Der Totalrevision des Datenschutzgesetzes und der Änderung weiterer Erlasse zum Datenschutz nahm sich in der Herbstsession 2019 der Nationalrat als Erstrat an. Das ein Jahr zuvor verabschiedete und am 1. März 2019 in Kraft getretene Schengen-Datenschutzgesetz, das aus Gründen der zeitlichen Dringlichkeit zunächst nur die Schengen-relevanten Anpassungen umsetzte, wird mit der Annahme des totalrevidierten Gesetzes wieder ausser Kraft treten. Mit der Totalrevision sollen über die Schengen-Anforderungen hinausgehend einerseits die Schwächen des heutigen Datenschutzrechts, das noch aus einer Zeit vor dem Internet stammt, behoben und andererseits die Entwicklungen auf EU- und Europarats-Ebene aufgenommen werden. Besonders bedeutsam für die Schweiz ist hierbei, von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt zu werden. Ansonsten, so wurde befürchtet, wäre die Schweizer Wirtschaft mit erheblichen Wettbewerbsnachteilen konfrontiert, da Schweizer Unternehmen nicht mehr so einfach Daten mit Firmen in der EU austauschen könnten. Bis im Mai 2020 wird die EU die Äquivalenz des Schweizer Datenschutzes beurteilen, was eine gewisse Dringlichkeit für die Revision gebietet.
Wie schwierig dieses Unterfangen werden würde, hatte sich schon in der vorberatenden SPK-NR abgezeichnet: Nur mit Stichentscheid des Präsidenten Kurt Fluri (fdp, SO) hatte sich die Kommission im August 2019 durchgerungen, die Vorlage nach mehr als einem Jahr Arbeit überhaupt vors Ratsplenum zu bringen. Die wichtigsten Anpassungen der Kommission am bundesrätlichen Entwurf waren die neu einzuführende Direktwahl des EDÖB durch die Bundesversammlung, die Einführung eines Rechts auf Datenportabilität, die Anpassung der Definition der besonders schützenswerten Personendaten sowie der Verzicht auf eine besondere Regelung für den Umgang mit Daten verstorbener Personen und auf eine ausdrücklich erforderliche Einwilligung zum Profiling. Im Rahmen ihrer Beratungen hatte die SPK-NR zudem sechs Motionen zur Vervollständigung der Datenschutzbestimmungen in weiteren Gesetzen eingereicht.
Kurz vor der Debatte im Nationalrat hatte das Bundesamt für Justiz überdies eine Liste dazu veröffentlicht, welche problematischen Differenzen es zwischen dem Kommissionsvorschlag und den Anforderungen der EU sehe. Auch EDÖB Adrian Lobsiger hatte in der Presse bezweifelt, dass das von der Kommissionsmehrheit vorgeschlagene Gesetz mit dem verlangten Niveau der EU-Datenschutzgrundverordnung (DSGVO) mithalten könne; beim Entwurf des Bundesrates hätte er indes keine Probleme gesehen.
Während der strittige Vorschlag der Kommissionsmehrheit für die SVP bereits zu weit ging, bemängelten SP, Grüne und GLP, er sei zu lasch. Wirtschaftsverbände drängten unterdessen auf eine möglichst rasche, EU-konforme Lösung. So wurde im Vorfeld der nationalrätlichen Debatte von den Mitte- und Linksparteien noch fieberhaft nach Kompromissen gesucht, um den drohenden Absturz der Revision zu verhindern.

