Der Ständerat befasste sich in der Wintersession 2023 mit einem Postulat der WAK-SR, welches vom Bundesrat einen Bericht zur Handhabung der weiteren Verwendung illegal erworbener Daten forderte. Wie Kommissionssprecher Thierry Burkart (fdp, AG) ausführte, sei dieser Vorstoss als Reaktion auf eine abgelehnte Motion der WAK-NR (Mo. 22.4272) zu verstehen und gehe weiter als diese, weil nun nebst der Rolle des Finanzplatzes die grundsätzliche Frage nach dem Umgang mit illegal erworbenen Daten aufgeworfen werde. Der Bundesrat beantragte die Ablehnung des Postulats, da die geltende Rechtslage betreffend die Verwendung von illegal erlangten Daten aus seiner Sicht bereits ausreichend sei. Insbesondere deren allfällige Veröffentlichung aus übergeordnetem Interesse sei nicht pauschal zu bewerten und müsse jeweils im spezifischen Kontext und durch die zuständigen Behörden beurteilt werden. Kommissionsmitglied Sommaruga (sp, GE), welcher an entsprechender Kommissionssitzung nicht zugegen gewesen war und dort daher seine Ablehnung nicht hatte kundtun können, holte dies im Ratsplenum nach. Er befürchtete, dass aufgrund des Berichts Verbote erlassen werden könnten, welche die Medienfreiheit massiv beschränken würden. Der Ständerat überwies das Postulat dennoch mit 28 zu 12 Stimmen bei 2 Enthaltungen. Die Gegenstimmen kamen fast ausschliesslich aus dem links-grünen Lager.

Der Nationalrat gab in der Wintersession 2023 einer parlamentarischen Initiative Bendahan (sp, VD) mit der Forderung, das Recht auf digitale Unversehrtheit in die Verfassung aufzunehmen, mit 118 zu 65 Stimmen bei 3 Enthaltungen keine Folge. Gemäss dem Initianten sollte die digitale Unversehrtheit die Kontrolle und das Wissen darüber garantieren, welche Daten im digitalen Leben durch eigene Aktivität sowie Dritte gesammelt, berechnet und weitergegeben werden. Aufgrund der fehlenden Verfassungsgrundlage sei diese heute unzureichend geschützt, argumentierte Bendahan. Mit seinem ablehnenden Entscheid folgte der Nationalrat dem Mehrheitsantrag seiner SPK, die eine Verfassungsänderung als nicht angezeigt ansah. Die Anhörung von Expertinnen und Experten habe ergeben, dass der bestehende Grundrechtskatalog – insbesondere das Recht auf persönliche Freiheit (Art. 10 BV) und das Recht auf Schutz der Privatsphäre (Art. 13 BV) – ausreiche, um die digitale Identität zu schützen. Die Kommission wolle sich dem Thema dennoch annehmen und an einer nächsten Sitzung besprechen, ob eine Überprüfung angezeigt sei und gegebenenfalls Gesetzeslücken bestünden, versicherte Kommissionssprecherin Barbara Steinemann (svp, ZH). Vergeblich hatte Minderheitssprecherin Céline Widmer (sp, ZH) für das Anliegen argumentiert, dass sich gesellschaftliche Veränderungen im Grundrechtskatalog niederschlagen müssten. Die parlamentarische Initiative Bendahan ist somit definitiv abgelehnt.

Mit 144 zu 24 Stimmen bei 21 Enthaltungen nahm der Nationalrat in der Herbstsession 2023 eine Motion Bellaiche (glp, ZH) an, die den Bundesrat aufforderte, die Einwohnerinnen und Einwohner der Schweiz vor der von der EU vorgesehenen Chatkontrolle zu schützen. Gemäss der Motionärin plane die Europäische Kommission unter dem Deckmantel der Prävention und Bekämpfung von sexuellem Kindsmissbrauch im Internet eine beispiellose Massenüberwachung, die nicht mit dem Recht auf Privatsphäre vereinbar sei: Alle Anbietenden von elektronischen Kommunikationsdiensten, die in der EU tätig sind, sollen dazu verpflichtet werden, sämtliche private und geschäftliche Kommunikation auf Anzeichen von Kindsmissbrauch zu kontrollieren. Der Bundesrat hatte die Motion zur Ablehnung beantragt, weil die EU-Institutionen den Vorschlag noch nicht verabschiedet hätten und damit noch nicht klar sei, was genau dessen Konsequenzen seien. Ausserdem habe sich Justizministerin Elisabeth Baume-Schneider in einem gemeinsamen Schreiben mit ihren Kolleginnen und Kollegen aus Deutschland, Österreich, Liechtenstein und Luxemburg an die Justizministerinnen und -minister der EU-Staaten gewandt, um sie auf die grundrechtlichen Gefahren der geplanten Chatkontrolle hinzuweisen. Judith Bellaiche zeigte sich im Ratsplenum dankbar für diesen Schritt, forderte den Bundesrat aber auf, weitere Einflusskanäle zu nutzen. Der Nationalrat stützte diese Ansicht; gegen die Motion stimmten die Mehrheit der FDP-Fraktion sowie einzelne Vertreterinnen und Vertreter aus Mitte und SVP. Die Grüne Fraktion enthielt sich grossmehrheitlich der Stimme.

Ein Postulat Bendahan (sp, VD) mit der Forderung nach einem Bericht zu den Risiken von Überwachungs- und Erkennungstechnologien erhielt in der Sondersession im Mai 2023 im Nationalrat grossen Zuspruch. Mit 127 zu 57 Stimmen bei 3 Enthaltungen verlangte die grosse Kammer diskussionslos, dass der Bundesrat frei auf dem Markt zugängliche Technologien, welche die Privatsphäre der Bevölkerung missbräuchlich und stark gefährden, unter die Lupe nimmt. Er soll im Anschluss auch allfällige Massnahmen zum Schutz der Bevölkerung vorschlagen. Der im Rat nicht anwesende Postulant verwies in seinem eingereichten Text beispielsweise auf Kameras, die in der Lage seien, Personen und Objekte zu erkennen und ohne Einwilligung zu überwachen. Der Bundesrat hatte sich in seiner Stellungnahme im Februar 2022 ablehnend zum geforderten Bericht geäussert und auf den bestehenden Rechtsrahmen, auf das kürzlich revidierte Datenschutzgesetz sowie auf internationale Entwicklungen zur Regulierung der künstlichen Intelligenz – namentlich im Europarat und in der EU – verwiesen. Der Bundesrat hatte deshalb vorerst die Auswirkungen der Gesetzesrevision und die internationalen Arbeiten abwarten wollen und daher einen Bericht als zeitlich verfrüht erachtet. Dieser Meinung schlossen sich im Rat die Mitte-Fraktion, die FDP.Liberale-Fraktion sowie einige Vertreterinnen und Vertreter der SVP an. Die Mehrheit, bestehend aus der SP- der GLP- und der Grünen-Fraktion sowie fast allen Mitgliedern der SVP-Fraktion, konnte jedoch erfolgreich eine Annahme durchsetzen.

Der Nationalrat überwies in der Sommersession 2022 ein Postulat Bellaiche (glp, ZH) zur Nutzung anonymisierter persönlicher Daten im öffentlichen Interesse. Der Bundesrat soll Massnahmen zur Förderung der freiwilligen Bereitstellung von anonymisierten persönlichen Daten (Datenspende) auf ihre Machbarkeit hin prüfen. Laut Postulantin Bellaiche habe die Covid-19-Pandemie gezeigt, wie wichtig persönliche Daten für den Schutz der öffentlichen Gesundheit, für die Planung von Massnahmen und für die Forschung im Gesundheitswesen sein können. Wichtig sei dabei aber die Wahrung der Privatsphäre der Datenspenderinnen und -spender.
Der Bundesrat hatte die Ablehnung des Postulats beantragt, da die Bereitstellung persönlicher, gesundheitsrelevanter Daten aus seiner Sicht bereits in der Strategie «Gesundheit 2030» und in einem Postulat Humbel (mitte, AG; Po. 15.4225) ausreichend berücksichtigt werde.
Dieser Empfehlung folgten die SVP-Fraktion geschlossen und die FDP-Fraktion grossmehrheitlich, was aber nicht zu einer Ratsmehrheit reichte: Die grosse Kammer nahm das Postulat mit 108 zu 81 Stimmen bei 2 Enthaltungen an. Der Bundesrat wird folglich einen Bericht dazu ausarbeiten müssen.

