In der Wintersession 2020 verabschiedeten die eidgenössischen Räte das Bundesgesetz über die Bearbeitung von Personendaten durch das EDA. Der Ständerat hatte es in der ersten Sessionswoche seiner Schwesterkammer gleichgetan und den unveränderten Entwurf einstimmig angenommen. Damit erhalte das EDA eine formell-gesetzliche Grundlage, um zur Erledigung seiner Aufgaben auch besonders schützenswerte Personendaten bearbeiten zu können, wie sie das Datenschutzgesetz – sowohl in der alten als auch in der neuen, totalrevidierten Fassung – eigentlich schon längst verlangte, so SPK-Sprecher Daniel Fässler (cvp, AI). Die Schlussabstimmungen passierte die Vorlage im Ständerat ebenfalls einstimmig und im Nationalrat mit einer Gegenstimme (Marcel Dettling; svp, SZ).

Der Vorentwurf zur Änderung des DNA-Profil-Gesetzes erzeugte in der Vernehmlassung ein überwiegend positives Echo. 43 von insgesamt 51 Stellungnehmenden äusserten ihre grundsätzliche Zustimmung zur Vorlage. Die acht ablehnenden Stellungnahmen stammten vom Kanton Genf, der Grünen Partei, den juristischen Organisationen Association des juristes progressistes, Demokratische Juristinnen und Juristen der Schweiz und dem Anwaltsverband, den Vereinen biorespect und grundrechte.ch sowie der Universität Freiburg. Sie äusserten vor allem grund- und datenschutzrechtliche Bedenken zur neuen Ermittlungsmethode der Phänotypisierung und verwiesen im Zusammenhang mit der Auswertung der biogeografischen Herkunft auf das Risiko von Racial Profiling, d.h. die Gefahr, dass Personen mit bestimmten äusserlichen Merkmalen pauschal verdächtigt würden. Demgegenüber beurteilten 17 Kantone, die stellungnehmenden Organisationen aus Strafverfolgung, Polizei und Rechtsmedizin sowie die GUMEK die vorgeschlagene Regelung als zu wenig flexibel. Mit der abschliessend formulierten Liste von Merkmalen, die bei einer Phänotypisierung ausgewertet werden dürfen (Augen-, Haar- und Hautfarbe, biogeografische Herkunft und Alter) könne dem zu erwartenden Fortschritt in der Forschung nicht Rechnung getragen werden, bedauerten sie. Diese Kritik veranlasste den Bundesrat zur einzigen grösseren Änderung gegenüber dem Vorentwurf. In der Anfang Dezember 2020 präsentierten Botschaft sah er an dieser Stelle zusätzlich zu den fünf genannten Merkmalen eine Delegationsnorm vor, die es ihm erlauben soll, dem wissenschaftlich-technischen Fortschritt entsprechend weitere äusserlich sichtbare Merkmale für die Phänotypisierung zuzulassen. Den Bedenken bezüglich Racial Profiling begegnete die Regierung in der Botschaft mit dem Argument, die Analyse im Rahmen einer Phänotypisierung erfolge ergebnisoffen; eine «Vorselektion der Ermittlungsbehörden zuungunsten einer bestimmten Population» sei daher ausgeschlossen. Fedpol-Direktorin Nicoletta della Valle ergänzte in der NZZ, die Phänotypisierung könne einer Diskriminierung sogar entgegenwirken, weil Zeuginnen und Zeugen eine Person oft als «zu gross und zu dunkel» beschrieben. Die übrigen Anpassungen betreffend die Löschregelung für DNA-Profile und die Verwandtenrecherche übernahm der Bundesrat aufgrund der positiven Rückmeldungen aus der Vernehmlassung weitestgehend unverändert in den Entwurf.

In der Herbstsession 2020 ging die Totalrevision des Datenschutzgesetzes in die dritte Runde der Differenzbereinigung. Zunächst hatte sich der Nationalrat mit den drei aus der letzten Runde verbleibenden Differenzen sowie einem Minderheitsantrag aus seiner SPK zu befassen. Die erste Differenz, welche die Definition der besonders schützenswerten Personendaten betraf, legte die grosse Kammer auf einstimmigen Antrag ihrer Kommission stillschweigend bei, indem sie sich der Definition des Ständerates anschloss. Demnach sind alle genetischen Daten, und nicht nur jene, die eine natürliche Person eindeutig identifizieren, besonders schützenswert.
Die zweite Differenz – und wie sich schon länger abgezeichnet hatte, der Hauptstreitpunkt des Geschäfts – war die Definition des Profilings. Cédric Wermuth (sp, AG) zeigte sich als Vertreter der Kommissionsminderheit enttäuscht über die Abkehr der Mehrheit vom gefunden geglaubten Kompromiss und bedauerte, dass seine links-grüne Ratsseite mit der Bereitschaft zur gemeinsamen Lösungssuche wohl «einen taktischen Fehler gemacht» habe. Die Kommissionsminderheit setzte sich für die ständerätliche Lösung ein, die einen risikobasierten Ansatz beim Profiling verfolgte und erhöhte Anforderungen für ein Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person vorsehen wollte. Ein solch hohes Risiko wäre dann gegeben, wenn eine Verknüpfung von Daten eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer Person erlauben würde. Die Mehrheit der SPK-NR war indessen auf den ersten Beschluss des Nationalrats – und damit auf den Stand vor Beginn der Kompromissfindung zwischen den Parlamentskammern – zurückgeschwenkt, obwohl der Nationalrat in seiner zweiten Beratung der Gesetzesvorlage den risikobasierten Ansatz noch unterstützt hatte. Die Kommissionsmehrheit wollte nun doch keine verschiedenen Risikostufen für das Profiling festlegen, weil die EU-DSGVO keine solche Unterscheidung vornehme und das sogenannte «Swiss Finish» die Schweizer Wirtschaft unnötig einschränke. Die Minderheit Wermuth und der Bundesrat waren jedoch der Ansicht, dass die Fassung der Kommissionsmehrheit das Schutzniveau gegenüber der heutigen Regelung für Persönlichkeitsprofile senke, weil sie gar keine besonderen Anforderungen für das Profiling mehr stelle. Das Konzept der Mehrheit definiere zwar den Begriff Profiling, sehe dann aber gar keine Rechtsfolgen, beispielsweise das Verlangen einer Einwilligung der betroffenen Person, vor; «genau die gleiche Wirkung» erzielte man, wenn man im Gesetz definierte, «was ein blauer Pavian sei», echauffierte sich Wermuth über den «absurden» Mehrheitsvorschlag. Die links-grüne Ratsseite betonte zudem noch einmal, dass sie einem Gesetz, welches das geltende Schutzniveau unterschreite, auf keinen Fall zustimmen werde; der risikobasierte Ansatz beim Profiling sei für seine Fraktion «eine Conditio sine qua non», so Wermuth. Dennoch folgte der Nationalrat mit 98 zu 88 Stimmen bei 5 Enthaltungen seiner Kommissionsmehrheit. Die Fraktionen der SP, der Grünen und der GLP hatten sich trotz vereinzelter Unterstützung aus der Mitte und der FDP nicht durchsetzen können.
Als Drittes scheiterte ein Minderheitsantrag Glättli (gp, ZH), der ein explizites Widerspruchsrecht zum Profiling im Gesetz verankern wollte, mit 105 zu 84 Stimmen bei 2 Enthaltungen. Nach Ansicht der Mehrheit, die auch der Bundesrat unterstützte, war eine solche ausdrückliche Nennung nicht nötig, weil sich ein allgemeines Widerspruchsrecht gegen die Bearbeitung der eigenen Personendaten bereits aus anderen Bestimmungen des Datenschutzgesetzes ergebe.
Die letzte Differenz betraf die Frage, wie alt die bearbeiteten Daten sein dürfen, damit eine Kreditwürdigkeitsprüfung keine widerrechtliche Persönlichkeitsverletzung darstellt. Während die Kommissionsmehrheit hier am letzten nationalrätlichen Beschluss von zehn Jahren festhalten wollte, beantragte eine Minderheit Gredig (glp, ZH), dem Ständerat zu folgen und fünf Jahre zu beschliessen. Die Minderheitsvertreterin argumentierte, dass «ein Blick fünf Jahre in die Vergangenheit eines Menschen» ausreichen sollte, um dessen Kreditwürdigkeit zu prüfen. Auch hier setzte sich aber die bürgerliche Ratsseite durch und stimmte mit 104 zu 87 Stimmen bei einer Enthaltung dem Antrag der Kommissionsmehrheit zu.

Es verblieben für die letzte Beratung im Ständerat damit die zwei Differenzen bezüglich des Profilings und der zulässigen Daten für die Kreditwürdigkeitsprüfung. Letztere räumte die kleine Kammer aus, indem sie sich stillschweigend dem Nationalrat anschloss, wie es ihre SPK einstimmig beantragt hatte. Damit dürfen für eine Kreditwürdigkeitsprüfung bis zu zehn Jahre alte Daten beigezogen werden. Der Bundesrat, der fünf Jahre vorgeschlagen hatte, könne «gut damit leben», kommentierte EJPD-Vorsteherin Karin Keller-Sutter diesen Beschluss. Beim Profiling hielt der Ständerat hingegen ebenso stillschweigend an seinem Entscheid für die risikobasierte Variante fest, womit er eine Einigungskonferenz nötig machte, bei der sich die Ständekammer gute Erfolgschancen ausrechnete. Kommissionssprecher Daniel Fässler (cvp, AI) erklärte, weshalb die nationalrätliche Variante nicht DSGVO-konform und damit kein gangbarer Weg sei: Die DSGVO verbiete grundsätzlich jede Verarbeitung personenbezogener Daten, ausser es liege die Zustimmung der betroffenen Person oder ein anderer Rechtfertigungsgrund vor. Das Schweizer Datenschutzgesetz sei umgekehrt konzipiert, indem es die Verarbeitung von Personendaten grundsätzlich zulasse, sofern keine Ausnahme vorliege. Die Verankerung von qualifizierten Rechtsfolgen bei Profiling mit hohem Risiko sei daher notwendig, um das vorgegebene Schutzniveau zu halten.

Wie erwartet entschied sich die Einigungskonferenz im letzten Streitpunkt um das Profiling für die ständerätliche Version, dergemäss für ein Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person erhöhte datenschutzrechtliche Anforderungen gelten. Der Nationalrat stimmte dem Antrag der Einigungskonferenz mit 134 zu 42 Stimmen bei einer Enthaltung zu, wobei sich nur die SVP-Fraktion grossmehrheitlich dagegen stellte. Kommissionssprecher Matthias Jauslin (fdp, AG) hatte das Ratsplenum um Zustimmung gebeten, weil die Schweiz – sowohl für ihre Bürgerinnen und Bürger als auch für die Wirtschaft – dringend ein modernes und von der EU in seiner Gleichwertigkeit anerkanntes Datenschutzgesetz brauche. Der Ständerat nahm den Antrag der Einigungskonferenz einstimmig an. In den Schlussabstimmungen zeigte sich dasselbe Stimmmuster: Der Nationalrat stimmte mit 141 zu 54 Stimmen (alle SVP) bei einer Enthaltung für das totalrevidierte Datenschutzgesetz, während es der Ständerat einstimmig annahm. Damit kamen die parlamentarischen Beratungen des Datenschutzgesetzes nach über drei Jahren mit zum Teil emotional ausgetragenen Meinungsverschiedenheiten doch noch zu einem mehrheitlich versöhnlichen Abschluss.

Einstimmig und unverändert nahm der Nationalrat in der Herbstsession das totalrevidierte Bundesgesetz über die Bearbeitung von Personendaten durch das EDA an. Das Gesetz enthalte keine neuen Datenbearbeitungen oder neue Kompetenzen für das EDA, hielt Kommissionssprecher Gerhard Pfister (cvp, ZG) im Ratsplenum fest. Der Entwurf bilde aber im Hinblick auf die neuen technologischen Möglichkeiten und Herausforderungen im Bereich der Datenbearbeitung einen klareren Rechtsrahmen als bisher und nehme einige Tätigkeiten des EDA, die bis anhin in einer Verordnung geregelt waren, ins formelle Gesetz auf. Bundesrat Ignazio Cassis betonte, in einer Demokratie sei es wichtig, dass sich das Regierungshandeln auf klare und transparente Rechtsgrundlagen abstütze. Das neue Gesetz, das mit der laufenden Totalrevision des Datenschutzgesetzes vereinbar sei, verbessere die Vorhersehbarkeit der Datenverarbeitung für aussenpolitische Zwecke und verleihe ihr die demokratische Legitimität und parlamentarische Kontrolle, die sie verdiene.

Der Streit um die datenschutzrechtlichen Anforderungen für das Profiling wird sich auch über die dritte Runde der Differenzbereinigung beim totalrevidierten Datenschutzgesetz hinziehen, wie sich nach der Sitzung der SPK-NR im Juli 2020 abzeichnete. Mit 13 zu 12 Stimmen beschloss die Kommission, ihrem Rat die Rückkehr zur ursprünglichen Lösung des Nationalrates zu beantragen und kehrte sich damit wieder von der jüngsten Einigung der beiden Kammern auf einen risikobasierten Ansatz ab. Nach dem Willen der knappen Kommissionsmehrheit soll demnach auf jegliche besondere Voraussetzungen – etwa auf die ausdrückliche Einwilligung der betroffenen Person – für Profiling verzichtet werden, und zwar ungeachtet des Risikos, das dieses für die Persönlichkeit oder die Grundrechte der betroffenen Person darstellt. Die risikobasierte Unterscheidung verschiedener Arten von Profiling sei ein «Swiss Finish» und gefährde die Schweizer Wirtschaft, so die Argumentation. Die starke Minderheit zeigte sich hingegen mit dem Kompromissvorschlag des Ständerats zufrieden, da er das heutige Datenschutzniveau garantiere und Rechtssicherheit schaffe. Auch die Differenz in der Frage, welche Daten für die Kreditwürdigkeitsprüfung verwendet werden dürfen, wollte die Kommissionsmehrheit mit 15 zu 10 Stimmen aufrechterhalten, indem sie an der zehnjährigen Frist festhielt, während die Minderheit hier ebenso beantragte, sich dem Ständerat, der fünf Jahre beschlossen hatte, anzuschliessen.