In der Eintretensdebatte in der grossen Kammer wurde von allen Seiten – ausser von der SVP-Fraktion – betont, wie wichtig und notwendig das vorliegende Revisionsprojekt sei, sowohl um den Datenschutz dem Internetzeitalter anzupassen als auch um den Datenschutz auf ein der EU gleichwertiges Niveau zu bringen, auch wenn man in den Details der Ausgestaltung verschiedene Ansichten vertrat. Die SVP betrieb hingegen Fundamentalopposition gegen «diesen bürokratischen Unsinn», wie Fraktionsvertreter Gregor Rutz (svp, ZH) das neue Gesetz nannte, denn es sei insgesamt, vor allem für KMU, schlechter als das geltende Datenschutzgesetz – ein Argument, das wenig später durch das Votum von FDP-Vertreter Kurt Fluri (fdp, SO) entkräftet werden sollte, der berichtete, dass der Gewerbeverband die Stossrichtung der Kommissionsmehrheit begrüsse und die Rückweisung nicht unterstütze. Mit der DSGVO verkaufe die EU laut Rutz ihre Bürger für dumm, da sie «kein Mensch» verstehe. «Wir haben langsam genug davon, jeden Unsinn aus der EU ungesehen zu übernehmen!», ärgerte sich der SVP-Vertreter und rief das Ratsplenum auf, die Vorlage an den Bundesrat zurückzuweisen mit dem Auftrag, sie zu entschlacken und EU-Vorschriften nur dort zu übernehmen, wo es unumgänglich sei. Auch eine linke Minderheit hatte ursprünglich die Rückweisung, allerdings an die Kommission, beantragt und diese beauftragen wollen, die Vereinbarkeit der Vorlage mit dem Übereinkommen SEV 108 des Europarats, die Äquivalenz mit dem EU-Datenschutzrecht, die Kompatibilität mit den Schengen-Verträgen und die Nicht-Unterschreitung des heute geltenden Schutzniveaus sicherzustellen. Um die doch eher dringliche Revision nicht unnötig zu verlangsamen und um sich einer «produktiven Diskussion» nicht zu verschliessen, zog Cédric Wermuth (sp, AG) diesen Antrag jedoch «im Sinne eines Vorschussvertrauensbeweises» zurück und hoffte, das Gesetz während der Beratung noch auf eine den genannten Forderungen nähere Linie bringen zu können. Der Rückweisungsantrag der SVP-Minderheit wurde mit 120 zu 66 Stimmen (1 Enthaltung) deutlich verworfen; ausserhalb der geschlossenen SVP-Fraktion sah niemand eine Rückweisung als den richtigen Weg an.

Im Laufe der Detailberatung musste der Nationalrat über 45 Minderheits- und mehrere Einzelanträge befinden, die zu einem beträchtlichen Teil die Unterstützung des Bundesrates genossen – hauptsächlich immer dort, wo die Kommissionsmehrheit mit ihrem Vorschlag einen schwächeren Datenschutz wollte als der Bundesrat und somit das heute geltende Schutzniveau oder die Anforderungen der EU und/oder des Europarats unterschreiten wollte. So war die Kommissionsmehrheit bestrebt, sowohl die Daten über gewerkschaftliche Ansichten und Tätigkeiten als auch die Daten über Massnahmen der sozialen Hilfe aus dem Katalog der besonders schützenswerten Daten, für deren Bearbeitung besondere Anforderungen gelten, zu streichen. Während eine bürgerliche Ratsmehrheit die Streichung der Daten über gewerkschaftliche Ansichten und Tätigkeiten guthiess, schwenkte der Nationalrat bei den Daten über Massnahmen der sozialen Hilfe – neben Sozialhilfedaten sind davon auch solche über Sozialversicherungsmassnahmen bei Krankheit oder Unfall, Massnahmen der Vormundschaftsbehörden oder KESB, die fürsorgerische Unterbringung in psychiatrischen Kliniken, Ergänzungsleistungen und Prämienverbilligungen erfasst – auf die Linie des Bundesrates zurück und beliess sie im Katalog. Grünen-Vertreter Balthasar Glättli (gp, ZH) hatte zuvor mit Nachdruck klargemacht, dass deren Streichung für die Grünen und die SP ein Grund wäre, dem Gesetz die Zustimmung zu verweigern. Eine ähnliche Drohung sprach SVP-Fraktionssprecher Gregor Rutz aus, als die Einschränkung des Geltungsbereichs des DSG auf natürliche Personen zur Debatte stand: Einem Gesetz, das – anders als bisher – keinen Datenschutz für juristische Personen mehr vorsehe, werde man «nie im Leben» zustimmen können. Alle anderen Fraktionen befanden den Schutz für juristische Personen durch andere gesetzliche Bestimmungen jedoch als ausreichend und so glich der Nationalrat das DSG mit der Streichung des Schutzes juristischer Personen an die europäischen Regeln an. Bei der Frage der Anforderungen für das sogenannte Profiling zeichnete sich während der Diskussion ab, dass man an diesem Tag keine zufriedenstellende Lösung finden würde. Für jegliche Formen des Profilings, das die Aargauer Zeitung treffend als die «automatisierte Auswertung von Daten, mit denen bestimmte Merkmale einer Person bewertet werden, um etwa Vorhersagen über ihr künftiges Verhalten zu treffen» definierte, hatte der Bundesrat eine ausdrückliche Einwilligung der betroffenen