Im Rahmen der Revision der Zivilprozessordnung beschäftigte sich die RK-NR unter anderem mit den Voraussetzungen, unter denen ein Gericht superprovisorische Massnahmen zum Persönlichkeitsschutz verfügen kann, etwa ein vorläufiges Publikationsverbot für einen Medienbericht. In diesem Zusammenhang stellte sie fest, dass der vorsorgliche Rechtsschutz gegen Persönlichkeitsverletzungen bei Inhalten, die über neue und elektronische Medien verbreitet würden, ins Leere laufe, wenn superprovisorische Massnahmen nicht innert kürzester Zeit erwirkt werden könnten – und damit auch ausserhalb der allgemeinen Geschäftszeiten der Gerichte. Mit dieser Begründung reichte die Kommission zwei Vorstösse ein: Mit einem Postulat (Po. 22.3002) wollte sie den Bundesrat beauftragen zu prüfen, wie der vorsorgliche Rechtsschutz ausserhalb der Geschäftszeiten im Sinne eines Pikettdienstes der Gerichte gewährleistet werden könnte. Mit einer Motion (Mo. 22.3003) wollte sie den Bundesrat verpflichten, das Anliegen umzusetzen. Der Bundesrat gab zu bedenken, dass die Gerichtsorganisation in der Zuständigkeit der Kantone liege, weshalb der Bundesgesetzgeber die ihm gesetzten Grenzen prüfen und die Kantone miteinbeziehen müsse. Ausserdem müsse geklärt werden, welche Auswirkungen auf die Verfahrensvorschriften eine solche Änderung hätte. Er anerkannte jedoch den Handlungsbedarf und beantragte demnach das Postulat zur Annahme und die Motion zur Ablehnung. Der Nationalrat nahm in der Sondersession vom Mai 2022 beide Vorstösse an.

Wie es im Herbst des Vorjahres der Nationalrat getan hatte, stimmte in der Herbstsession 2021 auch der Ständerat der Motion Addor (svp, VS) für die Verstärkung des Identitätsschutzes von Polizistinnen und Polizisten, die Ordnungsbussen verhängen, stillschweigend zu. Die RK-SR hatte die Motion im Vorhinein beraten und – wie auch der Bundesrat – deren Annahme beantragt. Wie sie in ihrem Bericht festhielt, handle es sich beim Ordnungsbussengesetz um ein besonderes Strafverfahrensrecht, weshalb sie das Anliegen der Motion grundsätzlich bereits im Rahmen der in der Kommission hängigen Detailberatung der Revision der Strafprozessordnung umgesetzt habe.

In der Herbstsession 2021 nahm sich der Ständerat als Zweitrat der Änderung des DNA-Profil-Gesetzes an. Er trat ohne Gegenantrag auf das Geschäft ein. Wie bereits den Nationalrat beschäftigte auch den Ständerat die Frage, welche äusserlichen Merkmale für die Phänotypisierung aus einer DNA-Spur ermittelt werden dürfen bzw. ob die Liste im Gesetz abschliessend sein soll. Der Bundesrat hatte im Entwurf eine Delegationsnorm vorgesehen, die es ihm erlaubt, in Abhängigkeit vom technischen Fortschritt weitere äusserliche Merkmale – zusätzlich zu den im Gesetzestext explizit genannten Augen-, Haar- und Hautfarbe, biogeografische Herkunft und Alter – für die Phänotypisierung zuzulassen. Der Nationalrat hatte diese Bestimmung entgegen dem Antrag seiner Kommissionsmehrheit bestätigt. Der Ständerat tat es ihm nun gleich; die Minderheit Sommaruga (sp, GE), die die Streichung der Delegationsnorm forderte, unterlag mit 26 zu 17 Stimmen. Anders als die Volkskammer sprach sich der Ständerat indes gegen die generelle Möglichkeit aus, nach einem Suizid ein DNA-Profil der toten Person zu erstellen. Für die vorberatende RK-SR sei eine solche Stigmatisierung von Suiziden unverständlich, zumal sich die meisten Suizide ohne vorherige Straftat ereigneten, erläuterte Kommissionssprecher Beat Rieder (mitte, VS). Bestünden Anzeichen auf einen Zusammenhang mit einer Straftat, könne die Staatsanwaltschaft bereits nach geltendem Recht ein DNA-Profil erstellen lassen. Die kleine Kammer folgte ihrer Kommission diesbezüglich stillschweigend und kehrte damit zur bundesrätlichen Version zurück. Differenzen zur Fassung des Bundesrats schuf der Ständerat hingegen bei den Regeln über die Löschung von DNA-Profilen. Einerseits entschied die Kantonskammer, dass DNA-Profile von Beschuldigten im Falle eines Freispruchs, einer Nichtanhandnahme oder einer Einstellung des Verfahrens nur mit Genehmigung des Zwangsmassnahmengerichts weiter aufbewahrt werden dürfen. Der Bundesrat wollte diese Entscheidung der Staatsanwaltschaft überlassen. Justizministerin Karin Keller-Sutter brachte der ständerätlichen Lösung Skepsis entgegen, verzichtete angesichts des einstimmigen Kommissionsbeschlusses jedoch auf eine Abstimmung und kündigte an, die Frage im Nationalrat noch einmal zur Diskussion zu bringen. Andererseits setzte der Ständerat die Löschfrist für DNA-Profile von schuldunfähigen Täterinnen und Tätern auf zwanzig Jahre fest. Der Bundesrat hätte diese Frist, so die EJPD-Chefin, in der Verordnung regeln wollen, begrüsste aber die «grössere Klarheit und Transparenz» des Kommissionsantrages, worauf dieser stillschweigend gutgeheissen wurde. Als Letztes diskutierte die kleine Kammer die Frage, bei welchen Delikten Phänotypisierung und Verwandtenrecherche eingesetzt werden dürfen. Der Nationalrat hatte den bundesrätlichen Vorschlag gutgeheissen, der diese Methoden für alle Verbrechen, d.h. Delikte mit Strafandrohung von mehr als drei Jahren Freiheitsstrafe, vorgesehen hatte. Der ständerätlichen Kommission war dieser Anwendungsbereich zu breit; sowohl die Mehrheit als auch die Minderheit beantragten daher die Einführung eines – mehr oder weniger umfassenden – Deliktkatalogs. Mit 31 zu 12 Stimmen nahm der Ständerat den enger gefassten Katalog der Kommissionsmehrheit an, der nur die schwersten Delikte abdeckt, insbesondere Gewalt- und Sexualdelikte. Nicht anwendbar sein sollen die neuen Ermittlungsverfahren demnach bei Vermögensdelikten wie Diebstahl oder Hehlerei. Dem so angepassten Entwurf stimmte die Ständekammer in der Gesamtabstimmung einstimmig zu.

In der Sommersession 2021 schrieb der Nationalrat auf Antrag des Bundesrates das Postulat Derder (fdp, VS) betreffend ein Recht auf Kopie personenbezogener Daten ab. Sowohl der Bundesrat als auch die Volkskammer erachteten das Anliegen des Postulats als erfüllt, da das Parlament bei der Totalrevision des Datenschutzgesetzes der Einführung eines allgemeinen Rechts auf Datenherausgabe oder -übertragung bereits zugestimmt hatte.