Ebenfalls noch im Mai 2020 verabschiedete der Bundesrat die Botschaft zur dringlichen Änderung des Epidemiengesetzes betreffend das Proximity-Tracing-System, mit der die Rechtsgrundlage für die Corona-Warn-App geschaffen werden soll. Eine solche hatten die eidgenössichen Räte mit der Annahme zweier Motionen der Staatspolitischen Kommissionen (Mo. 20.3144 und 20.3168) ausdrücklich verlangt. Zweck der SwissCovid-App ist es, das herkömmliche Contact-Tracing der Kantone zu ergänzen. Die Nutzung der App soll ausdrücklich freiwillig sein und aus der Teilnahme oder Nicht-Teilnahme dürften keine Vor- oder Nachteile erwachsen, versicherte der Bundesrat in der entsprechenden Medienmitteilung. Der Datenschutz werde gewahrt, indem die Daten dezentral gespeichert würden und das System keine Standortdaten erfasse. Zudem seien die technischen Details und der Quellcode der App öffentlich zugänglich. Überdies verpflichtete sich der Bundesrat dazu, die App ausser Betrieb zu nehmen, sobald sie für die Bekämpfung des Coronavirus nicht mehr erforderlich ist.
Die SGK-SR, die sich als erste mit der Vorlage auseinandersetzte, nahm die Botschaft positiv auf und zeigte sich erfreut, dass der Bundesrat die Forderungen des Parlaments bezüglich Freiwilligkeit, dezentraler Datenspeicherung, Open Source und Diskriminierungsverbot aufgenommen habe. Sie beantragte ihrem Rat zwei Änderungen am Entwurf: Erstens müsse sichergestellt sein, dass die App nachweislich aus dem veröffentlichen Quellcode erstellt worden sei. Zweitens wollte sie die Ausserbetriebnahme der App nicht nur bei nicht mehr gegebener Notwendigkeit, sondern auch bei erwiesener ungenügender Wirksamkeit vorsehen. Die SGK-NR hiess den Entwurf mit den Änderungen ihrer Schwesterkommission ebenfalls gut und beantragte zusätzlich, dass der Corona-Test für Personen, die von der App über eine mögliche Ansteckung benachrichtigt worden sind, kostenlos sein müsse. Die beiden Kommissionen ersuchten den Bundesrat ausserdem in einem Schreiben, eine Erwerbsausfallentschädigung für Personen zu prüfen, die sich aufgrund einer Benachrichtigung der App freiwillig in Quarantäne begeben. Damit soll ein Anreiz für die breite Nutzung der App geschaffen werden.
Ständerat Damian Müller (fdp, LU) übernahm den Antrag der SGK-NR auf kostenlose Tests und brachte ihn in der Sommersession in der Kantonskammer als Einzelantrag ein, wo er auch mit grosser Mehrheit angenommen wurde. Der Ständerat hoffte, durch diese Vorwegnahme der einzigen inhaltlichen Differenz zwischen den Kommissionen die Beratung des dringlichen Geschäfts zu beschleunigen. In den anderen Punkten stimmte die kleine Kammer stillschweigend den Anträgen ihrer Kommission zu und nahm die Vorlage in der Gesamtabstimmung mit 43 zu 1 Stimmen bei einer Enthaltung an. Anschliessend schrieb sie die Motionen 20.3144 und 20.3168, mit denen die Staatspolitischen Kommissionen beider Räte das nun vorliegende Gesetz verlangt hatten, stillschweigend ab.
Nationalrat Thomas de Courten (svp, BL) äusserte in der grossen Kammer indes Zweifel, ob man «diese Gesetzesgrundlage für ein Informationssystem, staatlich betrieben zur Überwachung der Bürgerinnen und Bürger, einfach so durchwinken» solle, und beantragte Nichteintreten, fand dafür jedoch ausserhalb seiner Fraktion keine Unterstützung. Die Volkskammer trat mit 164 zu 26 Stimmen bei 6 Enthaltungen auf das Geschäft ein und lehnte daraufhin alle von der Kommissionsmehrheit abweichenden Anträge ab. Es handelte sich dabei um diverse Einzelanträge sowohl für eine Verschärfung – wodurch gemäss Mehrheitsmeinung jedoch die Funktionalität der App beeinträchtigt würde – als auch für eine Lockerung des Datenschutzes – zur Vereinfachung der Interoperabilität mit anderen Anwendungen und der wissenschaftlichen Nutzung der Daten – sowie um einen Minderheitsantrag Wasserfallen (sp, BE) zur Garantie von Erwerbsersatz während der freiwilligen Quarantäne, den die Ratsmehrheit aber als nicht ausgereift ansah; der Bundesrat sei aufgefordert, hier eine Regelung zu treffen. In der Gesamtabstimmung stimmte der Nationalrat der somit bereinigten Vorlage mit 156 zu 22 Stimmen bei 13 Enthaltungen zu, wobei sich die Fraktionen der SVP und der Grünen grossteils skeptisch zeigten, und schrieb die beiden Kommissionsmotionen für eine gesetzliche Grundlage für die Corona-Warn-App stillschweigend ab.
Ebenfalls noch in derselben Session nahmen beide Räte die Dringlichkeitsklausel an und verabschiedeten die dringliche Gesetzesänderung sodann mit 154 zu 23 Stimmen bei 18 Enthaltungen im Nationalrat und mit 42 zu 1 Stimmen bei 2 Enthaltungen im Ständerat.

In den Medien wurde die parlamentarische durch eine lebhafte gesellschaftliche Debatte über Sinn und Unsinn beziehungsweise Chancen und Gefahren von Corona-Warn-Apps im Allgemeinen sowie der SwissCovid-App im Speziellen begleitet. Ein Teil der Bevölkerung konnte die offizielle Lancierung der SwissCovid-App, die nach der Genehmigung der Gesetzesgrundlage durch das Parlament erfolgen sollte, kaum erwarten. Wie «Le Temps» Anfang Juni berichtete, verzeichnete die App zu diesem Zeitpunkt schon rund 50'000 Downloads, obwohl sie sich noch in der Testphase befand und für die Öffentlichkeit noch gar nicht freigegeben war. Auch zeigten sich nicht alle Parlamentarierinnen und Parlamentarier über ihr Mitspracherecht bei der Rechtsgrundlage für die App erfreut, vielmehr gehe durch die parlamentarische Beratung wertvolle Zeit verloren, liess sich etwa GLP-Nationalrat Martin Bäumle (glp, ZH) im «Blick» zitieren. Einwände gegen die App betrafen vor allem den Datenschutz und im Spezifischen die Rolle der US-amerikanischen Tech-Konzerne Amazon, Apple und Google bei deren Entwicklung und Betrieb. Während Amazon das sogenannte Content Delivery Network zur Verteilung der anonymen Codes an alle teilnehmenden Smartphones bereitstellt, hatten Apple und Google eigens eine spezielle Bluetooth-Schnittstelle entwickelt, die von der App für das Proximity-Tracing genutzt wird. Dabei schwang aber auch ein wenig Stolz mit, dass das Entwicklerteam der EPFL es geschafft hatte, die Tech-Riesen Apple und Google von ihrer Anwendung zu überzeugen und so den Stein für die gemeinsame Bluetooth-Schnittstelle ins Rollen zu bringen. Gleichzeitig erhielt die Schweizer App – nicht zuletzt im internationalen Vergleich – Lob für ihre vorbildliche, datensparsame und sichere Struktur. Die Datensicherheit wurde, wie die NZZ berichtete, auch von zwei Cybersicherheitsstellen des Bundes, dem Computer Security Incident Response Team am BIT sowie dem Swiss Government Computer Emergency Response Team, bestätigt. Dieselbe Zeitung resümierte jedoch, dass die «höchste Hürde» der SwissCovid-App noch bevorstehe, indem sie in der Bevölkerung tatsächlich Fuss fassen müsse.

In der Sommersession 2020 setzte der Ständerat die Differenzbereinigung bei der Totalrevision des Datenschutzgesetzes fort. In zwei Punkten, die das Auskunftsrecht der von einer Datenbearbeitung betroffenen Person und die Informationspflicht der datenbearbeitenden Stelle betrafen, fügte sich die kleine Kammer stillschweigend und diskussionslos den Beschlüssen des Nationalrates. So muss die betroffene Person nicht zwingend über die Liste ihrer Rechte und die allfällige Absicht, eine Kreditwürdigkeitsprüfung vorzunehmen, informiert werden. Eine angeforderte Auskunft muss zudem «die bearbeiteten Personendaten als solche» beinhalten, wobei die SPK-SR zum Schluss gekommen war, dass die vom Nationalrat eingefügte Ergänzung «als solche» nichts nütze, aber auch nichts schade, wie deren Berichterstatter Daniel Fässler (cvp, AI) vor dem Plenum erläuterte. Stillschweigend hielt der Ständerat hingegen an seinem Entscheid fest, dass alle genetischen Daten als besonders schützenswerte Personendaten gelten sollen, da die einschränkende Definition des Nationalrates gemäss dem Kommissionssprecher wohl nicht EU-konform wäre.
Für eine kurze Debatte sorgte die Frage, welche Daten für eine an sich persönlichkeitsverletzende Kreditwürdigkeitsprüfung verwendet werden dürfen. Eine Minderheit Müller (fdp, LU) schlug vor, den Einbezug von bis zu zehn Jahre alten Daten zu erlauben – dies hatte der Nationalrat so entschieden –, wobei aber Daten aus öffentlich zugänglichen staatlichen Registern von dieser Beschränkung ausdrücklich auszunehmen seien. Mit einer kurzen und starren Frist würden die Interessen der Gläubiger zu wenig berücksichtigt, begründete Damian Müller den Antrag. Der Rat folgte mit 25 zu 17 Stimmen jedoch seiner Kommissionsmehrheit und hielt an seinem letzten Beschluss fest, wonach die verwendeten Daten nicht älter als fünf Jahre sein dürfen, wie es auch der Bundesrat ursprünglich vorgesehen hatte. Kommissionssprecher Fässler argumentierte, dass ältere Daten mitunter ungenau seien und daher nicht als Rechtfertigungsgrund für eine Persönlichkeitsverletzung zugelassen werden sollten.
Gerungen wurde in der Ständekammer indes immer noch um die Definition von «Profiling mit hohem Risiko», nachdem der Nationalrat dem risikobasierten Ansatz zur Regulierung des Profilings zugestimmt, sich aber mit der Abgrenzung der Risikostufen nicht zufrieden gezeigt hatte. Die Kommission schlug ihrem Rat einstimmig eine neue Formulierung vor, die sich am heute geltenden Konzept des Persönlichkeitsprofils orientierte und die die Idee der grossen Kammer aufnahm, das Risiko am Ergebnis der Datenbearbeitung anstatt am Prozess festzumachen. Mit einem Einzelantrag wollte Ständerat Ruedi Noser (fdp, ZH) der Formulierung des Nationalrats den Vorzug geben, weil der Vorschlag der ständerätlichen SPK das Profiling faktisch verbiete und den unklaren und veralteten Begriff «wesentliche Aspekte der Persönlichkeit» verwende. Kommissionssprecher Fässler und Bundesrätin Karin Keller-Sutter widersprachen dieser Darstellung jedoch: Profiling mit hohem Risiko werde nicht verboten, sondern lediglich höheren Anforderungen unterworfen, der kritisierte Begriff sei im geltenden Recht bereits etabliert und der Vorschlag Noser käme einer Nicht-Regulierung des Profilings gleich, wie sie wohl kaum mit dem EU-Datenschutzniveau vereinbar wäre. Zudem hätten der von Noser gewünschten Lösung im Nationalrat nur 65 Mitglieder zugestimmt, während 57 sie abgelehnt und sich 65 der Stimme enthalten hatten, weshalb darin kaum der endgültige Wille der grossen Kammer zum Ausdruck gekommen sei. Der Ständerat folgte mit 39 zu 5 Stimmen (1 Enthaltung) klar seiner Kommission und schrieb die neue Formulierung ins Gesetz, wonach Profiling dann mit hohem Risiko verbunden ist, wenn es «die Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt». Damit wird das heutige Schutzniveau bei der automatisierten Datenbearbeitung gehalten, aber weder erhöht, wie es im Sinne der Ständeratsmehrheit und der linken Seite des Nationalrats gewesen wäre, noch gesenkt, was dem bürgerlichen Ansinnen entsprochen hätte. Mit noch drei inhaltlichen Differenzen ging die Vorlage wieder an den Nationalrat.

Bei der Totalrevision des Datenschutzgesetzes begann in der Frühjahrssession 2020 der Nationalrat mit der Differenzbereinigung. Als Kernpunkt der Vorlage identifizierte Kommissionssprecher Matthias Jauslin (fdp, AG) die Bestimmungen zum sogenannten Profiling (d.h. automatisierte Datenbearbeitung zur Bewertung bestimmter Aspekte einer Person). Einig war man sich hier inzwischen geworden, dass im Sinne eines risikobasierten Ansatzes irgendwie zwischen verschiedenen Arten von Profiling unterschieden werden muss. Weder der Ansatz des Bundesrates, an alle Arten von Profiling erhöhte Datenschutzanforderungen zu stellen, noch der vom Nationalrat als Erstrat beschlossene Verzicht auf jegliche Regulierung des Profilings wurden nunmehr als gangbare Wege betrachtet. Um die richtige Lösung für die Definition der verschiedenen Risikostufen wurde allerdings noch gerungen. Der ständerätliche Vorschlag, Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person von gewöhnlichem Profiling zu unterscheiden, war in der SPK-NR auf Skepsis gestossen, weil in der Praxis fast jedes Profiling die einschlägigen Kriterien – die bearbeiteten Personendaten stammen entweder aus verschiedenen Quellen oder betreffen verschiedene Lebensbereiche – für hohes Risiko erfülle. Während die SP- und die Grüne Fraktion den Minderheitsantrag Glättli (gp, ZH) auf Beibehaltung der ständerätlichen Lösung unterstützten, sprach sich die Ratsmehrheit für einen Minderheitsantrag Jauslin aus, der es mit einer anderen Risikodefinition versuchte. Jedoch wurde auch dieser Vorschlag nicht als ausgereift angesehen. Im Prinzip war es einerlei, ob die Kommissionsmehrheit oder die Minderheit Jauslin obsiegte; das Hauptanliegen der Ratsmehrheit war es, hier die Differenz aufrechtzuerhalten, damit die Diskussion dieser Problematik weitergeführt werde. Die linke Ratsseite machte indes klar, dass diese Bestimmungen die «Pièce de Résistance» dieses Gesetzes seien, wie es deren Wortführer Cédric Wermuth (sp, AG) und Balthasar Glättli ausdrückten. Eine laschere Regelung als diejenige des Ständerates wollten sie nicht akzeptieren. Zusammen mit der SVP, die das Gesetz ohnehin als «Meisterwerk der Bürokratie» (Gregor Rutz, svp, ZH) ablehnte, könnte diese Drohung, je nach Entscheid des Ständerats, im Hinblick auf die Schlussabstimmungen noch brisant werden, mutmasste der Tages-Anzeiger.
Bei einigen weiteren umstrittenen Punkten erhielt der Nationalrat die Differenz zum Ständerat aufrecht, indem er an seinen Beschlüssen als Erstrat festhielt. So definierte die grosse Kammer nach wie vor nur jene genetischen Daten als besonders schützenswerte Personendaten, die eine Person eindeutig identifizieren. Der besondere Schutz aller genetischen Daten schaffe Rechtsunsicherheit für die Forschung, so das Argument der Kommissionsmehrheit, die den entsprechenden Antrag gestellt hatte. Des Weiteren sah die Volkskammer keine Notwendigkeit, dass der betroffenen Person bei der Beschaffung von Personendaten zwingend die Liste ihrer Rechte und gegebenenfalls die Absicht des Bearbeitenden, eine Kreditwürdigkeitsprüfung vorzunehmen, mitgeteilt werden müssen, um die der Ständerat die Informationspflicht ergänzt hatte. An der als Erstrat noch eingefügten Ausnahme von der Informationspflicht bei unverhältnismässigem Aufwand hielt der Nationalrat hingegen nicht mehr fest, weil sie wohl nicht mit den EU-Kriterien für ein angemessenes Datenschutzniveau vereinbar wäre. Hinsichtlich der Kreditwürdigkeitsprüfung beharrte die grosse Kammer jedoch darauf, dass dafür Daten der letzten zehn, anstatt wie vom Bundesrat und vom Ständerat vorgesehen nur der letzten fünf, Jahre beigezogen werden dürfen.
In zwei weiteren wichtigen Punkten räumte der Nationalrat die Differenzen aus, indem er dem Beschluss des Ständerates folgte. Er hiess einerseits das vom Ständerat eingeführte «Konzernprivileg» gut, das die Datenweitergabe innerhalb von Konzernen erleichtert, indem die Weitergabe zwischen Unternehmen, die von derselben juristischen Person kontrolliert werden, nicht als Weitergabe an Dritte betrachtet wird. Auch hier bestehe aber noch Nachbesserungsbedarf, stellte Kommissionssprecher Jauslin fest, da die Erleichterung bei sehr grossen Konzernen, deren Unternehmen zwar durch die gleiche juristische Person kontrolliert werden, aber verschiedene Geschäftstätigkeiten ausüben, eventuell zu weit gehe. SP-Vertreter Cédric Wermuth hatte anhand von Alphabet, dem Mutterkonzern von Google, auf dieses Problem aufmerksam gemacht, da zu Alphabet «inzwischen die halbe Internetinfrastruktur» gehöre. Der Kommissionssprecher drückte indes seine Hoffnung aus, dass der Bundesrat in der Verordnung eine Lösung für solche Fälle finde. Andererseits beliess der Nationalrat die Strafbestimmung, die bei Verletzung der Sorgfaltspflichten für die Datensicherheit eine Busse von bis zu CHF 250'000 androht, im Gesetz. In seiner ersten Beratung hatte er diese noch gestrichen, vom Ständerat war sie dann aber wieder eingefügt worden, da eine solche Strafbestimmung zu den Anforderungen für die Datenschutzäquivalenz der EU gehöre. Mit einer Handvoll verbliebener der anfänglich elf Differenzen überwies die Volkskammer den Entwurf wieder an die Ständekammer.