Person voraussetzen wollen, wie sie auch zur Bearbeitung besonders schützenswerter Personendaten vorgesehen war. Da das geltende Recht so eine Regelung für das Erstellen von Persönlichkeitsprofilen umfasst, würde eine komplette Streichung der ausdrücklichen Einwilligung zum Profiling, wie es die Kommissionsmehrheit vorgeschlagen hatte, ein Rückschritt vom aktuellen Schutzniveau darstellen. In der Diskussion wurde mehrheitlich anerkannt, dass verschiedene Formen des Profilings unterschieden werden müssten, da es, wie es Balthasar Glättli erklärte, durchaus einen Unterschied mache, ob Profiling zur Erstellung von passenden Bücherempfehlungen, zur Abschätzung des Risikos für eine Versicherung oder zur Vorhersage der politischen Entscheidungen einer Person gebraucht werde. Der Bundesrat unterstützte folglich einen Einzelantrag Glättli, der eine ausdrückliche Einwilligung nur für ein Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person vorsah. Die Fraktionen der Grünen, SP und GLP unterstützten diesen Antrag ebenfalls, unterlagen jedoch der bürgerlichen Ratsmehrheit, die beim Vorschlag der Kommissionsmehrheit ohne besondere Anforderungen für das Profiling blieb. Der Nachhall der Diskussion war jedoch klar, dass sich der Ständerat noch einmal intensiv mit dieser Frage auseinandersetzen müsse.
Betreffend die Informationspflicht bei der Beschaffung von Personendaten, die Regeln für die Bekanntgabe von Personendaten ins Ausland, die Rechenschaftspflicht für datenbearbeitende Unternehmen über die Einhaltung des Datenschutzrechts sowie das Auskunftsrecht einer Person zu den über sie gesammelten oder bearbeiteten Daten lehnte die Volkskammer einige von der Kommissionsmehrheit vorgeschlagene Lockerungen ab und umschiffte somit ein paar der vielen Klippen im Hinblick auf den Angemessenheitsbeschluss der EU. Die vom Bundesrat eingefügten Regelungen über Daten von verstorbenen Personen erachtete der Rat jedoch als nicht notwendig und strich mit bürgerlicher Mehrheit alle entsprechenden Bestimmungen aus dem Gesetz. Ganz neu und weitgehend unbestritten verankerte der Nationalrat auf Vorschlag seiner Kommissionsmehrheit ein Recht auf Datenportabilität, das heisst auf Datenherausgabe und -übertragung, im Gesetz. Wie Bundesrätin Karin Keller-Sutter erklärte, habe der Bundesrat mit dieser Neuerung eigentlich noch zuwarten wollen, bis erste Erkenntnisse aus der konkreten Umsetzung dieses Rechts in der EU vorlägen; nichtsdestotrotz unterstützte er den Vorschlag der Kommissionsmehrheit, einen Anspruch jeder Person auf «die Herausgabe ihrer Personendaten in einem gängigen elektronischen Format oder sogar deren Übertragung auf einen anderen Verantwortlichen zu verlangen», wie Keller-Sutter das neue Recht erläuterte.
Zurückgehend auf eine entsprechende parlamentarische Initiative Leutenegger Oberholzer (sp, BL; Pa.Iv. 16.409) änderte die grosse Kammer das Wahlverfahren des EDÖB dahingehend, dass er neu von der Bundesversammlung gewählt und nicht mehr durch den Bundesrat ernannt und vom Parlament nur bestätigt werden sollte. Gleichzeitig wurden die Aufsichts- und Untersuchungskompetenzen des EDÖB bei Datenschutzverstössen gestärkt. Diese Änderung sei von wesentlicher Bedeutung im Hinblick auf den Angemessenheitsbeschluss der EU, wie Bundesrätin Keller-Sutter betonte, denn nach bisher geltendem Recht besitze der EDÖB nicht nur weniger Kompetenzen als die Datenschutzbehörden in Europa, sondern auch als andere Aufsichtsbehörden des Bundes, zum Beispiel die Finma oder die Weko. Bei den Strafbestimmungen legte der Nationalrat eine maximale Busse von CHF 250'000 für Datenschutzverstösse fest. Ein neuer Straftatbestand für die Nichteinhaltung der Mindestanforderungen an die Datensicherheit im Sinne einer Sorgfaltspflichtverletzung wurde von der bürgerlichen Ratsmehrheit jedoch nicht goutiert, was laut Bundesrätin Keller-Sutter für die EU-Angemessenheit problematisch sein könnte. Der letzte grosse Zankapfel der Vorlage verbarg sich in den Schlussbestimmungen, namentlich in der Frage zum Inkrafttreten des Gesetzes. Während die Kommissionsmehrheit das Inkrafttreten um zwei Jahre nach Annahme des Gesetzes beziehungsweise nach Verstreichen der Referendumsfrist verzögern wollte, beantragte eine Minderheit Humbel (cvp, AG), wie üblich den Bundesrat das Inkrafttreten bestimmen zu lassen. Eine solche Verzögerung sei bereits wegen der Schengen-relevanten Bestimmungen des Gesetzes ein Problem und daher nicht im Interesse der Wirtschaft, was das Argument der Kommissionsmehrheit gewesen war. Auf Empfehlung des Bundesrates und entgegen der geschlossenen SVP-Fraktion erteilte die grosse Kammer der zweijährigen Inkrafttretensfrist eine Absage.