Der Nationalrat widmete sich in seiner Sondersession im Mai 2021 als Erstrat der Änderung des DNA-Profil-Gesetzes, mit der eine gesetzliche Grundlage für die Phänotypisierung, d.h. das Auslesen bestimmter äusserer Merkmale der gesuchten Person aus einer DNA-Spur, geschaffen werden sollte. Eine Grüne Minderheit beantragte Nichteintreten, weil ihr der vorliegende Entwurf zu weit ging; sie hätte angesichts der Schwere des damit verbundenen Grundrechtseingriffs einen enger eingegrenzten Anwendungsbereich für die Methode als geboten erachtet. Es sei nicht Aufgabe der Politik, «in vorauseilendem Gehorsam den ganzen Wunschkatalog der Strafverfolgungsbehörden zu erfüllen», appellierte Minderheitssprecherin Marionna Schlatter (gp, ZH) an den Rat. Bundesrätin Karin Keller-Sutter relativierte, es handle sich nicht um einen schweren Grundrechtseingriff, weil es sich bei den ausgewerteten Daten nicht um jene einer bestimmten Einzelperson, sondern um eine anonyme Spur handle. Zudem seien die ausgewerteten äusserlichen Merkmale «für jedermann sichtbar, wie für einen Augenzeugen». Gegen den Widerstand der geschlossenen Grünen Fraktion sowie der hälftig gespaltenen SP-Fraktion trat der Nationalrat mit 137 zu 43 Stimmen bei 6 Enthaltungen auf die Vorlage ein.
Inhaltlich befasste sich der Nationalrat zunächst mit der gesetzlichen Verankerung der Verwandtenrecherche, d.h. die Durchsuchung der DNA-Datenbank nach Personen, deren DNA-Profil grosse Ähnlichkeit zur gefundenen Spur aufweist und die daher mit der Spurenlegerin oder dem Spurenleger verwandt sein könnten. Drei linke Minderheitsanträge, die auf strengere Voraussetzungen und einen engeren Anwendungsbereich für die Verwandtenrecherche zielten, wurden von der bürgerlichen Ratsmehrheit deutlich abgelehnt. Als Zweites diskutierte die grosse Kammer mit der Phänotypisierung den eigentlichen Kern des Geschäfts. Auch hier wurden mehrere Minderheitsanträge aus den Reihen der SP und der Grünen zur Eingrenzung des Anwendungsbereichs und für strengere Voraussetzungen für den Einsatz dieser Ermittlungsmethode von der bürgerlichen Ratsmehrheit verworfen. Erfolgreich war hingegen einzig eine Minderheit Riniker (fdp, AG), die befürwortete, dass der Bundesrat in Abhängigkeit vom technischen Fortschritt künftig weitere äusserlich sichtbare Merkmale – neben den explizit genannten Merkmalen Augen-, Haar- und Hautfarbe, biogeografische Herkunft und Alter – für die Phänotypisierung zulassen kann. Die Kommissionsmehrheit hätte diese Delegationsnorm gegenüber dem bundesrätlichen Entwurf streichen wollen, sodass neue Merkmale nur über eine Gesetzesänderung hätten hinzugefügt werden können, unterlag aber mit 97 zu 88 Stimmen bei 2 Enthaltungen ebenfalls der bürgerlichen Stimmkraft. Als einzige materielle Änderung gegenüber dem Entwurf des Bundesrats nahm der Nationalrat einen Artikel ins DNA-Profil-Gesetz auf, demzufolge nach Suizid ein DNA-Profil der verstorbenen Person erstellt werden kann, das nach einem Jahr wieder gelöscht wird, sofern der Abgleich mit der DNA-Datenbank keinen Treffer hervorbringt. Bundesrätin Keller-Sutter und eine Minderheit Riniker vertraten vergebens die Ansicht, diese Norm schiesse übers Ziel hinaus. Gemäss geltender Strafprozessordnung könne nach Suizid bereits ein DNA-Profil erstellt werden, wenn Anzeichen vorliegen, dass die tote Person in ein Delikt verwickelt sein könnte, erklärte die Justizministerin. Das Ansinnen, in jedem Fall von Suizid – also auch ohne jegliche Hinweise auf eine Straftat – ein DNA-Profil zu erstellen, bezeichnete sie als eine «fishing expedition». Mit 126 zu 59 Stimmen liess sich der Nationalrat gegen den Widerstand der FDP- und der Grünen Fraktion dennoch darauf ein. Bezüglich der Löschfristen für DNA-Profile lehnte die grosse Kammer sämtliche Minderheitsanträge für eine Verlängerung oder Verkürzung ab und übernahm die Vorschläge des Bundesrats unverändert. In der Gesamtabstimmung nahm der Nationalrat die Vorlage mit 125 zu 54 Stimmen bei 12 Enthaltungen an. Die Grüne Fraktion, die sich schon gegen Eintreten ausgesprochen hatte, lehnte das Geschäft auch in der Gesamtabstimmung geschlossen ab, ebenso jene zwei Drittel der SP-Fraktion, die sich nicht der Stimme enthielten.

Nachdem der Bundesrat die DNA-Löschfristen im Rahmen der Revision des DNA-Profil-Gesetzes evaluiert und damit das Postulat der RK-NR mit ebendieser Forderung erfüllt hatte, schrieb der Nationalrat den Vorstoss im Mai 2021 ab.

In der Wintersession 2020 verabschiedeten die eidgenössischen Räte das Bundesgesetz über die Bearbeitung von Personendaten durch das EDA. Der Ständerat hatte es in der ersten Sessionswoche seiner Schwesterkammer gleichgetan und den unveränderten Entwurf einstimmig angenommen. Damit erhalte das EDA eine formell-gesetzliche Grundlage, um zur Erledigung seiner Aufgaben auch besonders schützenswerte Personendaten bearbeiten zu können, wie sie das Datenschutzgesetz – sowohl in der alten als auch in der neuen, totalrevidierten Fassung – eigentlich schon längst verlangte, so SPK-Sprecher Daniel Fässler (cvp, AI). Die Schlussabstimmungen passierte die Vorlage im Ständerat ebenfalls einstimmig und im Nationalrat mit einer Gegenstimme (Marcel Dettling; svp, SZ).

Der Vorentwurf zur Änderung des DNA-Profil-Gesetzes erzeugte in der Vernehmlassung ein überwiegend positives Echo. 43 von insgesamt 51 Stellungnehmenden äusserten ihre grundsätzliche Zustimmung zur Vorlage. Die acht ablehnenden Stellungnahmen stammten vom Kanton Genf, der Grünen Partei, den juristischen Organisationen Association des juristes progressistes, Demokratische Juristinnen und Juristen der Schweiz und dem Anwaltsverband, den Vereinen biorespect und grundrechte.ch sowie der Universität Freiburg. Sie äusserten vor allem grund- und datenschutzrechtliche Bedenken zur neuen Ermittlungsmethode der Phänotypisierung und verwiesen im Zusammenhang mit der Auswertung der biogeografischen Herkunft auf das Risiko von Racial Profiling, d.h. die Gefahr, dass Personen mit bestimmten äusserlichen Merkmalen pauschal verdächtigt würden. Demgegenüber beurteilten 17 Kantone, die stellungnehmenden Organisationen aus Strafverfolgung, Polizei und Rechtsmedizin sowie die GUMEK die vorgeschlagene Regelung als zu wenig flexibel. Mit der abschliessend formulierten Liste von Merkmalen, die bei einer Phänotypisierung ausgewertet werden dürfen (Augen-, Haar- und Hautfarbe, biogeografische Herkunft und Alter) könne dem zu erwartenden Fortschritt in der Forschung nicht Rechnung getragen werden, bedauerten sie. Diese Kritik veranlasste den Bundesrat zur einzigen grösseren Änderung gegenüber dem Vorentwurf. In der Anfang Dezember 2020 präsentierten Botschaft sah er an dieser Stelle zusätzlich zu den fünf genannten Merkmalen eine Delegationsnorm vor, die es ihm erlauben soll, dem wissenschaftlich-technischen Fortschritt entsprechend weitere äusserlich sichtbare Merkmale für die Phänotypisierung zuzulassen. Den Bedenken bezüglich Racial Profiling begegnete die Regierung in der Botschaft mit dem Argument, die Analyse im Rahmen einer Phänotypisierung erfolge ergebnisoffen; eine «Vorselektion der Ermittlungsbehörden zuungunsten einer bestimmten Population» sei daher ausgeschlossen. Fedpol-Direktorin Nicoletta della Valle ergänzte in der NZZ, die Phänotypisierung könne einer Diskriminierung sogar entgegenwirken, weil Zeuginnen und Zeugen eine Person oft als «zu gross und zu dunkel» beschrieben. Die übrigen Anpassungen betreffend die Löschregelung für DNA-Profile und die Verwandtenrecherche übernahm der Bundesrat aufgrund der positiven Rückmeldungen aus der Vernehmlassung weitestgehend unverändert in den Entwurf.