Die Beratung der Totalrevision des Datenschutzgesetzes, wofür sich die Staatspolitische Kommission des Nationalrates zwei Jahre Zeit gelassen hatte, schloss die SPK-SR nach nur zwei Monaten Ende November 2019 ab. Mit dem hohen Tempo wollte Kommissionspräsidentin Pascale Bruderer Wyss (sp, AG) es möglich machen, dass die Schlussabstimmungen zur Revision noch im Frühjahr 2020 – und damit noch bevor die EU Ende Mai über die Angemessenheit des schweizerischen Datenschutzes entscheiden wird – stattfinden können. Eine Analyse des Bundesamtes für Justiz zuhanden der Kommission hatte vier Punkte zutage gefördert, in denen das DSG nach den Beschlüssen des Erstrates noch nicht den europäischen Anforderungen entsprach und wo die SPK-SR ihrem Rat deshalb eine Abweichung vom Nationalrat beantragte. Erstens sei die Ausnahme der gewerkschaftlichen Ansichten von den besonders schützenswerten Personendaten gemäss den Kriterien für die Äquivalenzprüfung unzulässig. Ebenso problematisch sei zweitens der Verzicht auf eine ausdrückliche Einwilligung beim Profiling. Drittens dürfe nicht, wie vom Nationalrat vorgesehen, auf die Informationspflicht verzichtet werden, weil die Information einen unverhältnismässigen Aufwand erfordere, und viertens forderten die EU-Regeln wirksame und abschreckende Sanktionen für den Fall der Sorgfaltspflichtverletzung; der Beschluss des Nationalrates, solche Verstösse nicht zu ahnden, sei daher «mehr als nur problematisch», wie Kommissionssprecher Daniel Fässler (cvp, AI) in der Wintersession 2019 dem Ständeratsplenum erläuterte.
Im Gegensatz zum Nationalrat war Eintreten im Ständerat unbestritten und die Debatte wenig kontrovers – was wahrscheinlich nicht zuletzt dem Umstand geschuldet war, dass die Urheber der meisten Minderheitsanträge dem Rat mittlerweile nicht mehr angehörten. Insgesamt brachte die kleine Kammer die Vorlage wieder näher an den Entwurf des Bundesrats und damit zum von Berichterstatter Fässler genannten Ziel, die Vereinbarkeit des schweizerischen Datenschutzrechts mit der Datenschutzgesetzgebung der EU sowie mit der inzwischen vom Bundesrat unterzeichneten Europarats-Konvention SEV 108+ sicherzustellen. Bei drei der vier vom BJ als problematisch identifizierten Punkte schwenkte der Ständerat stillschweigend auf die Linie des Bundesrats zurück. So fügte er die gewerkschaftlichen Daten wieder in den Katalog der besonders schützenswerten Personendaten ein, strich die Ausnahme von der Informationspflicht bei unverhältnismässigem Aufwand wieder aus dem Gesetz und nahm die Strafandrohung von einer Busse bis zu CHF 250'000 bei vorsätzlicher Verletzung der Datensicherheit wieder auf. Ausführlicher debattierte die kleine Kammer die Frage, ob für das Profiling (d.h. die automatisierte Bearbeitung von Personendaten, um aufgrund bestimmter Merkmale einer Person deren Verhalten analysieren oder voraussagen zu können) in jedem Fall – wie es der Bundesrat vorgesehen hatte – oder nur bei Profiling mit hohem Risiko eine ausdrückliche Einwilligung erforderlich sein soll. Dem Beschluss des Nationalrats zu folgen und gar keine ausdrückliche Einwilligung für Profiling zu verlangen, war für die Kantonskammer indes keine Option. Mit 19 zu 14 Stimmen bei einer Enthaltung hiess sie den risikobasierten Ansatz, den die Kommissionsmehrheit als Mittelweg zwischen Bundesrat und Nationalrat präsentiert hatte, gut. Damit soll Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person nur mit deren ausdrücklicher Einwilligung erlaubt sein, wobei sich das hohe Risiko beispielsweise an der Verknüpfung von Daten verschiedener Herkunft oder an der Möglichkeit, Rückschlüsse auf verschiedene Lebensbereiche der betroffenen Person zu ziehen, bemisst. Eine weitere, im Hinblick auf die Erfüllung der EU-Anforderungen wichtige Differenz schuf die Kantonskammer beim Auskunftsrecht, das sich nun nicht mehr wie vom Nationalrat beschlossen auf eine abschliessende Liste von Informationen beschränken soll. In der Gesamtabstimmung nahm die Ständekammer die Vorlage mit 29 zu 4 Stimmen an, wobei alle Gegenstimmen aus den Reihen der SVP-Fraktion stammten.

Der Totalrevision des Datenschutzgesetzes und der Änderung weiterer Erlasse zum Datenschutz nahm sich in der Herbstsession 2019 der Nationalrat als Erstrat an. Das ein Jahr zuvor verabschiedete und am 1. März 2019 in Kraft getretene Schengen-Datenschutzgesetz, das aus Gründen der zeitlichen Dringlichkeit zunächst nur die Schengen-relevanten Anpassungen umsetzte, wird mit der Annahme des totalrevidierten Gesetzes wieder ausser Kraft treten. Mit der Totalrevision sollen über die Schengen-Anforderungen hinausgehend einerseits die Schwächen des heutigen Datenschutzrechts, das noch aus einer Zeit vor dem Internet stammt, behoben und andererseits die Entwicklungen auf EU- und Europarats-Ebene aufgenommen werden. Besonders bedeutsam für die Schweiz ist hierbei, von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt zu werden. Ansonsten, so wurde befürchtet, wäre die Schweizer Wirtschaft mit erheblichen Wettbewerbsnachteilen konfrontiert, da Schweizer Unternehmen nicht mehr so einfach Daten mit Firmen in der EU austauschen könnten. Bis im Mai 2020 wird die EU die Äquivalenz des Schweizer Datenschutzes beurteilen, was eine gewisse Dringlichkeit für die Revision gebietet.
Wie schwierig dieses Unterfangen werden würde, hatte sich schon in der vorberatenden SPK-NR abgezeichnet: Nur mit Stichentscheid des Präsidenten Kurt Fluri (fdp, SO) hatte sich die Kommission im August 2019 durchgerungen, die Vorlage nach mehr als einem Jahr Arbeit überhaupt vors Ratsplenum zu bringen. Die wichtigsten Anpassungen der Kommission am bundesrätlichen Entwurf waren die neu einzuführende Direktwahl des EDÖB durch die Bundesversammlung, die Einführung eines Rechts auf Datenportabilität, die Anpassung der Definition der besonders schützenswerten Personendaten sowie der Verzicht auf eine besondere Regelung für den Umgang mit Daten verstorbener Personen und auf eine ausdrücklich erforderliche Einwilligung zum Profiling. Im Rahmen ihrer Beratungen hatte die SPK-NR zudem sechs Motionen zur Vervollständigung der Datenschutzbestimmungen in weiteren Gesetzen eingereicht.
Kurz vor der Debatte im Nationalrat hatte das Bundesamt für Justiz überdies eine Liste dazu veröffentlicht, welche problematischen Differenzen es zwischen dem Kommissionsvorschlag und den Anforderungen der EU sehe. Auch EDÖB Adrian Lobsiger hatte in der Presse bezweifelt, dass das von der Kommissionsmehrheit vorgeschlagene Gesetz mit dem verlangten Niveau der EU-Datenschutzgrundverordnung (DSGVO) mithalten könne; beim Entwurf des Bundesrates hätte er indes keine Probleme gesehen.
Während der strittige Vorschlag der Kommissionsmehrheit für die SVP bereits zu weit ging, bemängelten SP, Grüne und GLP, er sei zu lasch. Wirtschaftsverbände drängten unterdessen auf eine möglichst rasche, EU-konforme Lösung. So wurde im Vorfeld der nationalrätlichen Debatte von den Mitte- und Linksparteien noch fieberhaft nach Kompromissen gesucht, um den drohenden Absturz der Revision zu verhindern.

In der Eintretensdebatte in der grossen Kammer wurde von allen Seiten – ausser von der SVP-Fraktion – betont, wie wichtig und notwendig das vorliegende Revisionsprojekt sei, sowohl um den Datenschutz dem Internetzeitalter anzupassen als auch um den Datenschutz auf ein der EU gleichwertiges Niveau zu bringen, auch wenn man in den Details der Ausgestaltung verschiedene Ansichten vertrat. Die SVP betrieb hingegen Fundamentalopposition gegen «diesen bürokratischen Unsinn», wie Fraktionsvertreter Gregor Rutz (svp, ZH) das neue Gesetz nannte, denn es sei insgesamt, vor allem für KMU, schlechter als das geltende Datenschutzgesetz – ein Argument, das wenig später durch das Votum von FDP-Vertreter Kurt Fluri (fdp, SO) entkräftet werden sollte, der berichtete, dass der Gewerbeverband die Stossrichtung der Kommissionsmehrheit begrüsse und die Rückweisung nicht unterstütze. Mit der DSGVO verkaufe die EU laut Rutz ihre Bürger für dumm, da sie «kein Mensch» verstehe. «Wir haben langsam genug davon, jeden Unsinn aus der EU ungesehen zu übernehmen!», ärgerte sich der SVP-Vertreter und rief das Ratsplenum auf, die Vorlage an den Bundesrat zurückzuweisen mit dem Auftrag, sie zu entschlacken und EU-Vorschriften nur dort zu übernehmen, wo es unumgänglich sei. Auch eine linke Minderheit hatte ursprünglich die Rückweisung, allerdings an die Kommission, beantragt und diese beauftragen wollen, die Vereinbarkeit der Vorlage mit dem Übereinkommen SEV 108 des Europarats, die Äquivalenz mit dem EU-Datenschutzrecht, die Kompatibilität mit den Schengen-Verträgen und die Nicht-Unterschreitung des heute geltenden Schutzniveaus sicherzustellen. Um die doch eher dringliche Revision nicht unnötig zu verlangsamen und um sich einer «produktiven Diskussion» nicht zu verschliessen, zog Cédric Wermuth (sp, AG) diesen Antrag jedoch «im Sinne eines Vorschussvertrauensbeweises» zurück und hoffte, das Gesetz während der Beratung noch auf eine den genannten Forderungen nähere Linie bringen zu können. Der Rückweisungsantrag der SVP-Minderheit wurde mit 120 zu 66 Stimmen (1 Enthaltung) deutlich verworfen; ausserhalb der geschlossenen SVP-Fraktion sah niemand eine Rückweisung als den richtigen Weg an.