In der Gesamtabstimmung nahm der Nationalrat das totalrevidierte Datenschutzgesetz mit 98 zu 68 Stimmen bei 27 Enthaltungen an. In den ablehnenden Stimmen spiegelte sich vor allem die Opposition der SVP gegen das Gesetz. Demgegenüber hatte sich die SP-Fraktion mehrheitlich enthalten und damit signalisiert, dass sie noch weitere Nachbesserungen erwartete. Wirklich zufrieden mit dem Gesetz in vorliegender Form war wohl niemand; in dieser Hinsicht sprach das Fazit von Kommissionssprecher Matthias Jauslin (fdp, AG) Bände: «Wir haben jetzt eine Vorlage, die aus Sicht der Kommission durchaus bearbeitbar ist.»

Ende August 2019 eröffnete der Bundesrat die Vernehmlassung zu einer Anpassung des DNA-Profil-Gesetzes. Die Strafverfolgungsbehörden sollen aus einer am Tatort gefundenen DNA-Spur nicht mehr nur das Geschlecht, sondern neu auch die Augen-, Haar- und Hautfarbe, die biogeografische Herkunft und das Alter der Person bestimmen dürfen. Ziel dieser sogenannten Phänotypisierung ist es, Ermittlungen und Fahndungen fokussierter durchführen, den potenziellen Täterkreis eingrenzen und Unbeteiligte rasch ausschliessen zu können. Eine Phänotypisierung soll auf Anordnung der Staatsanwaltschaft und nur bei Verbrechen, d.h. Straftatbeständen mit einer minimalen Strafandrohung von drei Jahren Freiheitsstrafe, durchgeführt werden dürfen. Die Verwendung der Analyseergebnisse ist auf die Ermittlungen in einem konkreten, aktuellen Fall begrenzt; sie sollen nicht in der DNA-Datenbank gespeichert werden. Damit wird eine vom Parlament überwiesene Motion Vitali (fdp, LU; Mo. 15.4150) umgesetzt, die eine gesetzliche Grundlage für die Auswertung der codierenden DNA-Abschnitte forderte. Weiter will der Bundesrat in Umsetzung des Postulats 16.3003 die Regelung zur Löschung von DNA-Profilen vereinfachen. Er sieht vor, dass neu bereits im Strafurteil festgelegt werden soll, wie lange das DNA-Profil eines Täters oder einer Täterin in der DNA-Datenbank aufbewahrt wird. Zudem soll die vom Bundesstrafgericht für zulässig erklärte Ermittlungsmethode des erweiterten Suchlaufs mit Verwandtschaftsbezug ausdrücklich im Gesetz verankert werden: Kann einer am Tatort gefundenen DNA-Spur kein Treffer in der Datenbank zugeordnet werden, darf geprüft werden, ob im System sehr ähnliche Profile, d.h. nahe Verwandte der gesuchten Person, verzeichnet sind. Über eine Kontaktaufnahme zu den Verwandten können die Strafverfolgungsbehörden anschliessend versuchen, die gesuchte Person ausfindig zu machen.