Einen Tag nach Ablauf der Referendumsfrist am 8. Oktober 2020 erklärte Bundesrat Alain Berset Medienberichten zufolge das Referendum gegen die SwissCovid-App für gescheitert. Auf der Kurznachrichten-Plattform Twitter habe sich der Gesundheitsminister erfreut gezeigt und die Wichtigkeit der App für die Unterbrechung der Infektionsketten unterstrichen. Gegenüber der Aargauer Zeitung bestätigte François de Siebenthal als Sprecher des Referendumskomitees, dass die benötigten Unterschriften nicht beisammen seien. Wie der «Corriere del Ticino» ergänzte, sei die App bis zu diesem Zeitpunkt 2.5 Millionen Mal heruntergeladen worden.

In der Herbstsession 2020 ging die Totalrevision des Datenschutzgesetzes in die dritte Runde der Differenzbereinigung. Zunächst hatte sich der Nationalrat mit den drei aus der letzten Runde verbleibenden Differenzen sowie einem Minderheitsantrag aus seiner SPK zu befassen. Die erste Differenz, welche die Definition der besonders schützenswerten Personendaten betraf, legte die grosse Kammer auf einstimmigen Antrag ihrer Kommission stillschweigend bei, indem sie sich der Definition des Ständerates anschloss. Demnach sind alle genetischen Daten, und nicht nur jene, die eine natürliche Person eindeutig identifizieren, besonders schützenswert.
Die zweite Differenz – und wie sich schon länger abgezeichnet hatte, der Hauptstreitpunkt des Geschäfts – war die Definition des Profilings. Cédric Wermuth (sp, AG) zeigte sich als Vertreter der Kommissionsminderheit enttäuscht über die Abkehr der Mehrheit vom gefunden geglaubten Kompromiss und bedauerte, dass seine links-grüne Ratsseite mit der Bereitschaft zur gemeinsamen Lösungssuche wohl «einen taktischen Fehler gemacht» habe. Die Kommissionsminderheit setzte sich für die ständerätliche Lösung ein, die einen risikobasierten Ansatz beim Profiling verfolgte und erhöhte Anforderungen für ein Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person vorsehen wollte. Ein solch hohes Risiko wäre dann gegeben, wenn eine Verknüpfung von Daten eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer Person erlauben würde. Die Mehrheit der SPK-NR war indessen auf den ersten Beschluss des Nationalrats – und damit auf den Stand vor Beginn der Kompromissfindung zwischen den Parlamentskammern – zurückgeschwenkt, obwohl der Nationalrat in seiner zweiten Beratung der Gesetzesvorlage den risikobasierten Ansatz noch unterstützt hatte. Die Kommissionsmehrheit wollte nun doch keine verschiedenen Risikostufen für das Profiling festlegen, weil die EU-DSGVO keine solche Unterscheidung vornehme und das sogenannte «Swiss Finish» die Schweizer Wirtschaft unnötig einschränke. Die Minderheit Wermuth und der Bundesrat waren jedoch der Ansicht, dass die Fassung der Kommissionsmehrheit das Schutzniveau gegenüber der heutigen Regelung für Persönlichkeitsprofile senke, weil sie gar keine besonderen Anforderungen für das Profiling mehr stelle. Das Konzept der Mehrheit definiere zwar den Begriff Profiling, sehe dann aber gar keine Rechtsfolgen, beispielsweise das Verlangen einer Einwilligung der betroffenen Person, vor; «genau die gleiche Wirkung» erzielte man, wenn man im Gesetz definierte, «was ein blauer Pavian sei», echauffierte sich Wermuth über den «absurden» Mehrheitsvorschlag. Die links-grüne Ratsseite betonte zudem noch einmal, dass sie einem Gesetz, welches das geltende Schutzniveau unterschreite, auf keinen Fall zustimmen werde; der risikobasierte Ansatz beim Profiling sei für seine Fraktion «eine Conditio sine qua non», so Wermuth. Dennoch folgte der Nationalrat mit 98 zu 88 Stimmen bei 5 Enthaltungen seiner Kommissionsmehrheit. Die Fraktionen der SP, der Grünen und der GLP hatten sich trotz vereinzelter Unterstützung aus der Mitte und der FDP nicht durchsetzen können.
Als Drittes scheiterte ein Minderheitsantrag Glättli (gp, ZH), der ein explizites Widerspruchsrecht zum Profiling im Gesetz verankern wollte, mit 105 zu 84 Stimmen bei 2 Enthaltungen. Nach Ansicht der Mehrheit, die auch der Bundesrat unterstützte, war eine solche ausdrückliche Nennung nicht nötig, weil sich ein allgemeines Widerspruchsrecht gegen die Bearbeitung der eigenen Personendaten bereits aus anderen Bestimmungen des Datenschutzgesetzes ergebe.
Die letzte Differenz betraf die Frage, wie alt die bearbeiteten Daten sein dürfen, damit eine Kreditwürdigkeitsprüfung keine widerrechtliche Persönlichkeitsverletzung darstellt. Während die Kommissionsmehrheit hier am letzten nationalrätlichen Beschluss von zehn Jahren festhalten wollte, beantragte eine Minderheit Gredig (glp, ZH), dem Ständerat zu folgen und fünf Jahre zu beschliessen. Die Minderheitsvertreterin argumentierte, dass «ein Blick fünf Jahre in die Vergangenheit eines Menschen» ausreichen sollte, um dessen Kreditwürdigkeit zu prüfen. Auch hier setzte sich aber die bürgerliche Ratsseite durch und stimmte mit 104 zu 87 Stimmen bei einer Enthaltung dem Antrag der Kommissionsmehrheit zu.

Es verblieben für die letzte Beratung im Ständerat damit die zwei Differenzen bezüglich des Profilings und der zulässigen Daten für die Kreditwürdigkeitsprüfung. Letztere räumte die kleine Kammer aus, indem sie sich stillschweigend dem Nationalrat anschloss, wie es ihre SPK einstimmig beantragt hatte. Damit dürfen für eine Kreditwürdigkeitsprüfung bis zu zehn Jahre alte Daten beigezogen werden. Der Bundesrat, der fünf Jahre vorgeschlagen hatte, könne «gut damit leben», kommentierte EJPD-Vorsteherin Karin Keller-Sutter diesen Beschluss. Beim Profiling hielt der Ständerat hingegen ebenso stillschweigend an seinem Entscheid für die risikobasierte Variante fest, womit er eine Einigungskonferenz nötig machte, bei der sich die Ständekammer gute Erfolgschancen ausrechnete. Kommissionssprecher Daniel Fässler (cvp, AI) erklärte, weshalb die nationalrätliche Variante nicht DSGVO-konform und damit kein gangbarer Weg sei: Die DSGVO verbiete grundsätzlich jede Verarbeitung personenbezogener Daten, ausser es liege die Zustimmung der betroffenen Person oder ein anderer Rechtfertigungsgrund vor. Das Schweizer Datenschutzgesetz sei umgekehrt konzipiert, indem es die Verarbeitung von Personendaten grundsätzlich zulasse, sofern keine Ausnahme vorliege. Die Verankerung von qualifizierten Rechtsfolgen bei Profiling mit hohem Risiko sei daher notwendig, um das vorgegebene Schutzniveau zu halten.