Im Laufe der Detailberatung musste der Nationalrat über 45 Minderheits- und mehrere Einzelanträge befinden, die zu einem beträchtlichen Teil die Unterstützung des Bundesrates genossen – hauptsächlich immer dort, wo die Kommissionsmehrheit mit ihrem Vorschlag einen schwächeren Datenschutz wollte als der Bundesrat und somit das heute geltende Schutzniveau oder die Anforderungen der EU und/oder des Europarats unterschreiten wollte. So war die Kommissionsmehrheit bestrebt, sowohl die Daten über gewerkschaftliche Ansichten und Tätigkeiten als auch die Daten über Massnahmen der sozialen Hilfe aus dem Katalog der besonders schützenswerten Daten, für deren Bearbeitung besondere Anforderungen gelten, zu streichen. Während eine bürgerliche Ratsmehrheit die Streichung der Daten über gewerkschaftliche Ansichten und Tätigkeiten guthiess, schwenkte der Nationalrat bei den Daten über Massnahmen der sozialen Hilfe – neben Sozialhilfedaten sind davon auch solche über Sozialversicherungsmassnahmen bei Krankheit oder Unfall, Massnahmen der Vormundschaftsbehörden oder KESB, die fürsorgerische Unterbringung in psychiatrischen Kliniken, Ergänzungsleistungen und Prämienverbilligungen erfasst – auf die Linie des Bundesrates zurück und beliess sie im Katalog. Grünen-Vertreter Balthasar Glättli (gp, ZH) hatte zuvor mit Nachdruck klargemacht, dass deren Streichung für die Grünen und die SP ein Grund wäre, dem Gesetz die Zustimmung zu verweigern. Eine ähnliche Drohung sprach SVP-Fraktionssprecher Gregor Rutz aus, als die Einschränkung des Geltungsbereichs des DSG auf natürliche Personen zur Debatte stand: Einem Gesetz, das – anders als bisher – keinen Datenschutz für juristische Personen mehr vorsehe, werde man «nie im Leben» zustimmen können. Alle anderen Fraktionen befanden den Schutz für juristische Personen durch andere gesetzliche Bestimmungen jedoch als ausreichend und so glich der Nationalrat das DSG mit der Streichung des Schutzes juristischer Personen an die europäischen Regeln an. Bei der Frage der Anforderungen für das sogenannte Profiling zeichnete sich während der Diskussion ab, dass man an diesem Tag keine zufriedenstellende Lösung finden würde. Für jegliche Formen des Profilings, das die Aargauer Zeitung treffend als die «automatisierte Auswertung von Daten, mit denen bestimmte Merkmale einer Person bewertet werden, um etwa Vorhersagen über ihr künftiges Verhalten zu treffen» definierte, hatte der Bundesrat eine ausdrückliche Einwilligung der betroffenen Person voraussetzen wollen, wie sie auch zur Bearbeitung besonders schützenswerter Personendaten vorgesehen war. Da das geltende Recht so eine Regelung für das Erstellen von Persönlichkeitsprofilen umfasst, würde eine komplette Streichung der ausdrücklichen Einwilligung zum Profiling, wie es die Kommissionsmehrheit vorgeschlagen hatte, ein Rückschritt vom aktuellen Schutzniveau darstellen. In der Diskussion wurde mehrheitlich anerkannt, dass verschiedene Formen des Profilings unterschieden werden müssten, da es, wie es Balthasar Glättli erklärte, durchaus einen Unterschied mache, ob Profiling zur Erstellung von passenden Bücherempfehlungen, zur Abschätzung des Risikos für eine Versicherung oder zur Vorhersage der politischen Entscheidungen einer Person gebraucht werde. Der Bundesrat unterstützte folglich einen Einzelantrag Glättli, der eine ausdrückliche Einwilligung nur für ein Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person vorsah. Die Fraktionen der Grünen, SP und GLP unterstützten diesen Antrag ebenfalls, unterlagen jedoch der bürgerlichen Ratsmehrheit, die beim Vorschlag der Kommissionsmehrheit ohne besondere Anforderungen für das Profiling blieb. Der Nachhall der Diskussion war jedoch klar, dass sich der Ständerat noch einmal intensiv mit dieser Frage auseinandersetzen müsse.
Betreffend die Informationspflicht bei der Beschaffung von Personendaten, die Regeln für die Bekanntgabe von Personendaten ins Ausland, die Rechenschaftspflicht für datenbearbeitende Unternehmen über die Einhaltung des Datenschutzrechts sowie das Auskunftsrecht einer Person zu den über sie gesammelten oder bearbeiteten Daten lehnte die Volkskammer einige von der Kommissionsmehrheit vorgeschlagene Lockerungen ab und umschiffte somit ein paar der vielen Klippen im Hinblick auf den Angemessenheitsbeschluss der EU. Die vom Bundesrat eingefügten Regelungen über Daten von verstorbenen Personen erachtete der Rat jedoch als nicht notwendig und strich mit bürgerlicher Mehrheit alle entsprechenden Bestimmungen aus dem Gesetz. Ganz neu und weitgehend unbestritten verankerte der Nationalrat auf Vorschlag seiner Kommissionsmehrheit ein Recht auf Datenportabilität, das heisst auf Datenherausgabe und -übertragung, im Gesetz. Wie Bundesrätin Karin Keller-Sutter erklärte, habe der Bundesrat mit dieser Neuerung eigentlich noch zuwarten wollen, bis erste Erkenntnisse aus der konkreten Umsetzung dieses Rechts in der EU vorlägen; nichtsdestotrotz unterstützte er den Vorschlag der Kommissionsmehrheit, einen Anspruch jeder Person auf «die Herausgabe ihrer Personendaten in einem gängigen elektronischen Format oder sogar deren Übertragung auf einen anderen Verantwortlichen zu verlangen», wie Keller-Sutter das neue Recht erläuterte.
Zurückgehend auf eine entsprechende parlamentarische Initiative Leutenegger Oberholzer (sp, BL; Pa.Iv. 16.409) änderte die grosse Kammer das Wahlverfahren des EDÖB dahingehend, dass er neu von der Bundesversammlung gewählt und nicht mehr durch den Bundesrat ernannt und vom Parlament nur bestätigt werden sollte. Gleichzeitig wurden die Aufsichts- und Untersuchungskompetenzen des EDÖB bei Datenschutzverstössen gestärkt. Diese Änderung sei von wesentlicher Bedeutung im Hinblick auf den Angemessenheitsbeschluss der EU, wie Bundesrätin Keller-Sutter betonte, denn nach bisher geltendem Recht besitze der EDÖB nicht nur weniger Kompetenzen als die Datenschutzbehörden in Europa, sondern auch als andere Aufsichtsbehörden des Bundes, zum Beispiel die Finma oder die Weko. Bei den Strafbestimmungen legte der Nationalrat eine maximale Busse von CHF 250'000 für Datenschutzverstösse fest. Ein neuer Straftatbestand für die Nichteinhaltung der Mindestanforderungen an die Datensicherheit im Sinne einer Sorgfaltspflichtverletzung wurde von der bürgerlichen Ratsmehrheit jedoch nicht goutiert, was laut Bundesrätin Keller-Sutter für die EU-Angemessenheit problematisch sein könnte. Der letzte grosse Zankapfel der Vorlage verbarg sich in den Schlussbestimmungen, namentlich in der Frage zum Inkrafttreten des Gesetzes. Während die Kommissionsmehrheit das Inkrafttreten um zwei Jahre nach Annahme des Gesetzes beziehungsweise nach Verstreichen der Referendumsfrist verzögern wollte, beantragte eine Minderheit Humbel (cvp, AG), wie üblich den Bundesrat das Inkrafttreten bestimmen zu lassen. Eine solche Verzögerung sei bereits wegen der Schengen-relevanten Bestimmungen des Gesetzes ein Problem und daher nicht im Interesse der Wirtschaft, was das Argument der Kommissionsmehrheit gewesen war. Auf Empfehlung des Bundesrates und entgegen der geschlossenen SVP-Fraktion erteilte die grosse Kammer der zweijährigen Inkrafttretensfrist eine Absage.

In der Gesamtabstimmung nahm der Nationalrat das totalrevidierte Datenschutzgesetz mit 98 zu 68 Stimmen bei 27 Enthaltungen an. In den ablehnenden Stimmen spiegelte sich vor allem die Opposition der SVP gegen das Gesetz. Demgegenüber hatte sich die SP-Fraktion mehrheitlich enthalten und damit signalisiert, dass sie noch weitere Nachbesserungen erwartete. Wirklich zufrieden mit dem Gesetz in vorliegender Form war wohl niemand; in dieser Hinsicht sprach das Fazit von Kommissionssprecher Matthias Jauslin (fdp, AG) Bände: «Wir haben jetzt eine Vorlage, die aus Sicht der Kommission durchaus bearbeitbar ist.»

In der Herbstsession 2018 beschäftigte sich der Ständerat als Zweitrat mit der ersten Etappe der DSG-Revision, welche nur die Schengen-relevanten Bestimmungen des Gesetzgebungsprojektes umfasste. Die Schweiz hätte ihr Datenschutzrecht eigentlich bis zum 1. August 2018 an die EU-Richtlinie 2016/680 betreffend den Datenschutz in Strafsachen anpassen müssen, war damit im September also schon leicht im Verzug. Obwohl sich Kommissionssprecherin Pascale Bruderer Wyss (sp, AG) nicht sonderlich begeistert von der Etappierung der Vorlage zeigte – der Schengen-relevante Teil sei nicht der einzige, der zügig abgeschlossen werden sollte, denn die übrigen Bestimmungen seien zwar nicht für das Fortbestehen der Schengen-Assoziierung, aber sehr wohl für den Angemessenheitsbeschluss relevant und somit nicht weniger wichtig –, appellierte sie an den Rat, das Beste daraus zu machen und den eingeschlagenen Weg möglichst rasch weiterzugehen.
Nachdem die kleine Kammer ohne Gegenantrag auf die Vorlage eingetreten war, wurde auch hier, wie zuvor im Nationalrat, die Diskussion geführt, ob die gewerkschaftlichen Ansichten in der Definition der besonders schützenswerten Personendaten explizit aufgeführt werden müssten oder ob man diese streichen könne, da sie von den politischen und weltanschaulichen Ansichten erfasst würden. Wie der Nationalrat sprach sich auch der Ständerat mehrheitlich für die Streichung der gewerkschaftlichen Ansichten aus, obwohl, wie von Bundesrätin Sommaruga und Minderheitsvertreter Stöckli (sp, BE) angemerkt, dieser Antrag gar nie begründet worden sei. Materiell änderte sich damit nichts im Vergleich zum geltenden Recht, weshalb sowohl die Justizministerin als auch der Minderheitsvertreter letztlich vergebens die Notwendigkeit dieser Anpassung – notabene in einem ohnehin befristeten Gesetz – angezweifelt hatten. Als zweite Änderung und damit neue Differenz zum Nationalrat verbot der Ständerat dem EDÖB grundsätzlich die Ausübung jeglicher Nebentätigkeiten, unabhängig davon, ob diese vergütet werden oder nicht. Abweichend vom Grundsatz soll der Bundesrat eine solche jedoch gestatten können, wenn der EDÖB dadurch nicht in der Ausübung seiner Tätigkeit, seiner Unabhängigkeit und seinem Ansehen beeinträchtigt wird. Diese Absicht hatte bereits der Bundesrat in seinem Entwurf gezeigt, der Ständerat habe jetzt aber die «richtige Perspektive» und die «richtige Formulierung» gefunden, so Bundesrätin Sommaruga. Einstimmig verabschiedete die kleine Kammer das Schengen-Datenschutzgesetz mit dieser einen verbleibenden Differenz. Ebenfalls einstimmig genehmigte sie auch den Notenaustausch zwischen der Schweiz und der EU betreffend die Übernahme der EU-Richtlinie 2016/680 zum Datenschutz in Strafsachen.
Der Nationalrat räumte die Differenz daraufhin oppositionslos aus und nahm das Schengen-Datenschutzgesetz in der Schlussabstimmung mit 182 zu 11 Stimmen an. Der Genehmigung des Notenaustausches stimmte er mit 139 zu 45 Stimmen zu; dagegen opponierte ein Grossteil der SVP-Fraktion. Im Ständerat passierten beide Entwürfe die Schlussabstimmung einstimmig.

Darüber, dass das mittlerweile in die Jahre gekommene Schweizer Datenschutzrecht revidiert werden muss, bestand in der Sommersession 2018 im Nationalrat Einigkeit, jedoch nicht unbedingt darüber, wie diese Revision vonstattengehen soll. Die SPK-NR hatte die Vorlage des Bundesrates zweigeteilt, sodass in einem ersten Schritt alle Bestimmungen zur Umsetzung der Schengen-relevanten EU-Richtlinie 2016/680 «zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung» möglichst zeitnah verabschiedet werden können, bevor in der zweiten Etappe die Revision des Datenschutzgesetzes (DSG) unter Einbezug der EU-Datenschutz-Grundverordnung und der revidierten Datenschutzkonvention des Europarates ohne Zeitdruck angegangen werden kann. Nicht einverstanden mit diesem Plan wollte Cédric Wermuth (sp, AG) das Geschäft mittels Minderheitsantrag an die Kommission zurückweisen, damit diese die Teilung rückgängig mache und die Vorlage integral berate. Er hielt es für ineffizient, dass sich das Parlament innert kurzer Zeit zweimal mit dem Datenschutzrecht befassen müsste. Bevor darüber abgestimmt werden konnte, zog Wermuth seinen Antrag jedoch mit der Begründung zurück, zum jetzigen Zeitpunkt könne die Rückweisung nicht mehr zu einer Beschleunigung des Verfahrens führen; es sei nun vielmehr schneller, den eingeschlagenen Weg weiterzugehen und das Geschäft in der kommenden Herbstsession dem Ständerat zu unterbreiten. Somit trat die grosse Kammer ohne Gegenantrag auf die Vorlage ein und genehmigte deren Teilung. Damit wurden die für die Schengen-Zusammenarbeit im Strafrechtsbereich relevanten Bestimmungen in das neue Schengen-Datenschutzgesetz (SDSG) ausgelagert, das als Anhang des bestehenden DSG konzipiert ist. Das SDSG wird nach der Totalrevision des DSG hinfällig werden und war in seinem Inhalt im Nationalrat unbestritten. Im Zuge eines einzigen Minderheitsantrags befasste er sich mit der Frage, ob gewerkschaftliche Ansichten ausdrücklich in der Definition von besonders schützenswerten Daten natürlicher Personen erwähnt werden sollen oder ob diese automatisch unter den besonderen Schutz der politischen und weltanschaulichen Ansichten fallen, wie die Kommissionsmehrheit argumentierte. Bundesrätin Simonetta Sommaruga stellte fest, dass es keine materielle Differenz zwischen den beiden Vorschlägen gebe. Die Minderheit wollte im Einklang an die Formulierung im bestehenden DSG sowie in der EU-Richtlinie die gewerkschaftlichen Ansichten explizit beibehalten, doch der Nationalrat folgte in diesem Streitpunkt der Kommissionsmehrheit. In der Gesamtabstimmung nahm die grosse Kammer die Änderungen der ersten Etappe der Revision des Datenschutzgesetzes mit 174 zu 5 Stimmen bei 2 Enthaltungen an. Mit ebenso grosser Mehrheit (170 zu 5 Stimmen bei 2 Enthaltungen) stimmte sie der Genehmigung des Notenaustauschs zwischen der Schweiz und der EU betreffend die Übernahme der EU-Richtlinie zu.

Die SPK-NR trat im Januar 2018 einstimmig auf die Revision des Datenschutzrechts ein, da es unbestritten notwendig sei, das schweizerische Datenschutzrecht an die gesellschaftlichen und technologischen Entwicklungen anzupassen. Teil dieser Vorlage war auch die Umsetzung der EU-Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts. Wie bei allen Weiterentwicklungen des Schengen-Besitzstandes hat die Schweiz auch für die Übernahme dieser Richtlinie zwei Jahre Zeit. In diesem Fall endet diese Frist am 1. August 2018. Angesichts der zeitlichen Dringlichkeit der Schengen-relevanten Anpassungen einerseits sowie der Komplexität und Tragweite der Datenschutzthematik andererseits entschied die Kommission mit 14 zu 8 Stimmen bei 2 Enthaltungen, die Vorlage in zwei Teile zu spalten, sodass zuerst zeitnah die Schengen-relevanten Anpassungen verabschiedet werden können und die Totalrevision des Datenschutzgesetzes anschliessend ohne Zeitdruck erfolgen kann. Die zur Umsetzung der Richtlinie erforderlichen Anpassungen waren in der Kommission weitgehend unbestritten, weshalb sie diese erste Etappe im April desselben Jahres einstimmig annahm. Die Minderheit sah hingegen keinen Nutzen in der Teilung der Vorlage und wird dem Nationalrat beantragen, das Geschäft an die Kommission zurückzuweisen, damit diese die Revision des Datenschutzrechts integral berät.

Die Totalrevision des Datenschutzgesetzes (DSG) verfolgt gemäss der Mitte September 2017 verabschiedeten Botschaft des Bundesrates hauptsächlich zwei Ziele: Erstens sollen die der rasanten technologischen Entwicklung in jüngster Zeit geschuldeten Schwächen des bestehenden Gesetzes behoben werden und zweitens soll das revidierte Gesetz den diesbezüglichen Entwicklungen im Europarat und in der EU Rechnung tragen. Im Rahmen der Revision ihres Datenschutzrechts erliess die EU u.a. die Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts, die auch Teil des Schengen-Acquis ist. Die DSG-Revisionsvorlage soll daher die Anforderungen der genannten EU-Richtlinie übernehmen, um sicherzustellen, dass die Schweiz ihre Schengen-Verpflichtungen wahrnehmen kann. Der Europarat erarbeitete indes ein Protokoll zur Revision des Übereinkommens SEV 108 zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten, womit das schweizerische DSG nach der Revision ebenfalls vereinbar sein soll. Aus Sicht des Bundesrates bilden die Ratifikation dieses Übereinkommens einerseits und die Annäherung an das Datenschutzrecht der EU andererseits die zentralen Voraussetzungen dafür, dass die Europäische Kommission der Schweiz weiterhin ein angemessenes Datenschutzniveau attestiert. Vor allem für die Schweizer Wirtschaft ist dieser sogenannte Angemessenheitsbeschluss von zentraler Bedeutung, da die Schweiz in allen Bereichen, die nicht der Schengen-Zusammenarbeit unterstehen, von der EU als Drittstaat angesehen wird und ein Datenaustausch zwischen EU-Mitgliedstaaten und Drittstaaten nur erlaubt ist, wenn Letzterer ein angemessenes Datenschutzniveau gewährleistet.
Zu den wichtigsten inhaltlichen Änderungen im DSG zählt neben dem Verzicht auf den Schutz der Daten juristischer Personen eine grundsätzliche Informationspflicht bei der Datenbeschaffung für alle Bearbeitungen durch Private, um die Transparenz der Datenbearbeitung generell zu verbessern. Überdies soll bei den für die Datenbearbeitung Verantwortlichen über entsprechende, von den Branchen erarbeitete Verhaltenskodizes die Selbstregulierung gefördert werden. Auch der EDÖB soll in seiner Position und Unabhängigkeit gestärkt werden und neu wie seine europäischen Amtskollegen Untersuchungen gegenüber Datenbearbeitern eröffnen sowie Verfügungen erlassen können. Letztlich sollen auch die Strafbestimmungen gegenüber heute verschärft werden. Zur Umsetzung der EU-Richtlinie 2016/680 umfasst die Vorlage zusätzlich Anpassungen in weiteren Gesetzen, namentlich im Strafgesetzbuch, in der Strafprozessordnung, im Rechtshilfegesetz sowie im Schengen-Informationsaustauschgesetz.
Mit seinem Entwurf kam der Bundesrat vor allem der Wirtschaft entgegen, die in der Vernehmlassung Kritik an der weitgehenden Regulierung geübt hatte. So wurde nun auf ein «Swiss Finish» verzichtet; d.h. es sind keine Anpassungen vorgesehen, die über den EU-Standard hinausgehen. Insbesondere das Sanktionensystem kommt im Vergleich zur Vernehmlassung abgeschwächt daher, soll die maximale Busse doch nur noch CHF 250'000 und nicht wie ursprünglich vorgeschlagen CHF 500'000 betragen. In den Augen des SGV sind die Bussen dennoch zu hoch und die Position des EDÖB zu stark. Der EDÖB Adrian Lobsiger selbst zeigte sich im Grossen und Ganzen zufrieden mit dem Entwurf des Bundesrates und bedauerte einzig, dass ihm nicht die Kompetenz zugestanden wird, ohne Strafprozess direkt Bussen zu verhängen.