In der Presse zeigte sich die Luzerner Staatsanwaltschaft entschlossen, die Ermittlungen im sistierten «Fall Emmen» wieder aufzunehmen, sobald die neue Gesetzesgrundlage in Kraft trete. Im Sommer 2015 hatte die Vergewaltigung einer seither querschnittgelähmten jungen Frau in Emmen (LU), bei der der Täter trotz DNA-Massentest bisher nicht gefunden werden konnte, eine öffentliche Debatte über die DNA-Analyse als Ermittlungsmethode angestossen. Der Fall hatte auch am Ursprung der Motion Vitali gestanden, die mit der vorgeschlagenen Gesetzesänderung umgesetzt werden soll. Bedenken wegen des zusätzlichen Eingriffs in die Grundrechte äusserte dagegen der EDÖB Adrian Lobsiger. Er zöge es vor, wenn die Phänotypisierung nur bei schweren Verbrechen gegen Leib und Leben, die Freiheit oder die sexuelle Integrität zulässig wäre und nicht von der Staatsanwaltschaft, sondern nur von einem Zwangsmassnahmengericht angeordnet werden dürfte. Ausserdem betonte er die eingeschränkte Genauigkeit der Phänotypisierung – bei blonden Haaren beispielsweise sei die Vorhersage nur zu 69 Prozent zutreffend –, weshalb die Analyseergebnisse nicht als Beweise missverstanden werden dürften.

Die Totalrevision des Datenschutzgesetzes (DSG) verfolgt gemäss der Mitte September 2017 verabschiedeten Botschaft des Bundesrates hauptsächlich zwei Ziele: Erstens sollen die der rasanten technologischen Entwicklung in jüngster Zeit geschuldeten Schwächen des bestehenden Gesetzes behoben werden und zweitens soll das revidierte Gesetz den diesbezüglichen Entwicklungen im Europarat und in der EU Rechnung tragen. Im Rahmen der Revision ihres Datenschutzrechts erliess die EU u.a. die Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts, die auch Teil des Schengen-Acquis ist. Die DSG-Revisionsvorlage soll daher die Anforderungen der genannten EU-Richtlinie übernehmen, um sicherzustellen, dass die Schweiz ihre Schengen-Verpflichtungen wahrnehmen kann. Der Europarat erarbeitete indes ein Protokoll zur Revision des Übereinkommens SEV 108 zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten, womit das schweizerische DSG nach der Revision ebenfalls vereinbar sein soll. Aus Sicht des Bundesrates bilden die Ratifikation dieses Übereinkommens einerseits und die Annäherung an das Datenschutzrecht der EU andererseits die zentralen Voraussetzungen dafür, dass die Europäische Kommission der Schweiz weiterhin ein angemessenes Datenschutzniveau attestiert. Vor allem für die Schweizer Wirtschaft ist dieser sogenannte Angemessenheitsbeschluss von zentraler Bedeutung, da die Schweiz in allen Bereichen, die nicht der Schengen-Zusammenarbeit unterstehen, von der EU als Drittstaat angesehen wird und ein Datenaustausch zwischen EU-Mitgliedstaaten und Drittstaaten nur erlaubt ist, wenn Letzterer ein angemessenes Datenschutzniveau gewährleistet.
Zu den wichtigsten inhaltlichen Änderungen im DSG zählt neben dem Verzicht auf den Schutz der Daten juristischer Personen eine grundsätzliche Informationspflicht bei der Datenbeschaffung für alle Bearbeitungen durch Private, um die Transparenz der Datenbearbeitung generell zu verbessern. Überdies soll bei den für die Datenbearbeitung Verantwortlichen über entsprechende, von den Branchen erarbeitete Verhaltenskodizes die Selbstregulierung gefördert werden. Auch der EDÖB soll in seiner Position und Unabhängigkeit gestärkt werden und neu wie seine europäischen Amtskollegen Untersuchungen gegenüber Datenbearbeitern eröffnen sowie Verfügungen erlassen können. Letztlich sollen auch die Strafbestimmungen gegenüber heute verschärft werden. Zur Umsetzung der EU-Richtlinie 2016/680 umfasst die Vorlage zusätzlich Anpassungen in weiteren Gesetzen, namentlich im Strafgesetzbuch, in der Strafprozessordnung, im Rechtshilfegesetz sowie im Schengen-Informationsaustauschgesetz.