Wie erwartet entschied sich die Einigungskonferenz im letzten Streitpunkt um das Profiling für die ständerätliche Version, dergemäss für ein Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person erhöhte datenschutzrechtliche Anforderungen gelten. Der Nationalrat stimmte dem Antrag der Einigungskonferenz mit 134 zu 42 Stimmen bei einer Enthaltung zu, wobei sich nur die SVP-Fraktion grossmehrheitlich dagegen stellte. Kommissionssprecher Matthias Jauslin (fdp, AG) hatte das Ratsplenum um Zustimmung gebeten, weil die Schweiz – sowohl für ihre Bürgerinnen und Bürger als auch für die Wirtschaft – dringend ein modernes und von der EU in seiner Gleichwertigkeit anerkanntes Datenschutzgesetz brauche. Der Ständerat nahm den Antrag der Einigungskonferenz einstimmig an. In den Schlussabstimmungen zeigte sich dasselbe Stimmmuster: Der Nationalrat stimmte mit 141 zu 54 Stimmen (alle SVP) bei einer Enthaltung für das totalrevidierte Datenschutzgesetz, während es der Ständerat einstimmig annahm. Damit kamen die parlamentarischen Beratungen des Datenschutzgesetzes nach über drei Jahren mit zum Teil emotional ausgetragenen Meinungsverschiedenheiten doch noch zu einem mehrheitlich versöhnlichen Abschluss.

Nach geltendem Recht muss die Person, die eine Ordnungsbusse verhängt, auf der Quittung oder dem Bedenkfristformular ihren Vor- und Nachnamen angeben. Um die Polizistinnen und Polizisten, die Ordnungsbussen verhängen, besser zu schützen, sollen sie neu nur noch ihre Matrikelnummer angeben müssen. Der Nationalrat folgte in der Herbstsession 2020 diskussionslos dem Antrag des Bundesrates und nahm eine entsprechende Motion Addor (svp, VS) stillschweigend an.

Einstimmig und unverändert nahm der Nationalrat in der Herbstsession das totalrevidierte Bundesgesetz über die Bearbeitung von Personendaten durch das EDA an. Das Gesetz enthalte keine neuen Datenbearbeitungen oder neue Kompetenzen für das EDA, hielt Kommissionssprecher Gerhard Pfister (cvp, ZG) im Ratsplenum fest. Der Entwurf bilde aber im Hinblick auf die neuen technologischen Möglichkeiten und Herausforderungen im Bereich der Datenbearbeitung einen klareren Rechtsrahmen als bisher und nehme einige Tätigkeiten des EDA, die bis anhin in einer Verordnung geregelt waren, ins formelle Gesetz auf. Bundesrat Ignazio Cassis betonte, in einer Demokratie sei es wichtig, dass sich das Regierungshandeln auf klare und transparente Rechtsgrundlagen abstütze. Das neue Gesetz, das mit der laufenden Totalrevision des Datenschutzgesetzes vereinbar sei, verbessere die Vorhersehbarkeit der Datenverarbeitung für aussenpolitische Zwecke und verleihe ihr die demokratische Legitimität und parlamentarische Kontrolle, die sie verdiene.

Anlässlich der Freischaltung der SwissCovid-App um Mitternacht des 25. Juni 2020 brachten die Medien der Bevölkerung die genaue Funktionsweise sowie die Vor- und Nachteile der SwissCovid-App näher. Am ersten Tag wurde die App gemäss Presseberichten bereits eine halbe Million Mal aktiviert. Eine gute Woche später war diese Zahl auf rund eine Million gestiegen. Damit sei das Interesse an der App aber deutlich geringer als erwartet beziehungsweise sei die anfängliche Euphorie allzu schnell verflogen, so das allgemeine Urteil. Verschiedene Experten stellten übereinstimmend fest, dass das Vertrauen in die App und die Bereitschaft zur Installation wohl doch geringer seien als gedacht. Es sei nun an den Behörden, besser zu kommunizieren, um diesen Widerstand in der Bevölkerung doch noch zu überwinden.
Drei Wochen nach dem Start fiel die Bilanz der SwissCovid-App eher nüchtern aus und die NZZ fragte rhetorisch: «Geht der SwissCovid-App die Luft aus?» Sie verwies auf die bereits wieder rückläufige Anzahl aktiver Apps, die ihrerseits jedoch nach wie vor steigenden und inzwischen rund 1.8 Mio. zählenden Downloads gegenüberstanden. Das BAG führte diese Diskrepanz auf Probleme bei der Messung der aktiven Apps zurück und versprach künftig genauere Zahlen. Ausserdem kündigte das Bundesamt eine weitere, gross angelegte Werbekampagne für die App an.
Der Nutzen der App wurde in der öffentlichen Debatte folglich aber nicht nur durch die geringen Nutzerzahlen, sondern auch durch die mangelhafte Arbeit der involvierten Behördenstellen relativiert. Wie die NZZ berichtete, erhielten positiv getestete Personen den Covidcode zum Teil erst mit erheblicher zeitlicher Verzögerung, sodass die Kontaktpersonen viel zu spät gewarnt würden. Ausserdem funktioniere die Zusammenarbeit zwischen der Hotline des Bundes, an die sich App-Nutzer im Falle einer Benachrichtigung über eine mögliche Ansteckung wenden sollten, und den Contact-Tracing-Stellen der Kantone beziehungsweise den kantonsärztlichen Diensten alles andere als reibungslos. Dadurch erhielten die von der App gewarnten Personen keine offizielle Quarantäneanordnung und damit keinen Erwerbsersatzanspruch, wie es der Bundesrat im Erläuterungsbericht zur Proximity-Tracing-System-Verordnung vorgesehen hatte. Gerade deshalb blieben viele der potenziell Infizierten nicht zu Hause und gefährdeten so Andere, kritisierte der Geschäftsführer der BAG-Hotline-Betreiberin Andy Fischer.
Unterdessen lancierte ein Bürgerkomitee in der Westschweiz ein Referendum gegen die vom Parlament beschlossene dringliche Änderung des Epidemiengesetzes, die als gesetzliche Grundlage für die SwissCovid-App dient. Das Komitee bemängelte, dass keine richtige demokratische Debatte über die Risiken der Tracing-Technologie geführt worden sei, und befürchtete deren Missbrauch zur staatlichen Kontrolle sowie sozialen Druck zu deren Nutzung. Die Konzerne Apple und Google, die die entscheidende Bluetooth-Schnittstelle zur Verfügung stellten, seien nicht gerade für ihren Datenschutz berühmt und die Bluetooth-Technologie sei zu ungenau, sodass viele unnötige Quarantänen verfügt würden, was der Wirtschaft schade, zitierte die Presse aus der Argumentation. Aus dem Kreis der eidgenössischen Parlamentarierinnen und Parlamentarier gehörte dem Komitee der Walliser SVP-Nationalrat Jean-Luc Addor an. Bis am 8. Oktober hat das Komitee Zeit, die notwendigen 50'000 Unterschriften zu sammeln. Das dringliche Gesetz würde bei einem zustande gekommenen Referendum jedoch erst nach der Ablehnung in der Volksabstimmung oder ein Jahr nach Inkrafttreten, falls die Abstimmung nicht vorher stattfindet, ausser Kraft gesetzt.