Bei einer Stimmbeteiligung von knapp 43 Prozent nahm die Schweizer Stimmbevölkerung am 25. September 2016 das Bundesgesetz über den Nachrichtendienst (NDG) mit 65.5 Prozent Ja-Stimmen an. Das Resultat fiel damit noch deutlicher aus, als es die im Vorfeld durchgeführten Umfragen erwarten liessen. In keinem einzigen Kanton resultierte eine Nein-Mehrheit. Die geringste Zustimmung erfuhr das NDG im Kanton Basel-Stadt mit 55 Prozent. Am höchsten fiel die Zustimmung mit gut 74 Prozent im Kanton Waadt aus, gefolgt von Nidwalden mit gut 70 Prozent. In allen anderen Kantonen bewegte sich der Ja-Anteil zwischen 60 und 70 Prozent, wobei sich keine nennenswerten Unterschiede zwischen den Landesteilen oder zwischen Stadt und Land zeigten.
Bundesrat Guy Parmelin, der hiermit seine Feuerprobe als neuer Verteidigungsminister vor dem Stimmvolk souverän bestanden hatte, zeigte sich sehr zufrieden mit dem Ausgang der Abstimmung. Die Schweiz erhalte damit moderne Mittel, um auf aktuelle Bedrohungen zu reagieren, sagte er gegenüber den Medien. Auch das Ja-Komitee zeigte sich erfreut, dass es gelungen sei, die Ängste vor der Massenüberwachung zu entkräften. Die Presse deutete das Resultat entsprechend als Vertrauensbeweis der Stimmbevölkerung in den Staat. Das unterlegene Nein-Lager kündigte unterdessen an, nun auf die transparente Kontrolle des NDB zu pochen und die vom Bundesrat kommunizierte Zahl von rund zehn Überwachungsfällen pro Jahr genau im Auge zu behalten.
In Kraft treten wird das neue NDG am 1. September 2017. Bis dahin gebe es noch viel zu tun, erklärte der Verteidigungsminister. So müsse der NDB organisatorisch und technisch auf seine neuen Befugnisse ausgerichtet werden, denn mit diesen Anpassungen habe man bis zur Abstimmung zugewartet. Die personelle Aufstockung des NDB um 20 Stellen solle bis 2019 schrittweise erfolgen. Möglichst zeitnah müsse zudem die neue unabhängige Aufsichtsbehörde eingerichtet werden, deren Leitung der VBS-Chef bis Ende Jahr ernennen werde. Die Aufsicht solle dann – wie auch die Sicherheitspolitischen Kommissionen der eidgenössischen Räte und die GPDel – bereits in die Ausarbeitung der Verordnungen zur Konkretisierung des NDG einbezogen werden, die der Bundesrat Anfang 2017 in die Vernehmlassung schicken wolle.


Abstimmung vom 25. September 2016

Beteiligung: 42.94%
Ja: 1'459'068 (65.5%)
Nein: 768'065 (34.5%)

Parolen:
– Ja: BDP, CVP, EDU (1*), EVP (1*), FDP, FP, KVP, SVP (1*); KKJPD, Economiesuisse
– Nein: GP, PdA, Piratenpartei, SD, SP (2*); GSoA, Digitale Gesellschaft, Syndicom
– Stimmfreigabe: GLP (4*)
* In Klammern Anzahl abweichender Kantonalsektionen

Lange bevor der Bundesrat Mitte Juni 2016 mit seiner Medienkonferenz den Abstimmungskampf zum Nachrichtendienstgesetz offiziell eröffnete, wurde das Thema breit in der Öffentlichkeit diskutiert. Anlass dazu boten etwa die Terroranschläge in Brüssel vom 22. März 2016, in deren Nachgang bürgerliche Sicherheitspolitikerinnen und -politiker den Bundesrat dazu aufforderten, dem Nachrichtendienst per dringlichem Bundesbeschluss schleunigst zu den notwendigen Kompetenzen zu verhelfen. Man könne nicht warten, bis das neue NDG nach der Referendumsabstimmung vom September in Kraft treten könne; die jüngsten Anschläge hätten gezeigt, «dass die Bedrohung durch Terrorismus real ist», erklärte die Präsidentin der SiK-NR, Ida Glanzmann-Hunkeler (cvp, LU), gegenüber der NZZ. In Zeiten wie diesen sei es «unsinnig», dass der NDB in seiner Arbeit behindert werde, zitierte die «Tribune de Genève» dazu SiK-SR-Präsident Isidor Baumann (cvp, UR). Der NDB sei momentan «blind und taub», mahnte der Genfer Sicherheitsdirektor Pierre Maudet (GE, fdp) an gleicher Stelle. Obschon die Forderung unerfüllt verhallte, lagen die Hauptargumente für das neue Nachrichtendienstgesetz damit schon einmal auf dem Tisch.

Dass ein grosser Teil der Schweizer Bevölkerung ähnlich dachte, zeigte die im Mai veröffentlichte Studie «Sicherheit 2016» der ETH Zürich. Darin schätzten rund drei Viertel der Befragten die weltpolitische Lage (eher) pessimistisch ein, wobei die Erhebungen bereits im Januar und damit vor den Terrorattacken in Brüssel stattgefunden hatten. Damit einher gingen ein gegenüber dem Vorjahr gestiegenes subjektives Unsicherheitsempfinden sowie die klare Unterstützung von Massnahmen zur Wahrung der inneren Sicherheit wie Datensammlungen über verdächtige Personen, Armeeeinsätze zur Sicherstellung von Ruhe und Ordnung, die Aufstockung der Polizeikorps, Videoüberwachung im öffentlichen Raum oder vorsorgliche Verhaftungen. Von einer gewissen Ambivalenz zeugten die Antworten zum Verhältnis von Freiheit und Sicherheit: 55 Prozent der Befragten waren der Meinung, dass der Staat die Sicherheit der Bevölkerung auch auf Kosten der persönlichen Freiheit garantieren solle, gleichzeitig würden sich aber ebenfalls 55 Prozent für Freiheit statt Sicherheit entscheiden, wenn sie gezwungen wären, eins der beiden zu wählen. Zwei Drittel befürworteten aber die Terrorismusbekämpfung auch unter Einschränkung der persönlichen Freiheit – ein Ergebnis, das «Wasser auf die Mühlen der Befürworter» des neuen NDG sei, wie das St. Galler Tagblatt resümierte.

Weiteren Impetus fand die Befürworterseite in der Tatsache, dass sich offenbar auch der IZRS an der Unterschriftensammlung gegen das NDG beteiligt hatte, wie die Luzerner Zeitung Mitte Juni bekannt machte. Die umstrittene islamische Organisation sehe im NDG ein «Vehikel gegen Muslime», in dessen Fokus «je nach politischem Klima» auch andere Gruppen geraten könnten, weshalb Mediensprecher Qaasim Illi zur Unterschrift gegen das NDG aufgerufen habe. Im Einsatz für das NDG sah man sich dadurch bestätigt, denn es sei «bezeichnend», dass «ein Verein wie der IZRS, der selber im Fokus des NDB stehen könnte», gegen das Gesetz mobil mache, zitierte die Zeitung Ida Glanzmann-Hunkeler. Sogar Bundesrat Guy Parmelin sollte den Widerstand des IZRS einige Tage später vor den Medien lakonisch als «beste Werbung für das Gesetz» bezeichnen. Die Gegenseite distanzierte sich derweil von «diesen Extremisten», wie SP-Sprecher Michael Sorg betonte; man sei nicht verbündet und stehe in keinerlei Kontakt. Aus dem Abstimmungskampf wollte sich der IZRS denn auch heraushalten, wie er über eine Sprecherin verlauten liess.

Auf der Pro-Seite stand neben dem Bundesrat ein überparteiliches Ja-Komitee, das Parlamentarierinnen und Parlamentarier aller grösseren Parteien ausser den Grünen vereinte. Im Laufe der Kampagne sprachen sich zudem die Ost- und Westschweizer Konferenzen der Justiz- und Polizeidirektorinnen und -direktoren sowie die Regierungsräte der Kantone Zürich und Schaffhausen für das NDG aus. Das Hauptargument für das neue Gesetz war, dass die Mittel des schweizerischen Nachrichtendienstes an die aktuelle Bedrohungslage angepasst werden müssten, denn mit seinen heutigen Instrumenten könne er die Schweiz nicht ausreichend vor den sich ständig verändernden und komplexer werdenden Gefahren schützen. Der NDB sei schlicht «überholt», konstatierte FDP-Nationalrätin Corina Eichenberger (fdp, AG) gegenüber der Presse. Klar könne das Risiko nicht vollständig eliminiert werden, aber es seien schon viele Attentate dank Überwachung verhindert worden, pries SVP-Ratskollege Raymond Clottu (svp, NE) die neuen Überwachungsmöglichkeiten an. Als die Ziele des NDG nannte Verteidigungsminister Guy Parmelin einerseits die präventive Überwachung der «gefährlichsten Individuen» (NZZ) sowie andererseits die Erschwerung von Cyberangriffen und -spionage, wie im Fall der Ruag, der Anfang 2016 aufgedeckt worden war. Als weiteren Vorzug des neuen Gesetzes hob NDB-Chef Markus Seiler die Vereinfachung der internationalen Zusammenarbeit in der Terrorismusbekämpfung hervor. Gleichzeitig warnte er vor einer Schwächung der internationalen Stellung der Schweiz, sollte das Gesetz abgelehnt werden, denn je weniger eigene nachrichtendienstliche Erkenntnisse die Schweiz habe, umso grösser sei die Gefahr, von ausländischen Geheimdiensten instrumentalisiert zu werden. Es sei aber mitnichten die Absicht des neuen Gesetzes, alle Bürgerinnen und Bürger zu überwachen und selbstverständlich müsse Missbrauch verhindert werden, betonte Bundesrat Parmelin weiter. Auch das Komitee erklärte, umfassende Kontrollmechanismen und eine gut ausgebaute Aufsicht über den Nachrichtendienst verhinderten, dass ein Überwachungsstaat geschaffen werde. Die Befürworterinnen und Befürworter wurden nicht müde zu betonen, dass das NDG das Gleichgewicht zwischen individueller Freiheit und Sicherheit wahre und letztlich schlicht notwendig sei – oder mit den Worten von SP-Nationalrätin Rebecca Ruiz (sp, VD) in der «Tribune de Genève»: «Wir können nicht bei Windows 95 und Walkie-Talkies bleiben.» Der Status quo sei eine Reaktion auf den Fichenskandal in den 1990er-Jahren gewesen, erklärte auch EDÖB Adrian Lobsiger gegenüber der Sonntagszeitung. Seither hätten sich die Welt verändert und die Sicherheitslage verschärft. Auch er bezeichnete das NDG als «Kompromiss zwischen Freiheit und Sicherheit», liess sich aber nicht auf eine explizite Abstimmungsempfehlung hinaus. Zum frühen Zeitpunkt des offiziellen Kampagnenstarts Mitte Juni sagte Bundesrat Parmelin, er wolle eine «pädagogische» Abstimmungskampagne führen, um der Bevölkerung angesichts des heiklen und komplexen Themas genau zu erklären, was die Neuerungen seien und warum sie nötig seien.

Die Kontra-Seite bestand hauptsächlich aus dem Referendumskomitee «Bündnis gegen den Schnüffelstaat», das von den Grünen, der SP, den Juso, der Piratenpartei, der Gewerkschaft Syndicom, der Digitalen Gesellschaft, dem Verein Grundrechte.ch sowie dem Chaos Computer Club unterstützt wurde. Ein bürgerlich geprägtes Gegenkomitee um die bürgerlichen Jungparteien, kritische Parlamentarierinnen und Parlamentarier von SVP bis GLP sowie die Operation Libero, das liberale Argumente gegen das NDG anführen wollte, zerbrach hingegen, bevor es sich formieren konnte. Man habe das NDG gleichzeitig mit dem BÜPF bekämpfen wollen, aber mit dem Scheitern des BÜPF-Referendums sei die Gruppe auseinandergefallen, schilderte der Koordinator und stellvertretende SGV-Direktor Henrique Schneider dem St. Galler Tagblatt. So dominierten denn auch die von links geäusserten Bedenken das Argumentarium der Gegnerschaft. Weil es dem NDB erlaube, auf Basis blosser Vermutungen zu agieren, gehe das neue Nachrichtendienstgesetz zu weit, so das Hauptargument des Nein-Lagers. Juso-Präsidentin Tamara Funiciello nannte das NDG einen «Schritt Richtung Massenüberwachung». Mit dem Gesetz würden alle Bürgerinnen und Bürger zu Verdächtigen gemacht, sodass der NDB letztlich jeden zum potenziellen Terroristen «emporstilisieren» könne, kritisierte der Präsident des Vereins Grundrechte.ch, Viktor Györffy. Das von der Befürworterseite propagierte Gleichgewicht zwischen individueller Freiheit und Sicherheit konnte die Gegnerschaft nirgends erkennen. Mit der Stärkung des Nachrichtendienstes kreiere man nur eine «Illusion von Sicherheit», bemängelte der Grüne Nationalrat Balthasar Glättli (gp, ZH). Die Attentäter von Paris und Brüssel seien sehr wohl nachrichtendienstlich oder polizeilich bekannt gewesen, aber nichtsdestotrotz hätten die Anschläge nicht verhindert werden können. Dass eine parlamentarische oder juristische Kontrolle die Aktivitäten des NDB und damit die Eingriffe in die Grundrechte wirklich begrenzen könne, sei ebenfalls «illusorisch», so Györffy weiter. Glättli sah das Gesetz ausserdem – sowohl aufgrund der Zusammenarbeit mit ausländischen Nachrichtendiensten als auch wegen der Möglichkeit zum Eindringen in ausländische Computersysteme – als Gefahr für die Neutralität der Schweiz. Zudem missbilligte die Gegnerschaft, dass der Staat durch den Kauf von Trojanern den Schwarzmarkt für Sicherheitslücken und das organisierte Verbrechen fördere.

