bezweifelten, dass dem Anliegen des Initiators mit dieser Vorlage genügend Rechnung getragen werde, da zu viele Ausnahmen für die Nutzung von Individualdaten gemacht worden seien. Diese Meinung teilten Curafutura und Santésuisse. Der SGB und das Centre Patronal sowie die Konsumtenverbände SKS und FRC begrüssten hingegen die Vorlage und betonten, es brauche diese Angaben zur Verhinderung der Kostensteigerung; die Daten sollten aber anonymisiert und in genügend grosser Anzahl übermittelt werden, um eine individuelle Zuordnung verhindern zu können.

Im August 2019 nahm der Bundesrat Stellung zur Vorlage, die die Kommission nach der Vernehmlassung ohne materielle Änderungen präsentiert hatte. Er begrüsste die Bemühungen der Kommission zur Klärung der gesetzlichen Grundlagen, zumal auch die Expertengruppe zur Kostendämpfung im Gesundheitswesen Daten im Bereich der OKP für eine effektive Steuerung durch den Bund als notwendig erachtet habe. Er lobte, dass der Entwurf durch die Präzisierung der Aufgaben, für welche die Versicherungen Daten liefern müssen, und durch die Trennung von KVG und KVAG thematisch kohärenter werde. Die von der Kommissionsmehrheit aufgenommenen Punkte erachte er dabei als «absolutes Minimum» und beantragte folglich Zustimmung zum Entwurf. Da ohne die Daten zu Medikamenten und MiGeL aber zahlreiche wichtige Fragen nicht beantwortet werden könnten, sprach er sich überdies für den Minderheitsantrag aus. Der Entwurf beschneide aber die Rechte des Bundes gemäss der KVV im Bereich der Daten zu Tarmed, erklärte er, weshalb er sich vorbehielt, diesbezüglich noch einmal ans Parlament zu gelangen.

In der Herbstsession 2018 beschäftigte sich der Ständerat als Zweitrat mit der ersten Etappe der DSG-Revision, welche nur die Schengen-relevanten Bestimmungen des Gesetzgebungsprojektes umfasste. Die Schweiz hätte ihr Datenschutzrecht eigentlich bis zum 1. August 2018 an die EU-Richtlinie 2016/680 betreffend den Datenschutz in Strafsachen anpassen müssen, war damit im September also schon leicht im Verzug. Obwohl sich Kommissionssprecherin Pascale Bruderer Wyss (sp, AG) nicht sonderlich begeistert von der Etappierung der Vorlage zeigte – der Schengen-relevante Teil sei nicht der einzige, der zügig abgeschlossen werden sollte, denn die übrigen Bestimmungen seien zwar nicht für das Fortbestehen der Schengen-Assoziierung, aber sehr wohl für den Angemessenheitsbeschluss relevant und somit nicht weniger wichtig –, appellierte sie an den Rat, das Beste daraus zu machen und den eingeschlagenen Weg möglichst rasch weiterzugehen.
Nachdem die kleine Kammer ohne Gegenantrag auf die Vorlage eingetreten war, wurde auch hier, wie zuvor im Nationalrat, die Diskussion geführt, ob die gewerkschaftlichen Ansichten in der Definition der besonders schützenswerten Personendaten explizit aufgeführt werden müssten oder ob man diese streichen könne, da sie von den politischen und weltanschaulichen Ansichten erfasst würden. Wie der Nationalrat sprach sich auch der Ständerat mehrheitlich für die Streichung der gewerkschaftlichen Ansichten aus, obwohl, wie von Bundesrätin Sommaruga und Minderheitsvertreter Stöckli (sp, BE) angemerkt, dieser Antrag gar nie begründet worden sei. Materiell änderte sich damit nichts im Vergleich zum geltenden Recht, weshalb sowohl die Justizministerin als auch der Minderheitsvertreter letztlich vergebens die Notwendigkeit dieser Anpassung – notabene in einem ohnehin befristeten Gesetz – angezweifelt hatten. Als zweite Änderung und damit neue Differenz zum Nationalrat verbot der Ständerat dem EDÖB grundsätzlich die Ausübung jeglicher Nebentätigkeiten, unabhängig davon, ob diese vergütet werden oder nicht. Abweichend vom Grundsatz soll der Bundesrat eine solche jedoch gestatten können, wenn der EDÖB dadurch nicht in der Ausübung seiner Tätigkeit, seiner Unabhängigkeit und seinem Ansehen beeinträchtigt wird. Diese Absicht hatte bereits der Bundesrat in seinem Entwurf gezeigt, der Ständerat habe jetzt aber die «richtige Perspektive» und die «richtige Formulierung» gefunden, so Bundesrätin Sommaruga. Einstimmig verabschiedete die kleine Kammer das Schengen-Datenschutzgesetz mit dieser einen verbleibenden Differenz. Ebenfalls einstimmig genehmigte sie auch den Notenaustausch zwischen der Schweiz und der EU betreffend die Übernahme der EU-Richtlinie 2016/680 zum Datenschutz in Strafsachen.
Der Nationalrat räumte die Differenz daraufhin oppositionslos aus und nahm das Schengen-Datenschutzgesetz in der Schlussabstimmung mit 182 zu 11 Stimmen an. Der Genehmigung des Notenaustausches stimmte er mit 139 zu 45 Stimmen zu; dagegen opponierte ein Grossteil der SVP-Fraktion. Im Ständerat passierten beide Entwürfe die Schlussabstimmung einstimmig.