Der Streit um die datenschutzrechtlichen Anforderungen für das Profiling wird sich auch über die dritte Runde der Differenzbereinigung beim totalrevidierten Datenschutzgesetz hinziehen, wie sich nach der Sitzung der SPK-NR im Juli 2020 abzeichnete. Mit 13 zu 12 Stimmen beschloss die Kommission, ihrem Rat die Rückkehr zur ursprünglichen Lösung des Nationalrates zu beantragen und kehrte sich damit wieder von der jüngsten Einigung der beiden Kammern auf einen risikobasierten Ansatz ab. Nach dem Willen der knappen Kommissionsmehrheit soll demnach auf jegliche besondere Voraussetzungen – etwa auf die ausdrückliche Einwilligung der betroffenen Person – für Profiling verzichtet werden, und zwar ungeachtet des Risikos, das dieses für die Persönlichkeit oder die Grundrechte der betroffenen Person darstellt. Die risikobasierte Unterscheidung verschiedener Arten von Profiling sei ein «Swiss Finish» und gefährde die Schweizer Wirtschaft, so die Argumentation. Die starke Minderheit zeigte sich hingegen mit dem Kompromissvorschlag des Ständerats zufrieden, da er das heutige Datenschutzniveau garantiere und Rechtssicherheit schaffe. Auch die Differenz in der Frage, welche Daten für die Kreditwürdigkeitsprüfung verwendet werden dürfen, wollte die Kommissionsmehrheit mit 15 zu 10 Stimmen aufrechterhalten, indem sie an der zehnjährigen Frist festhielt, während die Minderheit hier ebenso beantragte, sich dem Ständerat, der fünf Jahre beschlossen hatte, anzuschliessen.

Mit der Verabschiedung der Verordnung über das Proximity-Tracing-System gab der Bundesrat am 24. Juni 2020 den offiziellen Startschuss für die Inbetriebnahme der SwissCovid-App. Der öffentliche Sicherheitstest habe bislang keine kritischen oder systemrelevanten Probleme offengelegt, das NCSC nehme aber weiterhin Meldungen entgegen, um den Datenschutz und die Sicherheit der App fortwährend zu gewährleisten, erklärte die Regierung in der entsprechenden Medienmitteilung. Sie gab darin auch eine allgemeine Empfehlung zur Nutzung der App ab und betonte abermals, dass sowohl die Nutzung der App an sich als auch die Eingabe des sogenannten Covidcodes nach Erhalt eines positiven Testergebnisses freiwillig seien. Gleichzeitig stellte der Bundesrat klar, dass Personen, welche sich aufgrund einer Kontaktmeldung durch die SwissCovid-App freiwillig, d.h. ohne Anordnung einer Behörde oder eines Arztes bzw. einer Ärztin, in Quarantäne begäben, keinen Anspruch auf Erwerbsersatz hätten. Im erläuternden Bericht zur Verordnung begründete er diesen Entscheid damit, dass einer von der App gewarnten Person empfohlen werde, den zuständigen kantonalen Dienst zu kontaktieren, der dann auf Basis eines Gesprächs über die Anordnung einer Quarantäne entscheide. Die blosse App-Benachrichtigung solle dagegen zu keinem Anspruch auf Entschädigung führen.

Ebenfalls noch im Mai 2020 verabschiedete der Bundesrat die Botschaft zur dringlichen Änderung des Epidemiengesetzes betreffend das Proximity-Tracing-System, mit der die Rechtsgrundlage für die Corona-Warn-App geschaffen werden soll. Eine solche hatten die eidgenössichen Räte mit der Annahme zweier Motionen der Staatspolitischen Kommissionen (Mo. 20.3144 und 20.3168) ausdrücklich verlangt. Zweck der SwissCovid-App ist es, das herkömmliche Contact-Tracing der Kantone zu ergänzen. Die Nutzung der App soll ausdrücklich freiwillig sein und aus der Teilnahme oder Nicht-Teilnahme dürften keine Vor- oder Nachteile erwachsen, versicherte der Bundesrat in der entsprechenden Medienmitteilung. Der Datenschutz werde gewahrt, indem die Daten dezentral gespeichert würden und das System keine Standortdaten erfasse. Zudem seien die technischen Details und der Quellcode der App öffentlich zugänglich. Überdies verpflichtete sich der Bundesrat dazu, die App ausser Betrieb zu nehmen, sobald sie für die Bekämpfung des Coronavirus nicht mehr erforderlich ist.
Die SGK-SR, die sich als erste mit der Vorlage auseinandersetzte, nahm die Botschaft positiv auf und zeigte sich erfreut, dass der Bundesrat die Forderungen des Parlaments bezüglich Freiwilligkeit, dezentraler Datenspeicherung, Open Source und Diskriminierungsverbot aufgenommen habe. Sie beantragte ihrem Rat zwei Änderungen am Entwurf: Erstens müsse sichergestellt sein, dass die App nachweislich aus dem veröffentlichen Quellcode erstellt worden sei. Zweitens wollte sie die Ausserbetriebnahme der App nicht nur bei nicht mehr gegebener Notwendigkeit, sondern auch bei erwiesener ungenügender Wirksamkeit vorsehen. Die SGK-NR hiess den Entwurf mit den Änderungen ihrer Schwesterkommission ebenfalls gut und beantragte zusätzlich, dass der Corona-Test für Personen, die von der App über eine mögliche Ansteckung benachrichtigt worden sind, kostenlos sein müsse. Die beiden Kommissionen ersuchten den Bundesrat ausserdem in einem Schreiben, eine Erwerbsausfallentschädigung für Personen zu prüfen, die sich aufgrund einer Benachrichtigung der App freiwillig in Quarantäne begeben. Damit soll ein Anreiz für die breite Nutzung der App geschaffen werden.
Ständerat Damian Müller (fdp, LU) übernahm den Antrag der SGK-NR auf kostenlose Tests und brachte ihn in der Sommersession in der Kantonskammer als Einzelantrag ein, wo er auch mit grosser Mehrheit angenommen wurde. Der Ständerat hoffte, durch diese Vorwegnahme der einzigen inhaltlichen Differenz zwischen den Kommissionen die Beratung des dringlichen Geschäfts zu beschleunigen. In den anderen Punkten stimmte die kleine Kammer stillschweigend den Anträgen ihrer Kommission zu und nahm die Vorlage in der Gesamtabstimmung mit 43 zu 1 Stimmen bei einer Enthaltung an. Anschliessend schrieb sie die Motionen 20.3144 und 20.3168, mit denen die Staatspolitischen Kommissionen beider Räte das nun vorliegende Gesetz verlangt hatten, stillschweigend ab.
Nationalrat Thomas de Courten (svp, BL) äusserte in der grossen Kammer indes Zweifel, ob man «diese Gesetzesgrundlage für ein Informationssystem, staatlich betrieben zur Überwachung der Bürgerinnen und Bürger, einfach so durchwinken» solle, und beantragte Nichteintreten, fand dafür jedoch ausserhalb seiner Fraktion keine Unterstützung. Die Volkskammer trat mit 164 zu 26 Stimmen bei 6 Enthaltungen auf das Geschäft ein und lehnte daraufhin alle von der Kommissionsmehrheit abweichenden Anträge ab. Es handelte sich dabei um diverse Einzelanträge sowohl für eine Verschärfung – wodurch gemäss Mehrheitsmeinung jedoch die Funktionalität der App beeinträchtigt würde – als auch für eine Lockerung des Datenschutzes – zur Vereinfachung der Interoperabilität mit anderen Anwendungen und der wissenschaftlichen Nutzung der Daten – sowie um einen Minderheitsantrag Wasserfallen (sp, BE) zur Garantie von Erwerbsersatz während der freiwilligen Quarantäne, den die Ratsmehrheit aber als nicht ausgereift ansah; der Bundesrat sei aufgefordert, hier eine Regelung zu treffen. In der Gesamtabstimmung stimmte der Nationalrat der somit bereinigten Vorlage mit 156 zu 22 Stimmen bei 13 Enthaltungen zu, wobei sich die Fraktionen der SVP und der Grünen grossteils skeptisch zeigten, und schrieb die beiden Kommissionsmotionen für eine gesetzliche Grundlage für die Corona-Warn-App stillschweigend ab.
Ebenfalls noch in derselben Session nahmen beide Räte die Dringlichkeitsklausel an und verabschiedeten die dringliche Gesetzesänderung sodann mit 154 zu 23 Stimmen bei 18 Enthaltungen im Nationalrat und mit 42 zu 1 Stimmen bei 2 Enthaltungen im Ständerat.