Insgesamt verlief die öffentliche Debatte über lange Zeit unaufgeregt und angesichts der Tragweite des Themas eher spärlich. Erst rund drei Wochen vor dem Abstimmungssonntag, im Anschluss an die SRF-«Arena» zum NDG, gewann sie «doch noch etwas an Temperatur», wie der Tages-Anzeiger kommentierte. Dabei stand das Instrument der Kabelaufklärung im Fokus, in der die Gegenseite nichts anderes als die verdachtsunabhängige Massenüberwachung erkannte. Die Beteuerung, es werde nur der grenzüberschreitende, nicht aber der inländische Internetverkehr überwacht, sei bedeutungslos, da etwa sehr viele E-Mails über ausländische Server verschickt würden, auch wenn sich Sender und Empfänger in der Schweiz befänden. Ein viel genanntes Argument gegen diese Art der Überwachung war die Suche nach der sprichwörtlichen Nadel im Heuhaufen, die eben nicht einfacher werde, wenn man den Heuhaufen vergrössere. NDG-Fürsprecherin Corina Eichenberger hielt dem in der «Tribune de Genève» entgegen, man werde im Internetverkehr schon nach sehr eng definierten Schlagworten suchen, und nicht einfach nach «Islam» oder «Bombe». Ausserdem führte die Pro-Seite an, der NDB verfüge gar nicht über genug Ressourcen für eine solche Massenüberwachung. Der Bundesrat sprach bis zuletzt von rund zehn Fällen pro Jahr, in denen bewilligungspflichtige Beschaffungsmassnahmen eingesetzt würden, wie er auch schon dem Parlament erklärt hatte. In den Medien wurde diese Zahl jedoch in Zweifel gezogen, da sich seit den parlamentarischen Beratungen die Bedrohungslage durch vermehrte Anschläge in Europa – die bisher folgenschwersten in Paris und Brüssel – und die zunehmende Anzahl Dschihad-Reisender aus der Schweiz verschärft habe. Während das VBS die Zahl als Durchschnittswert, der mit der Bedrohungslage variieren könne, verteidigte, sprach Ida Glanzmann-Hunkeler eher von 20 bis 25 Fällen pro Jahr, wobei diese Schätzung nicht statistisch extrapoliert, sondern «mehr ein Gefühl» sei, wie sie gegenüber dem Tages-Anzeiger erklärte. NDG-Gegner Balthasar Glättli sah in diesem Zahlenwirrwarr gemäss St. Galler Tagblatt ein Indiz dafür, dass «die staatlichen Schnüffler wesentlich hungriger» seien, als sie es «vor der Abstimmung zugeben» wollten. Wie der Tages-Anzeiger feststellte, wurde der Abstimmungskampf gegen Ende zum «Streit der Begrifflichkeiten», der sich vor allem um die Definition von Massenüberwachung drehte. Es sei die Antwort auf die von Beat Flach (glp, AG) in der «Arena» gestellte Frage, ob es wirklich so furchtbar sei, dass in Zukunft alles zuerst durch den Filter des NDB gehe, die Befürworter und Gegner des NDG trenne, konstatierte dieselbe Zeitung.

Die ab Mitte August durchgeführten Umfragen zeigten schon von Anfang an eine breite Unterstützung von knapp 60 Prozent für das NDG, die bis zur letzten Umfragewelle Mitte September ungefähr konstant blieb. Als wichtigste Argumente identifizierten die Befragungen die Befürchtung möglichen Missbrauchs neuer Technologien auf der Pro- sowie den mangelhaften Schutz der Privatsphäre auf der Kontra-Seite. Bei den bürgerlichen Parteien wollte die Mehrheit der Basis Ja stimmen, während die Anhängerschaft der linken Parteien mehrheitlich ein Nein einlegen wollte. Damit hatte das NDG gute Voraussetzungen, das Referendum ungefährdet zu passieren.

In der Woche nach der Schlussabstimmung in den eidgenössischen Räten über das revidierte BÜPF stellte sich – wie von SVP-Nationalrat und Komitee-Chef Franz Grüter (svp, LU) bereits seit längerem angekündigt – das Referendumskomitee „Stop BÜPF“ vor. Ihm gehörten neben der Piratenpartei, der Alternativen Liste und der Partei der Arbeit auch die Jungfreisinnigen, die Jungen Grünliberalen, die Junge SVP sowie die Juso an. Dazu kamen sieben zivilgesellschaftliche Organisationen, namentlich die Digitale Gesellschaft, der Verein Grundrechte, Operation Libero, die Internet Society Schweiz, der Chaos Computer Club Schweiz, die Stiftung pEp und Wilhelm Tux. Diese ungewöhnliche Allianz von Jungparteien von links bis rechts deutete darauf hin, dass in dieser Frage weniger ein parteiideologischer als vielmehr ein Generationenkonflikt vorlag. Mitte April präsentierte das Komitee seine Argumente. Im Zentrum der Kritik stand einerseits die als „unverhältnismässig“ angesehene Vorratsdatenspeicherung, bei der zwar die Frist zur Aufbewahrung der Daten nicht verlängert, aber der Kreis der Anbieter, die Daten für die Behörden bereithalten müssen, ausgeweitet wurde. Andererseits störten sich die BÜPF-Gegner an den Staatstrojanern, die fortan in fremde Computersysteme eindringen und so verschlüsselte Kommunikation abhören können. Besonders stossend sei hierbei, dass die Staatstrojaner bestehende Sicherheitslücken ausnutzen sollen, wodurch ein „legaler Schwarzmarkt von Sicherheitslücken“ geschaffen werde, so Norbert Bollow, Präsident der Digitalen Gesellschaft. Zum Abhören verschlüsselter Kommunikation gebe es auch andere Mittel, betonte JGLP-Co-Präsident Pascal Vuichard und verwies auf die Firma Skype, welche auf Gerichtsbeschluss hin mit den Behörden kooperiere. Vonseiten der IT-Anbieter kritisierte Jean-Marc Hensch, Geschäftsführer des Branchenverbandes Swico, die „überrissenen Mitwirkungspflichten“, da auch kleinere Anbieter einen automatischen Zugriff der Behörden auf ihre Systeme einrichten müssten. Im Grundsatz war sich das Komitee einig, dass die Privatsphäre nicht auf Vorrat eingeschränkt werden solle – mit den Worten von Juso-Präsident Fabian Molina: „Im Zweifel für die Freiheit.“ Ebenfalls im April trat die SP nach einem entsprechenden, äusserst knappen Beschluss der Delegiertenversammlung dem Referendumskomitee bei, allerdings gegen den Widerstand ihres Parteipräsidenten Christian Levrat (sp, FR) und entgegen der Mehrheit der Bundeshausfraktion, die das BÜPF im Parlament gutgeheissen hatte.
Einen Monat vor Ablauf der Referendumsfrist am 7. Juli 2016 wurde bekannt, dass die Unterschriftensammlung bis anhin harzig verlaufen war und deshalb noch rund die Hälfte der benötigten 50'000 Unterschriften fehlten. Daraufhin erklärte Juso-Präsident Fabian Molina den Abbruch der offiziellen Unterschriftensammlung. Er zeigte sich enttäuscht über die schwache Sammelleistung der bürgerlichen Jungparteien und glaubte nicht mehr an den Erfolg des Referendums. Die Allianzpartner ihrerseits bezeichneten den Rückzug Molinas als feige und unzuverlässig und beklagten auch das mangelnde Engagement der Juso, welche das Unterschriften-Soll auch nicht erfüllt hätten. Dennoch wollten sie nicht aufgeben und setzten die Unterschriftensammlung auch ohne Beteiligung der Juso fort. Ende Juni sah es denn auch tatsächlich danach aus, dass sich der Einsatz im Schlussspurt gelohnt hätte: Das Komitee verkündete, 55'000 Unterschriften erhalten zu haben, die lediglich noch beglaubigt werden müssten. Nach dem Austritt der Juso habe sich ein „gewaltiger Alarmismus“ breitgemacht, der die Sammler zusätzlich anspornte, erklärte Hernani Marques vom Chaos Computer Club. Er zeigte sich zuversichtlich, dass mindestens 51'000 gültige Unterschriften beisammen seien und das Referendum damit zustande komme.
Wie sich am Tag des Ablaufs der Referendumsfrist herausstellte, hatte sich das Komitee jedoch verkalkuliert. Von den gut 55'000 gesammelten Unterschriften trafen nur rund 45'000 rechtzeitig beglaubigt ein, damit sie bei der Bundeskanzlei hätten eingereicht werden können. Damit war das Referendum im allerletzten Moment gescheitert. Für das Komitee sei es eine „gewaltige Enttäuschung“. Schuld daran seien aber weder die Sammlerinnen und Sammler noch die Gemeinden, sondern das Komitee selbst, das in der Anfangsphase zu viel Zeit verloren habe, gab es in einer Mitteilung bekannt. Damit wird das BÜPF wie von den eidgenössischen Räten verabschiedet in Kraft treten.

In der Differenzbereinigung des BÜPF lag der Ball zu Beginn der Frühjahrssession 2016 beim Nationalrat. Unter den verbleibenden Streitpunkten waren die Frage, ob ein bestimmtes Vorgehen bei der Feststellung von Sicherheitslücken in Überwachungssystemen im Gesetz geregelt werden soll, und jene, ob GovWare durch eine zentrale Bundesstelle beschafft und zertifiziert werden soll, am wenigsten kontrovers. Beide Regelungen waren ursprünglich vom Nationalrat in die Vorlage aufgenommen worden. Nachdem sie im Ständerat allerdings nicht auf Gegenliebe gestossen waren, liess der Nationalrat die Bestimmungen fallen und schloss sich in diesen Punkten auf Antrag seiner Kommission diskussionslos dem Beschluss des Ständerates an. Dagegen sorgten die Aufbewahrungsfrist für Randdaten des Post- und Fernmeldeverkehrs sowie die Frage, ob solche Daten zwingend in der Schweiz gelagert werden müssen, für weit mehr Zündstoff. Während die Mehrheit der RK-NR in der Fristfrage einlenken und die Aufbewahrungsfrist für Randdaten bei sechs Monaten belassen wollte, setzte sich eine Kommissionsminderheit um Andrea Geissbühler (svp, BE) für das Festhalten am letzten nationalrätlichen Beschluss ein. Die hier vorgesehene zwölfmonatige Frist, wie sie auch im ursprünglichen Entwurf des Bundesrates vorgesehen war, sei für die erfolgreiche Arbeit der Strafverfolgungsbehörden wichtig, so das Hauptargument für die Fristverlängerung. Die Gegner führten dagegen vor allem den Persönlichkeitsschutz ins Feld. Seit der Verabschiedung der bundesrätlichen Botschaft sei in dieser Frage etwas Entscheidendes passiert, führte Bundesrätin Sommaruga im Nationalrat aus, nämlich die Ungültigkeitserklärung der europäischen Richtlinie über die Vorratsdatenspeicherung durch den EuGH, worauf viele europäische Staaten die Vorratsdatenspeicherung ganz ausgesetzt oder die entsprechenden Fristen verkürzt hätten. Obwohl das Urteil für die Schweiz nicht bindend ist, sei der Bundesrat zum Schluss gekommen, die Vorteile einer Fristerhöhung könnten die dadurch ausgelöste politische Unruhe nicht aufwiegen, weshalb der Bundesrat nun beantrage, die Frist vorerst bei sechs Monaten zu belassen. Eine Ratsmehrheit von rund zehn Stimmen stimmte schliesslich bei allen Anträgen betreffend die Aufbewahrungsfrist von Randdaten des Post- und Fernmeldeverkehrs gemäss der Kommissionsmehrheit und dem Bundesrat, womit die Frist auf sechs Monate festgesetzt wurde. Zum Schluss der Beratung wurde in der grossen Kammer darüber gestritten, ob Anbietern von Fernmeldediensten im Gesetz explizit vorgeschrieben werden soll, die Randdaten des Fernmeldeverkehrs in der Schweiz aufzubewahren. Auch diese Bestimmung war vom Nationalrat in den Entwurf eingefügt und anschliessend vom Ständerat wieder gestrichen worden. Die Kommissionsmehrheit beantragte dem Rat Festhalten, während eine Minderheit dafür plädierte, dem Beschluss des Ständerates zu folgen und den Aufbewahrungsort der Daten nicht im Gesetz festzuschreiben. Der Minderheitssprecher Karl Vogler (csp, OW) bezeichnete diese Vorschrift als unnötig, da jedes Unternehmen, das in der Schweiz seine Dienste anbiete, das schweizerische Recht und damit auch das schweizerische Datenschutzrecht beachten müsse und eine solche Regelung daher nichts an der Verantwortlichkeit der Anbieter ändere. Aus Gründen der Wettbewerbsfähigkeit gehe es auch darum, keine „obligatorisch-protektionistische Swissness-Vorschrift“ für die Schweizer Telekombranche zu schaffen. Pointierte Schützenhilfe bot u.a. der Sprecher der Grünliberalen Fraktion, Thomas Weibel (glp, ZH), indem er der Mehrheit „die realitätsfremde Erwartung, dass Bits und Bytes die Schweiz nicht verlassen können“ attestierte. Weitere Bedenken bestanden überdies darin, dass die zuständigen Behörden den tatsächlichen Speicherort der Daten gar nicht kontrollieren könnten sowie in der Verhältnismässigkeit; es gebe noch weitere, je nach Ansicht sogar noch sensiblere Daten – zum Beispiel Sozialversicherungs- oder Krankenversicherungsdaten –, die auch nicht in der Schweiz gespeichert sein müssten. Während sich die Ratsmitte mit Ausnahme von drei Abweichlern aus den CVP- und FDP-Fraktionen von diesen Argumenten überzeugt zeigte, stimmten sowohl der linke als auch der rechte Pol dem Mehrheitsantrag zu. Mit 114 zu 72 Stimmen bei drei Enthaltungen hielt die grosse Kammer somit an der Pflicht, Fernmeldedaten in der Schweiz aufzubewahren, fest.

Mit dieser verbleibenden Differenz und einigen unumstrittenen redaktionellen Anpassungen ging die Vorlage zurück an den Ständerat. Dort sprach sich nur eine Minderheit von 17 Stimmen für die vom Nationalrat beschlossene Verpflichtung aus. Die deutliche Ratsmehrheit von 25 Stimmen folgte dem Antrag ihrer Kommissionsmehrheit und lehnte die – in den Worten von Kommissionssprecher Stefan Engler (cvp, GR) „Scheinsicherheit“ schaffende – Bestimmung ab.

Vor dem nächsten Zug des Nationalrates kehrten sich die Mehrheitsverhältnisse in der vorberatenden RK-NR um. Es war nun die Mehrheit, welche sich gegen die zwingende Datenspeicherung in der Schweiz aussprach, und die Minderheit, die nach wie vor das Festhalten an der Bestimmung beantragte. Minderheitssprecher Franz Grüter (svp, LU) liess verlauten, sein Referendumskomitee stehe bereits in den Startlöchern und erhalte sicherlich Schub, wenn die Vorratsdatenspeicherung im Ausland erlaubt werde. Bundesrätin Sommaruga zeigte sich erstaunt über die Bedeutung, die dieser Frage plötzlich beigemessen werde; man habe „das Gefühl, es würde hier fast um Leben und Tod gehen.“ Auf beiden Seiten wurden dieselben Argumente wie in der letzten Diskussion wieder aufgewärmt und dieselbe Allianz aus Grünen, SP und SVP setzte sich mit 84 zu 73 Stimmen durch, wobei sich 35 Ratsmitglieder der Stimme enthielten, 31 davon allein aus der SP-Fraktion. Damit ging die Vorlage an die Einigungskonferenz.