Im Zuge der Totalrevision des BÜPF hatte sich der Nationalrat in der Sommersession 2015 als Zweitrat mit dem Interessenskonflikt zwischen einer wirksamen Strafverfolgung und dem Persönlichkeits- bzw. Datenschutz zu befassen. Die zwei Hauptanliegen der Vorlage sind erstens die Ausweitung der Vorratsdatenspeicherung und zweitens die Schaffung einer gesetzlichen Grundlage für den Einsatz von Staatstrojanern (GovWare). Im Vorjahr hatte der Ständerat als Erstrat nicht viel am Entwurf des Bundesrates geändert. In der grossen Kammer stiess die Vorlage jedoch auf mehr Widerstand. Nach einer emotionalen Eintretensdebatte lehnte der Nationalrat einen Minderheitsantrag der RK-NR auf Rückweisung des Geschäfts an den Bundesrat mit 128 zu 50 Stimmen bei 7 Enthaltungen ab. Die Minderheit um Daniel Vischer (gp, ZH) wollte den Bundesrat damit beauftragen, eine Vorlage ganz ohne Vorratsdatenspeicherung vorzulegen und den Einsatz von Staatstrojanern auf schwere Gewaltverbrechen zu beschränken. In der Detailberatung zeigte sich, dass die Vorlage schon in der Kommission umstritten gewesen war, musste die grosse Kammer doch über mehr als 40 Minderheitsanträge abstimmen. In einem ersten Beratungsblock befasste sich der Nationalrat mit den Randdaten und brachte in diesem Bereich zwei Änderungen an: Erstens müssen Anbieter von Postdiensten die Randdaten während eines Jahres aufbewahren anstatt wie vom Ständerat beschlossen nur während sechs Monaten und zweitens müssen Anbieter von Fernmeldediensten ihre gespeicherten Daten in der Schweiz aufbewahren. Im zweiten Block befasste sich die grosse Kammer mit Staatstrojanern und fügte einen neuen Artikel in die Strafprozessordnung und den Militärstrafprozess ein, welcher effiziente Massnahmen gegen den Missbrauch von GovWare bieten soll, indem die festgeschriebenen Voraussetzungen sicherstellen, dass die Programme nur das gesetzlich Zulässige tun können. Ausserdem soll die Beschaffung und Freigabe solcher Programme zentral geregelt und einem Dienst des Bundes übertragen werden. Zum Schluss der Beratung diskutierte der Nationalrat in einem dritten Block die allgemeinen Bestimmungen des Gesetzes. Hier wurde mit Stichentscheid des Präsidenten Rossini (sp, VS) ein Minderheitsantrag gutgeheissen, mit dem das Vorgehen geregelt wird, wenn Sicherheitslücken in Überwachungssystemen festgestellt werden: Der Bundesrat muss den EDÖB sowie die Öffentlichkeit darüber informieren und bei erheblichen Sicherheitslücken den Betrieb des betroffenen Systems bis zur Behebung des Mangels einstellen. In der Gesamtabstimmung stimmte die grosse Kammer der Vorlage mit 110 zu 65 Stimmen bei 9 Enthaltungen zu. Unterstützt wurde das Geschäft vor allem von der politischen Mitte, während es die geschlossene grüne Fraktion sowie die Mehrheiten der SP- und SVP-Fraktionen ablehnten. Sie monierten vor allem einen zu starken Eingriff in die Persönlichkeitsrechte und den Datenschutz.

In der Wintersession desselben Jahres begann der Ständerat mit der Differenzbereinigung und folgte in allen Punkten den Anträgen seiner Rechtskommission. So strich er die vom Nationalrat aufgenommenen Bestimmungen über das Vorgehen bei Sicherheitslücken wieder aus dem Gesetz mit der Begründung, dass Fragen der Informatiksicherheit ins Datenschutzrecht gehörten und hier fehl am Platz seien. In Bezug auf die Aufbewahrungsdauer von Randdaten vollzog die kleine Kammer eine Kehrtwende und beschloss nun, die Fristen sowohl für den Post- als auch für den Fernmeldeverkehr bei sechs Monaten zu belassen. In erster Lesung hatte sie die Verlängerung auf zwölf Monate beim Fernmeldeverkehr noch gutgeheissen. Als einen Grund für diese Umkehr nannte Kommissionssprecher Stefan Engler (cvp, GR) das drohende Referendum: Die Vorratsdatenspeicherung sei per se schon umstritten, weshalb die Erhöhung auf zwölf Monate womöglich die Chancen eines allfälligen Referendums verbessern und damit die gesamte Vorlage gefährden könnte, was auf keinen Fall im Interesse der Strafverfolgungsbehörden liege. Bundesrätin Simonetta Sommaruga begrüsste diesen Kompromiss und betonte, die Frist sei sekundär, solange die Vorlage als Ganzes vorangebracht werde und man endlich die Möglichkeit erhalte, verschlüsselte Kommunikation mittels Staatstrojaner zu überwachen. Mit 20 zu 17 Stimmen bei 2 Enthaltungen strich der Ständerat die Pflicht, die gespeicherten Daten in der Schweiz aufzubewahren, wieder aus dem Entwurf. Die Minderheit, welche die Bestimmung beibehalten wollte, versprach sich davon mehr Datensicherheit, doch die Mehrheit erachtete den Absatz als nicht notwendig, da Schweizer Unternehmen ohnehin dem schweizerischen Datenschutzrecht unterstehen, unabhängig davon, wo sie die Daten lagern. Die Beschaffung und Zertifizierung von GovWare durch eine zentrale Bundesstelle wurde in der Kantonskammer ebenfalls fallengelassen, weil dadurch zu sehr in die kantonale Hoheit über die Strafverfolgung eingegriffen würde. In allen anderen Punkten schloss sich der Ständerat der Fassung des Nationalrates an. Über die verbleibenden Differenzen wird die grosse Kammer im kommenden Jahr beraten.