In den Medien wurde die parlamentarische durch eine lebhafte gesellschaftliche Debatte über Sinn und Unsinn beziehungsweise Chancen und Gefahren von Corona-Warn-Apps im Allgemeinen sowie der SwissCovid-App im Speziellen begleitet. Ein Teil der Bevölkerung konnte die offizielle Lancierung der SwissCovid-App, die nach der Genehmigung der Gesetzesgrundlage durch das Parlament erfolgen sollte, kaum erwarten. Wie «Le Temps» Anfang Juni berichtete, verzeichnete die App zu diesem Zeitpunkt schon rund 50'000 Downloads, obwohl sie sich noch in der Testphase befand und für die Öffentlichkeit noch gar nicht freigegeben war. Auch zeigten sich nicht alle Parlamentarierinnen und Parlamentarier über ihr Mitspracherecht bei der Rechtsgrundlage für die App erfreut, vielmehr gehe durch die parlamentarische Beratung wertvolle Zeit verloren, liess sich etwa GLP-Nationalrat Martin Bäumle (glp, ZH) im «Blick» zitieren. Einwände gegen die App betrafen vor allem den Datenschutz und im Spezifischen die Rolle der US-amerikanischen Tech-Konzerne Amazon, Apple und Google bei deren Entwicklung und Betrieb. Während Amazon das sogenannte Content Delivery Network zur Verteilung der anonymen Codes an alle teilnehmenden Smartphones bereitstellt, hatten Apple und Google eigens eine spezielle Bluetooth-Schnittstelle entwickelt, die von der App für das Proximity-Tracing genutzt wird. Dabei schwang aber auch ein wenig Stolz mit, dass das Entwicklerteam der EPFL es geschafft hatte, die Tech-Riesen Apple und Google von ihrer Anwendung zu überzeugen und so den Stein für die gemeinsame Bluetooth-Schnittstelle ins Rollen zu bringen. Gleichzeitig erhielt die Schweizer App – nicht zuletzt im internationalen Vergleich – Lob für ihre vorbildliche, datensparsame und sichere Struktur. Die Datensicherheit wurde, wie die NZZ berichtete, auch von zwei Cybersicherheitsstellen des Bundes, dem Computer Security Incident Response Team am BIT sowie dem Swiss Government Computer Emergency Response Team, bestätigt. Dieselbe Zeitung resümierte jedoch, dass die «höchste Hürde» der SwissCovid-App noch bevorstehe, indem sie in der Bevölkerung tatsächlich Fuss fassen müsse.

In der Sommersession 2020 setzte der Ständerat die Differenzbereinigung bei der Totalrevision des Datenschutzgesetzes fort. In zwei Punkten, die das Auskunftsrecht der von einer Datenbearbeitung betroffenen Person und die Informationspflicht der datenbearbeitenden Stelle betrafen, fügte sich die kleine Kammer stillschweigend und diskussionslos den Beschlüssen des Nationalrates. So muss die betroffene Person nicht zwingend über die Liste ihrer Rechte und die allfällige Absicht, eine Kreditwürdigkeitsprüfung vorzunehmen, informiert werden. Eine angeforderte Auskunft muss zudem «die bearbeiteten Personendaten als solche» beinhalten, wobei die SPK-SR zum Schluss gekommen war, dass die vom Nationalrat eingefügte Ergänzung «als solche» nichts nütze, aber auch nichts schade, wie deren Berichterstatter Daniel Fässler (cvp, AI) vor dem Plenum erläuterte. Stillschweigend hielt der Ständerat hingegen an seinem Entscheid fest, dass alle genetischen Daten als besonders schützenswerte Personendaten gelten sollen, da die einschränkende Definition des Nationalrates gemäss dem Kommissionssprecher wohl nicht EU-konform wäre.
Für eine kurze Debatte sorgte die Frage, welche Daten für eine an sich persönlichkeitsverletzende Kreditwürdigkeitsprüfung verwendet werden dürfen. Eine Minderheit Müller (fdp, LU) schlug vor, den Einbezug von bis zu zehn Jahre alten Daten zu erlauben – dies hatte der Nationalrat so entschieden –, wobei aber Daten aus öffentlich zugänglichen staatlichen Registern von dieser Beschränkung ausdrücklich auszunehmen seien. Mit einer kurzen und starren Frist würden die Interessen der Gläubiger zu wenig berücksichtigt, begründete Damian Müller den Antrag. Der Rat folgte mit 25 zu 17 Stimmen jedoch seiner Kommissionsmehrheit und hielt an seinem letzten Beschluss fest, wonach die verwendeten Daten nicht älter als fünf Jahre sein dürfen, wie es auch der Bundesrat ursprünglich vorgesehen hatte. Kommissionssprecher Fässler argumentierte, dass ältere Daten mitunter ungenau seien und daher nicht als Rechtfertigungsgrund für eine Persönlichkeitsverletzung zugelassen werden sollten.
Gerungen wurde in der Ständekammer indes immer noch um die Definition von «Profiling mit hohem Risiko», nachdem der Nationalrat dem risikobasierten Ansatz zur Regulierung des Profilings zugestimmt, sich aber mit der Abgrenzung der Risikostufen nicht zufrieden gezeigt hatte. Die Kommission schlug ihrem Rat einstimmig eine neue Formulierung vor, die sich am heute geltenden Konzept des Persönlichkeitsprofils orientierte und die die Idee der grossen Kammer aufnahm, das Risiko am Ergebnis der Datenbearbeitung anstatt am Prozess festzumachen. Mit einem Einzelantrag wollte Ständerat Ruedi Noser (fdp, ZH) der Formulierung des Nationalrats den Vorzug geben, weil der Vorschlag der ständerätlichen SPK das Profiling faktisch verbiete und den unklaren und veralteten Begriff «wesentliche Aspekte der Persönlichkeit» verwende. Kommissionssprecher Fässler und Bundesrätin Karin Keller-Sutter widersprachen dieser Darstellung jedoch: Profiling mit hohem Risiko werde nicht verboten, sondern lediglich höheren Anforderungen unterworfen, der kritisierte Begriff sei im geltenden Recht bereits etabliert und der Vorschlag Noser käme einer Nicht-Regulierung des Profilings gleich, wie sie wohl kaum mit dem EU-Datenschutzniveau vereinbar wäre. Zudem hätten der von Noser gewünschten Lösung im Nationalrat nur 65 Mitglieder zugestimmt, während 57 sie abgelehnt und sich 65 der Stimme enthalten hatten, weshalb darin kaum der endgültige Wille der grossen Kammer zum Ausdruck gekommen sei. Der Ständerat folgte mit 39 zu 5 Stimmen (1 Enthaltung) klar seiner Kommission und schrieb die neue Formulierung ins Gesetz, wonach Profiling dann mit hohem Risiko verbunden ist, wenn es «die Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt». Damit wird das heutige Schutzniveau bei der automatisierten Datenbearbeitung gehalten, aber weder erhöht, wie es im Sinne der Ständeratsmehrheit und der linken Seite des Nationalrats gewesen wäre, noch gesenkt, was dem bürgerlichen Ansinnen entsprochen hätte. Mit noch drei inhaltlichen Differenzen ging die Vorlage wieder an den Nationalrat.