Mit denkbar knapper Mehrheit, mit 13 zu 12 Stimmen, entschied die Einigungskonferenz, der Variante des Ständerates zu folgen und die umstrittene Bestimmung zu streichen. Der Ständerat, dem auch kein anderslautender Antrag vorlag, stimmte dem Antrag der Einigungskonferenz stillschweigend zu. Im Nationalrat hingegen lag ein Antrag Grüter auf Ablehnung des Antrages der Einigungskonferenz vor und die Debatte entwickelte sich zu einer Grundsatzdiskussion über die Gesetzesvorlage als Ganzes. Mit 151 zu 28 Stimmen bei 13 Enthaltungen sprach sich schliesslich auch die grosse Kammer deutlich für den Antrag der Einigungskonferenz aus und rettete das Projekt vor dem Scheitern. Von den vormals vehementen Verfechtern der nun fallen gelassenen Verpflichtung, Randdaten des Fernmeldeverkehrs zwingend und ausschliesslich in der Schweiz zu speichern, stimmte nun die grosse Mehrheit in den Reihen der SP- und SVP-Fraktionen dem Gesetz zu. Allein die Grüne Fraktion stellte sich bis zuletzt geschlossen dagegen. In der Schlussabstimmung am 18. März 2016 wurde das BÜPF im Nationalrat mit 160 zu 23 Stimmen bei 12 Enthaltungen und im Ständerat mit 41 zu 4 Stimmen angenommen.

Wenige Tage nachdem das Parlament das Nachrichtendienstgesetz verabschiedet hatte, begannen die Gegner des Gesetzes Anfang Oktober 2015 mit der Unterschriftensammlung für das bereits vorher angekündigte NDG-Referendum. Jungsozialisten, Grüne, die Piratenpartei, die Alternative Liste, die GSoA, der Verein Grundrechte Schweiz sowie das Bündnis Digitale Gesellschaft schlossen sich dazu zum „Bündnis gegen den Schnüffelstaat“ zusammen. Starthilfe erhielt die Allianz sogar aus dem Ausland: Nils Muižnieks, Menschenrechtskommissar des Europarats, kritisierte kurz vor der Schlussabstimmung im Parlament die geplanten Beschaffungsmassnahmen und sah das in der EMRK verankerte Recht auf Respektierung des Privatlebens durch Staatstrojaner in Gefahr. Anfang Dezember beschloss dann auch die SP an ihrer Delegiertenversammlung, dem „Bündnis gegen den Schnüffelstaat“ beizutreten. Bis zum Ablauf der Referendumsfrist am 14. Januar 2016 reichten die NDG-Gegner gut 56'000 gültige Unterschriften bei der Bundeskanzlei ein, womit das Referendum zustandegekommen ist und das Volk das letzte Wort zum NDG haben wird.

Im Zuge der Totalrevision des BÜPF hatte sich der Nationalrat in der Sommersession 2015 als Zweitrat mit dem Interessenskonflikt zwischen einer wirksamen Strafverfolgung und dem Persönlichkeits- bzw. Datenschutz zu befassen. Die zwei Hauptanliegen der Vorlage sind erstens die Ausweitung der Vorratsdatenspeicherung und zweitens die Schaffung einer gesetzlichen Grundlage für den Einsatz von Staatstrojanern (GovWare). Im Vorjahr hatte der Ständerat als Erstrat nicht viel am Entwurf des Bundesrates geändert. In der grossen Kammer stiess die Vorlage jedoch auf mehr Widerstand. Nach einer emotionalen Eintretensdebatte lehnte der Nationalrat einen Minderheitsantrag der RK-NR auf Rückweisung des Geschäfts an den Bundesrat mit 128 zu 50 Stimmen bei 7 Enthaltungen ab. Die Minderheit um Daniel Vischer (gp, ZH) wollte den Bundesrat damit beauftragen, eine Vorlage ganz ohne Vorratsdatenspeicherung vorzulegen und den Einsatz von Staatstrojanern auf schwere Gewaltverbrechen zu beschränken. In der Detailberatung zeigte sich, dass die Vorlage schon in der Kommission umstritten gewesen war, musste die grosse Kammer doch über mehr als 40 Minderheitsanträge abstimmen. In einem ersten Beratungsblock befasste sich der Nationalrat mit den Randdaten und brachte in diesem Bereich zwei Änderungen an: Erstens müssen Anbieter von Postdiensten die Randdaten während eines Jahres aufbewahren anstatt wie vom Ständerat beschlossen nur während sechs Monaten und zweitens müssen Anbieter von Fernmeldediensten ihre gespeicherten Daten in der Schweiz aufbewahren. Im zweiten Block befasste sich die grosse Kammer mit Staatstrojanern und fügte einen neuen Artikel in die Strafprozessordnung und den Militärstrafprozess ein, welcher effiziente Massnahmen gegen den Missbrauch von GovWare bieten soll, indem die festgeschriebenen Voraussetzungen sicherstellen, dass die Programme nur das gesetzlich Zulässige tun können. Ausserdem soll die Beschaffung und Freigabe solcher Programme zentral geregelt und einem Dienst des Bundes übertragen werden. Zum Schluss der Beratung diskutierte der Nationalrat in einem dritten Block die allgemeinen Bestimmungen des Gesetzes. Hier wurde mit Stichentscheid des Präsidenten Rossini (sp, VS) ein Minderheitsantrag gutgeheissen, mit dem das Vorgehen geregelt wird, wenn Sicherheitslücken in Überwachungssystemen festgestellt werden: Der Bundesrat muss den EDÖB sowie die Öffentlichkeit darüber informieren und bei erheblichen Sicherheitslücken den Betrieb des betroffenen Systems bis zur Behebung des Mangels einstellen. In der Gesamtabstimmung stimmte die grosse Kammer der Vorlage mit 110 zu 65 Stimmen bei 9 Enthaltungen zu. Unterstützt wurde das Geschäft vor allem von der politischen Mitte, während es die geschlossene grüne Fraktion sowie die Mehrheiten der SP- und SVP-Fraktionen ablehnten. Sie monierten vor allem einen zu starken Eingriff in die Persönlichkeitsrechte und den Datenschutz.

In der Wintersession desselben Jahres begann der Ständerat mit der Differenzbereinigung und folgte in allen Punkten den Anträgen seiner Rechtskommission. So strich er die vom Nationalrat aufgenommenen Bestimmungen über das Vorgehen bei Sicherheitslücken wieder aus dem Gesetz mit der Begründung, dass Fragen der Informatiksicherheit ins Datenschutzrecht gehörten und hier fehl am Platz seien. In Bezug auf die Aufbewahrungsdauer von Randdaten vollzog die kleine Kammer eine Kehrtwende und beschloss nun, die Fristen sowohl für den Post- als auch für den Fernmeldeverkehr bei sechs Monaten zu belassen. In erster Lesung hatte sie die Verlängerung auf zwölf Monate beim Fernmeldeverkehr noch gutgeheissen. Als einen Grund für diese Umkehr nannte Kommissionssprecher Stefan Engler (cvp, GR) das drohende Referendum: Die Vorratsdatenspeicherung sei per se schon umstritten, weshalb die Erhöhung auf zwölf Monate womöglich die Chancen eines allfälligen Referendums verbessern und damit die gesamte Vorlage gefährden könnte, was auf keinen Fall im Interesse der Strafverfolgungsbehörden liege. Bundesrätin Simonetta Sommaruga begrüsste diesen Kompromiss und betonte, die Frist sei sekundär, solange die Vorlage als Ganzes vorangebracht werde und man endlich die Möglichkeit erhalte, verschlüsselte Kommunikation mittels Staatstrojaner zu überwachen. Mit 20 zu 17 Stimmen bei 2 Enthaltungen strich der Ständerat die Pflicht, die gespeicherten Daten in der Schweiz aufzubewahren, wieder aus dem Entwurf. Die Minderheit, welche die Bestimmung beibehalten wollte, versprach sich davon mehr Datensicherheit, doch die Mehrheit erachtete den Absatz als nicht notwendig, da Schweizer Unternehmen ohnehin dem schweizerischen Datenschutzrecht unterstehen, unabhängig davon, wo sie die Daten lagern. Die Beschaffung und Zertifizierung von GovWare durch eine zentrale Bundesstelle wurde in der Kantonskammer ebenfalls fallengelassen, weil dadurch zu sehr in die kantonale Hoheit über die Strafverfolgung eingegriffen würde. In allen anderen Punkten schloss sich der Ständerat der Fassung des Nationalrates an. Über die verbleibenden Differenzen wird die grosse Kammer im kommenden Jahr beraten.

Nach der Beratung durch den Zweitrat im Sommer 2015 verblieben fünf grundsätzliche Differenzen in der Beratung zum Nachrichtendienstgesetz. Als erstes stellte sich bei Art. 23 NDG die Frage, ob der NDB Personen anhalten darf oder ob diese Kompetenz ausschliesslich den Polizeibehörden vorbehalten bleiben soll. Die Mehrheit der SiK-NR beantragte, dem Ständerat zu folgen und diese Kompetenz bei den Polizeibehörden zu belassen. Demgegenüber wollte eine von der SVP und der CVP unterstützte Minderheit in Ausnahmefällen auch dem NDB diese polizeilichen Befugnisse einräumen. Mit 107 zu 77 Stimmen bei einer Enthaltung wurde der Antrag der Kommissionsmehrheit gegen den Widerstand der geschlossen stimmenden SVP-Fraktion und der Mehrheit der CVP-Fraktion angenommen.

In Art. 28 Abs. 6 NDG wird das Bundesverwaltungsgericht verpflichtet, einen Tätigkeitsbericht über die Ausübung seiner Funktion als Bewilligungsinstanz für genehmigungspflichtige Beschaffungsmassnahmen zuhanden der GPDel zu verfassen. Strittig war hier, ob dieser Bericht mindestens in seinem allgemeinen Teil öffentlich zugänglich sein muss oder ob der Entscheid über eine allfällige Veröffentlichung der GPDel als Adressatin des Berichtes überlassen werden soll. Während eine links-grüne Minderheit für mehr Transparenz plädierte, sah die Kommissionsmehrheit in der Veröffentlichungspflicht eine Beschneidung der Kompetenzen der GPDel. Die bürgerliche Mehrheit konnte sich in diesem Punkt klar mit 117 zu 69 Stimmen bei 3 Enthaltungen durchsetzen.

Derselbe ideologische Graben zeigte sich in der Diskussion um Art. 36 NDG, dem eigentlichen Kernstück der Vorlage. Der erste Streitpunkt war hier, ob der Bundesrat Entscheide über das Eindringen in Computernetzwerke im Ausland, von welchen Angriffe auf kritische Infrastrukturen in der Schweiz ausgehen, an den Chef oder die Chefin des VBS bzw. an den Direktor oder die Direktorin des NDB delegieren kann oder nicht. Entgegen einem Minderheitsantrag aus dem linken Lager und der Empfehlung des Bundesrates hielt die grosse Kammer mit 107 zu 80 Stimmen an dieser Delegationsmöglichkeit fest. Nicht weniger umstritten war das Eindringen in Computernetzwerke im Ausland zwecks Informationsbeschaffung. Während der Ständerat hier das gleiche Bewilligungsverfahren wie für die genehmigungspflichtigen Beschaffungsmassnahmen vorgesehen hatte, war inzwischen klar, dass das Bundesverwaltungsgericht nicht bereit ist, solche Aktionen auf ausländischem Territorium zu bewilligen. Diese Kontrollmöglichkeit fiel somit aus. Infolgedessen beantragte eine linke Kommissionsminderheit, die betreffenden Befugnisse des NDB vollständig zu streichen. Mit 128 zu 59 Stimmen folgte der Nationalrat jedoch seiner Kommissionmehrheit und hielt an seinem letzten Beschluss, welcher auch der Fassung des Bundesrates entsprach, fest. Diese Regelung sieht vor, dass „in politisch heiklen Fällen“ der Chef oder die Chefin des VBS einer solchen Massnahme zustimmen muss.

Die vierte Kontroverse drehte sich um Art. 66 NDG und damit um die Ausnahme des NDB vom Öffentlichkeitsprinzip. Der Ständerat hatte in der Sommersession beschlossen, das gesamte NDG vom Öffentlichkeitsprinzip auszuschliessen. Diese Extremlösung stand im Nationalrat gar nicht mehr zur Debatte, dafür aber ihr Gegenstück: Eine linke Minderheit wollte das gesamte Gesetz grundsätzlich dem Öffentlichkeitsprinzip unterstellen, blieb damit aber chancenlos. Mit 132 zu 55 Stimmen sprach sich die grosse Kammer für den Kompromissantrag der Kommissionsmehrheit und des Bundesrates aus, nach welchem nur der Bereich der Informationsbeschaffung vom Öffentlichkeitsprinzip ausgenommen wird.

Als fünfte grosse Differenz bestand noch die Frage der Aufsicht über den NDB. Die SiK-NR arbeitete hier detailliertere Regelungen aus als jene, welche der Ständerat im Sommer mehr oder weniger „provisorisch“ eingefügt hatte, um die Diskussion am laufen zu halten. Diese neuen Bestimmungen stiessen im Nationalrat auf überwiegend positive Resonanz und wurden ohne nennenswerten Schlagabtausch angenommen. Ein Minderheitsantrag von linker Seite, welcher noch eine Ergänzung anbringen wollte, blieb erfolglos. Somit übergab die grosse Kammer die Vorlage mit verbleibenden drei grossen Differenzen an den Ständerat.

Ausser beim umstrittenen Art. 36 NDG stimmte die kleine Kammer überall dem Entwurf des Nationalrates zu und räumte die Differenzen aus. Mit der vom Nationalrat erneut beschlossenen Delegationsmöglichkeit bei Entscheiden über das Eindringen in Computersysteme, welche sich im Ausland befinden, wollte sich der Ständerat nicht abfinden und hielt im Gegenzug ebenfalls an seiner Version ohne Delegationsmöglichkeit fest. Bundesrat Maurer unterstrich noch einmal ausdrücklich, dass dies auch der Haltung des Bundesrates entspreche. In Bezug auf das Eindringen in Computernetzwerke im Ausland zur Informationsbeschaffung genügte dem Ständerat die vom Nationalrat beschlossene Regelung nicht. Anstatt nur in politisch heiklen Fällen seine Zustimmung zu geben, soll der Vorsteher oder die Vorsteherin des VBS die Departementsvorstehungen des EDA und des EJPD konsultieren und anschliessend den NDB zu einer solchen Massnahme ermächtigen. Diese beiden Regelungen fanden auch im Nationalrat stillschweigende Zustimmung, womit die letzten Differenzen beseitigt waren. In der Schlussabstimmung wurde das NDG schliesslich im Nationalrat mit 145 zu 58 Stimmen bei 8 Enthaltungen und im Ständerat mit 35 zu 5 Stimmen bei 3 Enthaltungen angenommen. Die ablehnenden Stimmen kamen wenig überraschend mehrheitlich aus dem links-grünen Lager, welches auch schon das Referendum angekündigt hatte.

Im Ständerat, welcher sich in der Sommersession 2015 als Zweitrat mit dem Nachrichtendienstgesetz auseinanderzusetzen hatte, zeigten sich bereits in der Eintretensdebatte die gleichen Konflikt- und Argumentationslinien, welche schon die Debatte im Nationalrat geprägt hatten. Mit 37 gegen 3 Stimmen bei 2 Enthaltungen sprach sich die kleine Kammer klar für Eintreten aus. Inhaltlich war analog zum Nationalrat auch im Ständerat die Kabelaufklärung besonders umstritten. Paul Rechsteiner (sp, SG) beantragte, «diese überschiessenden neuen Kompetenzen» des NDB aus dem Gesetz zu streichen. Mit 29 zu 6 Stimmen bei 3 Enthaltungen schloss sich der Ständerat jedoch seiner vorberatenden Kommission und dem Bundesrat an und unterstützte das Argument, dass die Massnahmen der Kabelaufklärung entscheidend zur Erhöhung der Sicherheit in der Schweiz beitragen würden. Eine weitere Debatte entzündete sich an Art. 66 NDG und damit an der Frage, ob der NDB grundsätzlich dem Öffentlichkeitsprinzip unterstellt sein soll oder nicht. Während die Kommissionsmehrheit dem Nationalrat und dem Bundesrat folgen und nur die Informationsbeschaffung durch den NDB vom Öffentlichkeitsprinzip ausnehmen wollte, forderte eine Kommissionsminderheit, die Unterstellung des NDB unter das Öffentlichkeitsgesetz vollumfänglich aufzuheben. Dazu soll im Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung ausdrücklich verankert werden, dass der NDB – wie bisher schon die Nationalbank und die Finma – von dessen Geltungsbereich ausgenommen ist. Bundesrat Maurer pries den Bundesratsvorschlag als Kompromiss zwischen Information und damit Vertrauen von der Bevölkerung einerseits und Vertraulichkeit und dadurch besserer Zusammenarbeit mit ausländischen Partnerdiensten andererseits an. Die Kantonskammer liess sich davon jedoch nicht überzeugen und entschied mit 22 zu 19 Stimmen ohne Enthaltungen zugunsten der Kommissionsminderheit.

Als verbleibende grosse Baustelle im neuen Gesetz hatte die vorberatende SiK-SR die Aufsicht und Kontrolle über den NDB identifiziert. Von keinem der vorhandenen Lösungsvorschläge überzeugt, hatte sie zu diesem Thema eine Kommissionsmotion eingereicht, damit der Bundesrat hierzu ein neues, ganzheitliches, ausgereiftes Konzept erarbeite. Der Ständerat schuf hier folglich eine Differenz zum Nationalrat, welche in erster Linie bewirken soll, dass dieser Abschnitt der Gesetzesvorlage in der Differenzbereinigung im Nationalrat mit einigen neuen Inputs erneut beraten wird. Das zentrale Anliegen des Ständerates war hier die Schaffung eines unabhängigen, ausserdepartementalen Kontrollorgans.

Die restlichen Bestimmungen der Vorlage waren in der kleinen Kammer kaum umstritten und wurden grösstenteils stillschweigend angenommen, auch wenn der Ständerat damit seiner Kommission folgend einige weitere Differenzen schuf. So darf der NDB selbst keine Personen anhalten und Streitigkeiten betreffend den Quellenschutz sollen vom Bundesstrafgericht und nicht vom Bundesverwaltungsgericht entschieden werden. Darüber hinaus darf der Bundesrat Entscheide über das Eindringen in Computernetzwerke nicht delegieren und muss das Bundesverwaltungsgericht auch das Eindringen in Computer, welche sich im Ausland befinden, genehmigen. Die maximale Aufbewahrungsdauer für Restdaten wurde auf 10 Jahre verkürzt und Beschwerden gegen das Organisationsverbot sollen entgegen der Absicht des Nationalrates vor dem Bundesverwaltungsgericht angefochten werden können. In der Gesamtabstimmung nahm der Ständerat den Entwurf mit grosser Mehrheit (32 zu 5 Stimmen bei 2 Enthaltungen) an.

Das Nachrichtendienstgesetz (NDG) war neben dem BÜPF die zweite Vorlage im Jahr 2015, bei der die eidgenössischen Räte eine Güterabwägung zwischen der Sicherheit der Bevölkerung und des Staates einerseits und dem Daten- und Persönlichkeitsschutz andererseits vornehmen mussten. Während das BÜPF jedoch die Verfolgung konkreter Straftatbestände durch die Behörden regelt, betrifft das NDG die präventive Überwachung durch den Nachrichtendienst (NDB). Die Gefahr einer erneuten Fichierung der Bevölkerung, welche von den Gegnern ins Feld geführt wurde, sah die grosse Mehrheit der vorberatenden SiK-NR nicht gegeben. Ziel des Gesetzes sei die präventive, gezielte Gewinnung von Schlüsselinformationen und der NDB erhalte dazu Instrumente für gezielte Eingriffe bei besonderen Bedrohungen, aber keine Generalvollmacht.

Als Erstrat hatte der Nationalrat dennoch zuerst über einen Nichteintretensantrag zu entscheiden. «Dieses Gesetz ist schlecht, lückenhaft und geht im entscheidenden Moment zu weit», begründete Daniel Vischer (gp, ZH) den Antrag. Das Gesetz stelle «unser kostbarstes Gut, die persönliche Freiheit» aufs Spiel und erlaube dem Staat einen «Lauschangriff». Die Befürworter des NDG hielten dagegen, dass sich die Bedrohungen in jüngster Zeit verändert hätten und man darum die Mittel anpassen müsse, um diesen Bedrohungen entgegenzutreten. Die Schweiz dürfe nicht aufgrund fehlender Kompetenzen des NDB zu einem Tummelplatz für Kriminelle und Terroristen, die hier unbehelligt ihre Taten vorbereiten können, sowie für ausländische Geheimdienste, welche die Überwachung des NDB als unzureichend empfinden, werden. Nach der hitzigen und langen Debatte votierte die klare Mehrheit der grossen Kammer mit 154 zu 33 Stimmen schliesslich für Eintreten. Dagegen stimmten die geschlossene grüne Fraktion, eine Minderheit der SP-Fraktion sowie einzelne Vertreter anderer Parteien.

Die Detailberatung erfolgte in vier thematischen Blöcken. Im ersten Block beschäftigte sich der Nationalrat mit den allgemeinen Bestimmungen des Gesetzes, den Aufgaben und der Zusammenarbeit des NDB sowie den genehmigungsfreien Beschaffungsmassnahmen. In diesem Themenbereich folgte die Volkskammer in allen Punkten ihrer Kommissionsmehrheit und brachte nur geringfügige Änderungen am Entwurf des Bundesrates an.

Die Bestimmungen des zweiten Blocks, zu denen die genehmigungspflichtigen Beschaffungsmassnahmen, der Quellenschutz, die Beschaffung von Informationen über Vorgänge im Ausland, die Kabelaufklärung und die Koordination mit der BÜPF-Revision gehören, sorgten für weitaus mehr Zündstoff in der Debatte, stellen sie doch den eigentlichen Kernbereich der Vorlage dar. Bei den genehmigungspflichtigen Beschaffungsmassnahmen war weniger die konkrete Ausgestaltung umstritten als die Frage, ob es sie überhaupt geben soll. Es handelt sich dabei um Massnahmen zur Überwachung ausserhalb des öffentlichen Raumes, d.h. Eingriffe in die Privatsphäre. Eine Minderheit um Daniel Vischer beantragte, den gesamten Abschnitt betreffend die genehmigungspflichtigen Beschaffungsmassnahmen aus dem Gesetz zu streichen, da diese nicht verhältnismässig angewendet werden könnten und «rechtsstaatlich unzulässig» seien. Das Ansinnen fand im links-grünen Lager grosse Unterstützung, hatte gegen die bürgerliche Mehrheit aber keine Chance. Die Befürworter argumentierten einmal mehr, dass diese Kompetenzen für den NDB unerlässlich seien, um die Sicherheit der Schweiz und ihrer Bevölkerung sicherzustellen. Missbrauch soll durch ein dreistufiges Bewilligungsverfahren, bei dem eine solche Massnahme zuerst vom Bundesverwaltungsgericht bewilligt und anschliessend nach einer Konsultation des EDA und des EJPD vom Chef oder der Chefin des VBS freigegeben werden muss, ausgeschlossen werden. Das gleiche Spiel wiederholte sich mit den Bestimmungen zur Kabelaufklärung. Sie geben dem NDB die Befugnis zur Suche nach bestimmten Schlagworten im Internet. Auch hier war nicht die konkrete Umsetzung umstritten, sondern die Existenz solcher Massnahmen an sich. Balthasar Glättli (gp, ZH) wollte mit einem Einzelantrag den gesamten Abschnitt betreffend die Kabelaufklärung aus dem Gesetz streichen. Die Meinungen und Argumente waren die gleichen wie in der Frage der genehmigungspflichtigen Beschaffungsmassnahmen und wiederum unterlag das links-grüne Lager der bürgerlichen Mehrheit im Rat. Die übrigen Bestimmungen in diesem Beratungsblock waren wenig umstritten und wurden alle gemäss Antrag der Kommissionsmehrheit angenommen.

Die Diskussion im dritten Block über die Bestimmungen zur Datenbearbeitung und -archivierung verlief entlang der gefestigten Argumentationslinien und war ansonsten wenig kontrovers. Die Kommission habe sehr hohe Ansprüche an die Datenerfassung, die Überprüfung der Plausibilität von Daten und die Datenarchivierung gestellt und immer darauf geachtet, die Interessen der breiten Bevölkerung am Persönlichkeitsschutz zu respektieren, versicherte Kommissionssprecher Roland Borer (svp, SO). So folgte der Nationalrat überall den Anträgen seiner Kommissionsmehrheit und brachte keine substanziellen Änderungen am bundesrätlichen Entwurf an.

Im vierten und letzten Block beschäftigte sich die grosse Kammer mit der politischen Steuerung, der Kontrolle und Aufsicht über den NDB, dem Organisationsverbot und den Schlussbestimmungen. Die vom Bundesrat vorgesehene vierfache Kontrolle durch eine departementsinterne unabhängige Aufsicht, den Sicherheitsausschuss des Bundesrates, die GPDel sowie eine unabhängige Kontrollinstanz für die Funkaufklärung stiess im Rat auf ein überwiegend positives Echo. Als einzige grundlegende Änderung am Entwurf des Bundesrates fügte der Nationalrat auf Antrag seiner Kommission eine explizite gesetzliche Grundlage für das Verbot von Organisationen oder Gruppierungen ein, welche terroristische oder gewalttätig-extremistische Aktivitäten propagieren oder fördern und damit die innere oder äussere Sicherheit der Schweiz bedrohen. Bisher konnte der Bundesrat solche Organisationsverbote nur auf Notrecht basierend erlassen, weshalb ihre Gültigkeit jeweils auf ein halbes Jahr beschränkt war. Allerdings wollte die grosse Kammer dem Bundesrat hier keine Blankovollmacht erteilen, so dass sie einen Einzelantrag Eichenberger (fdp, AG) einstimmig annahm, demzufolge sich ein Verbot auf einen entsprechenden Beschluss der UNO oder der OSZE stützen muss und nur nach Konsultation der zuständigen parlamentarischen Kommissionen erlassen werden kann. In allen anderen Punkten folgte sie der Kommissionsmehrheit.

In der Gesamtabstimmung wurde das NDG mit 119 zu 65 Stimmen bei 5 Enthaltungen klar angenommen. Mit den geschlossen stimmenden Fraktionen der CVP, BDP und FDP sowie der überwiegenden Mehrheit der SVP-Fraktion auf der Befürworterseite und der gesamten grünen Fraktion sowie den Fraktionen der SP und der GLP mit jeweils einer Ausnahme auf der Gegenseite zeigte sich auch in der Gesamtabstimmung der ideologische Graben zwischen dem bürgerlichen und dem links-grünen Lager deutlich.

Mitte März 2014 gelangte die Änderung des Bundesgesetzes über die Zuständigkeiten im Bereich des zivilen Nachrichtendienstes (ZNDG) in den Nationalrat, dessen sicherheitspolitische Kommission (SiK) Eintreten einstimmig beschlossen hatte. Grundsätzlich standen alle Fraktionen hinter der vom Ständerat verabschiedeten Fassung. Einzig die SP-Fraktion zeigte sich engagiert und wollte, so Fraktionssprecherin Graf-Litscher (sp, TG), die vorliegende Version noch optimieren. Zwei Minderheitsanträge wurden vorgetragen. Neben der Überprüfung auf die Erheblichkeit und Richtigkeit der zu erfassenden Personendaten sollten zusätzliche Einschätzungen über die Berechtigung einer Fichierung vorgenommen werden müssen. Zweitens sollten Erkenntnisse des Nachrichtendienstes den Strafverfolgungsbehörden nicht auf Anfrage zur Verfügung gestellt, sondern auf Eigeninitiative des NDB unverzüglich gemeldet werden. Beide Anträge fanden jedoch im Ratsplenum keine Mehrheit und wurden jeweils deutlich abgelehnt. Bundesrat Maurer gab in seinem Votum zu bedenken, dass es sich bei diesem Gesetz um eine Übergangsgesetzgebung handle und deswegen keine Praxisänderungen angestrebt werden sollten. Mit der Ablehnung der Minderheitsanträge stand nun noch die ständerätliche Fassung im Raum, welche in der Gesamtabstimmung mit 167 zu 1 Stimme deutlich gutgeheissen wurde. Das deutliche Votum aus dem Nationalrat setzte sich in den jeweiligen Schlussabstimmungen fort; die kleine Kammer verabschiedete die Vorlage einstimmig mit 42 Stimmen, der Nationalrat segnete sie mit 194 ebenfalls einstimmig ab.

Als Erstrat behandelte der Ständerat den Entwurf einer Totalrevision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF). Die Gesetzesänderung sollte vor allem sicherstellen, dass der verschlüsselte Fernmeldeverkehr auch bei künftigen technologischen Entwicklungen im Rahmen der Strafverfolgung weiterhin überwacht und nicht für kriminelle Taten missbraucht werden kann. So sollte eine gesetzliche Grundlage geschaffen werden für Überwachungen mit sogenannten Staatstrojanern (Government Software/GovWare), deren Einsatz im Rahmen eines Strafverfahrens möglich ist, wenn er von der Staatsanwaltschaft beantragt und vom zuständigen Zwangsmassnahmengericht genehmigt wurde. Bisher ist eine Überwachung nur bei der Notsuche nach einer vermissten Person erlaubt. Neu sollten auch Anbieter von Post- und Fernmeldediensten zur Mitwirkung an Überwachungen verpflichtet werden können. Als Gegenzug erhielten sie eine Entschädigung. Es war denn auch dieser Punkt, der im Ständerat mehr zu reden gab als der Einsatz der Staatstrojaner und deren Vereinbarkeit mit den Grundrechten. Mit 27 zu 13 Stimmen bei einer Enthaltung entschied sich dennoch eine Ratsmehrheit dafür, die Anbieter zu entschädigen. Eine weitere Abweichung vom bundesrätlichen Entwurf ergab sich bei der Aufbewahrungsdauer der Randdaten. Während der Bundesrat die Frist allgemein von sechs auf zwölf Monate verlängern wollte, sprach sich der Ständerat nur beim Fernmeldeverkehr, nicht aber beim Postverkehr, dafür aus. Der Ständerat nahm den abgeänderten Entwurf mit 30 zu 2 Stimmen bei 4 Enthaltungen an. Im Juli formierte sich ein Bündnis von linken Gruppierungen – darunter die Juso, die Grünen, die jungen Grünen, die Piratenpartei und die Nichtregierungsorganisation „Digitale Gesellschaft“ – und Telekommunikationsanbietern, welches gegen die Büpf-Revision das Referendum erwog.