Zum Start der Pilotphase der Proximity-Tracing-App des Bundes Ende Mai 2020 veröffentlichte der Bundesrat die Ergebnisse einer Bevölkerungsumfrage, die das BAG Ende April in Auftrag gegeben hatte, um die Einstellung der Schweizer Bevölkerung zur Corona-App zu erfahren. Demnach begrüssten 70 Prozent der Bevölkerung die Einführung der App und 59 Prozent erklärten sich klar oder eher dazu bereit, sie zu installieren. Eine Mehrheit der Befragten stellte sich aber klar gegen eine Installationspflicht, insbesondere gegen einen punktuellen App-Zwang zum Beispiel durch Arbeitgeber oder als Bedingung für den Zugang zu bestimmten Angeboten und Dienstleistungen. Als für die Installationsbereitschaft entscheidende Faktoren identifizierte die Studie das konkret vorhandene Wissen über die Funktionalitäten der App und das Vertrauen in den Bundesrat. In Widerstand gegen die App resultierten dahingegen konkrete Datenschutzbedenken sowie die allgemeine Befürchtung, dass im Zuge der Corona-Pandemie der Persönlichkeitsschutz dauerhaft eingeschränkt werden könnte. Besonders skeptisch zeigten sich jene Personen, die trotz Corona-Einschränkungen viele ausserhäusliche Kontakte pflegten und die sich vor einer Einschränkung ihrer Bewegungsfreiheit und einer zwangsweise durchgesetzten Quarantäne fürchteten. Die Autoren kamen zum Schluss, «dass die Faktoren Eigenverantwortung, Vertrauen und freiwillige Solidarität die Basis bilden für eine weite Verbreitung einer Proximity-Tracing-App in der Schweiz». Um möglichst viele Menschen dazu zu bewegen, die App zu installieren, plane das BAG, sobald das Parlament grünes Licht für die App gegeben haben wird, eine entsprechende Informationskampagne zu starten, berichtete «Le Temps».

Mitte Mai 2020 verabschiedete der Bundesrat die bis Ende Juni befristete «Verordnung über den Pilotversuch mit dem ‹Swiss Proximity-Tracing-System› zur Benachrichtigung von Personen, die potenziell dem Coronavirus (Covid-19) ausgesetzt waren». Darin werden gestützt auf das Datenschutzgesetz die Organisation, der Betrieb, die bearbeiteten Daten und die Nutzung der Proximity-Tracing-App für die Dauer der Pilotphase geregelt. Die App werde zunächst versuchsweise Mitarbeiterinnen und Mitarbeitern der ETHZ und der EPFL, Armeeangehörigen, Mitarbeitenden von Spitälern, der eidgenössischen und kantonalen Verwaltungen sowie weiteren ausgesuchten Organisationen zur Verfügung gestellt, damit diese allfällige technische Mängel und Probleme in der Benutzbarkeit aufdecken können, wie der Bundesrat per Medienmitteilung bekannt gab. Die Pilotphase startete schliesslich am 25. Mai. Spätestens Ende Juni soll sie beendet und die «SwissCovid»-App für die Bevölkerung freigegeben werden.
Zweck der App ist es, das klassische Contact Tracing der kantonalen Behörden zu ergänzen. Sie sei technisch nicht in der Lage, Standortdaten aufzuzeichnen, führte der Bundesrat aus, sondern tausche lediglich anonyme Codes mit anderen Smartphones in der Nähe aus. So könnten keine Personendaten rückverfolgt und die Privatsphäre bestmöglich geschützt werden. Diese Einschätzung teilte auch der EDÖB Adrian Lobsiger. Was er bisher vom Projekt gesehen habe, gebe keinen Anlass zu datenschutzrechtlichen Bedenken, sagte er in einem Interview mit «Le Temps». Das Entwicklerteam habe alles getan, um die Anonymität und die Privatsphäre der App-Nutzerinnen und -Nutzer zu gewährleisten, wobei er insbesondere die dezentrale Datenspeicherung und die freiwillige Nutzung der App lobend hervorhob. Er werde allerdings «sehr wachsam» sein, dass kein Druck zur App-Nutzung auf Arbeitnehmende oder Kundinnen und Kunden von Geschäften ausgeübt werde, fügte Lobsiger an.
Zusätzlich zur Funktionalitätstestphase kündigte der Bundesrat einen öffentlichen Sicherheitstest des Systems an. Zu diesem Zweck wurden alle Quellcodes der SwissCovid-App öffentlich zugänglich gemacht, sodass Fachleute und interessierte Personen das System auf Sicherheitslücken prüfen können. Die Ergebnisse werden vom Nationalen Zentrum für Cybersicherheit (NCSC) öffentlich einsehbar gesammelt, bewertet und gegebenenfalls zum Anlass für Anpassungen an der App genommen. Der Sicherheitstest sollte am 28. Mai starten und so lange dauern, bis ihn das NCSC für beendet erklärt.

Im Frühjahr 2020 befassten sich auch die Staatspolitischen Kommissionen der eidgenössischen Räte mit den Massnahmen zur Bekämpfung der Corona-Pandemie. Nach Anhörungen des EDÖB und des BAG sprachen sich beide Kommissionen grundsätzlich für die Einführung einer Corona-Warn-App durch den Bund aus, forderten aber gleichzeitig, dass dies in einem transparenten politischen Verfahren, d.h. basierend auf einer soliden Rechtsgrundlage geschehen müsse. Sie reichten deshalb Ende April zwei gleichlautende Kommissionsmotionen ein (SPK-NR: Mo. 20.3144; SPK-SR: Mo. 20.3168), mit denen sie den Bundesrat aufforderten, die gesetzlichen Grundlagen zur Einführung einer solchen App zu schaffen. Gleichzeitig hielten sie fest, dass nur technische Lösungen ohne zentrale Speicherung von personenbezogenen Daten zulässig sein sollen und dass das Verwenden der App freiwillig sein müsse. Weil das sogenannte Proximity Tracing – je nach konkreter Ausgestaltung – grundsätzlich die Gefahr schwerer Grundrechtseingriffe berge, dürfe die gesetzliche Grundlage dafür nicht bloss in einer Notverordnung des Bundesrates angesiedelt, sondern müsse dem Parlament vorgelegt werden, begründeten die Kommissionen ihre Vorstösse.
Der Bundesrat beantragte die Motionen zur Ablehnung, da einerseits die Anforderungen an die Anonymität und die Dezentralität in der Systemarchitektur der Schweizer App angelegt und damit sichergestellt seien. Andererseits falle die Einführung der freiwilligen App in die epidemienrechtlichen Befugnisse des Bundesrats, sodass dazu weder ein Gesetz noch eine Notverordnung vonnöten sei. Nachdem sich in den Plenardebatten beider Kammern in der ausserordentlichen Maisession herausgestellt hatte, dass der Bundesrat und die Kommissionen im Grunde genommen dieselben Ziele verfolgten, ging es im Wesentlichen darum, ob die App durch einen Parlamentsentscheid zusätzlich legitimiert werden sollte. Bundesrat Alain Berset erläuterte vor beiden Räten, dass die App zunächst ab Mitte Mai in eine mehrwöchige Pilotphase gehe, bevor sie der breiten Bevölkerung zur Verfügung gestellt werde. Im Falle der Annahme der Motionen würde der Bundesrat dem Parlament bis zur Sommersession ein dringliches Bundesgesetz als Grundlage für die Einführung der App vorlegen. Die Pilotphase würde aber in jedem Fall wie geplant durchgeführt, um das Projekt nicht auszubremsen. Im Anschluss an die Annahme des dringlichen Gesetzes durch das Parlament würde die App dann der Öffentlichkeit zugänglich gemacht werden. Dieses Vorgehen wurde schliesslich vom Ständerat mit 32 zu 10 Stimmen und vom Nationalrat mit 127 zu 55 Stimmen bei 11 Enthaltungen gutgeheissen, indem die Räte jeweils die von ihrer SPK eingereichte Motion annahmen.