Mit seinem Entwurf kam der Bundesrat vor allem der Wirtschaft entgegen, die in der Vernehmlassung Kritik an der weitgehenden Regulierung geübt hatte. So wurde nun auf ein «Swiss Finish» verzichtet; d.h. es sind keine Anpassungen vorgesehen, die über den EU-Standard hinausgehen. Insbesondere das Sanktionensystem kommt im Vergleich zur Vernehmlassung abgeschwächt daher, soll die maximale Busse doch nur noch CHF 250'000 und nicht wie ursprünglich vorgeschlagen CHF 500'000 betragen. In den Augen des SGV sind die Bussen dennoch zu hoch und die Position des EDÖB zu stark. Der EDÖB Adrian Lobsiger selbst zeigte sich im Grossen und Ganzen zufrieden mit dem Entwurf des Bundesrates und bedauerte einzig, dass ihm nicht die Kompetenz zugestanden wird, ohne Strafprozess direkt Bussen zu verhängen.

Wie Bundesrat Guy Parmelin bereits im Anschluss an die Volksabstimmung vom 25. September 2016 angekündigt hatte, schickte der Bundesrat Anfang 2017 die Verordnungen zum neuen Nachrichtendienstgesetz in die Vernehmlassung. Es handelte sich dabei einerseits um die Verordnung über den Nachrichtendienst (NDV), die dort greift, wo das NDG der Präzisierung bedarf. So werden darin etwa die Zusammenarbeit des NDB mit in- und ausländischen Stellen, die Informationsbeschaffung, der Datenschutz und die Archivierung, die Kontrolle, der interne Schutz, die Sicherheitsmassnahmen sowie die Bewaffnung des NDB konkretisiert. Andererseits handelte es sich um die Verordnung über die Informations- und Speichersysteme des NDB, die technische Regelungen zum Betrieb, zum Inhalt und zur Nutzung dieser Systeme enthält. In einer separaten Vernehmlassung, die im März eröffnet wurde, holte der Bundesrat zudem Stellungnahmen zur Verordnung über die Aufsicht über die nachrichtendienstlichen Tätigkeiten (VAND) ein. Diese dritte Umsetzungsverordnung regelt administrative Fragen bezüglich der Aufsichtsbehörde (AB-ND), die Kontrolle der Funk- und Kabelaufklärung durch die Unabhängige Kontrollinstanz (UKI) sowie die Zusammenarbeit zwischen dem Bund und der Dienstaufsicht in den Kantonen. Für Kritik sorgte, dass die AB-ND administrativ dem Generalsekretariat des VBS zugeordnet werden sollte. Das entspreche nicht dem Willen des Parlaments, das während der Beratung des NDG den Bundesrat per Motion (15.3498) dazu aufgefordert hatte, Möglichkeiten für eine Aufsicht ausserhalb der Bundesverwaltung aufzuzeigen, monierte Nationalrätin Edith Graf-Litscher (sp, TG) gegenüber der Presse; nicht zuletzt habe das Versprechen einer starken und unabhängigen Aufsicht Viele dazu bewogen, dem Gesetz in der Volksabstimmung zuzustimmen. Weniger problematisch sahen dies Ständerat Alex Kuprecht (svp, SZ), Präsident der GPDel und damit der parlamentarischen Oberaufsicht über den NDB, sowie EDÖB Adrian Lobsiger, die beide die operative Selbstbestimmung der Aufsicht durch deren rein administrative Ansiedlung beim VBS – überdies mit eigenem Budget – nicht gefährdet sahen, wie sie in den Medien erklärten.
Daneben traf der Bundesrat weitere Vorbereitungen für die geplante Inkraftsetzung des neuen NDG am 1. September 2017. So hob er in der bestehenden Verordnung über den Nachrichtendienst des Bundes (V-NDB) die Vorschrift auf, dass der NDB Informationen über das Inland und solche über das Ausland in intern getrennten Organisationseinheiten beschaffen muss. Damit werde «ein letztes Überbleibsel» der einst getrennten Inlands- und Auslandsnachrichtendienste abgeschafft, wie es in der entsprechenden Medienmitteilung hiess. Die V-NDB wird mit Inkrafttreten des neuen NDG ihre Geltung zwar verlieren, doch dass die Fusion im Hinblick auf das neue NDG schon vorzeitig vollzogen werde, sei organisatorisch «sicher sinnvoll», zitierte die NZZ GPDel-Präsident Kuprecht. Gemäss Bundesrat könne der NDB nun seine Organisationsstruktur optimieren und Synergien nutzen. Zudem wählte der Bundesrat im Mai – und damit fast ein halbes Jahr später als von Verteidigungsminister Parmelin ursprünglich angekündigt – den Juristen Thomas Fritschi zum Leiter der AB-ND. Er werde die Aufsichtsbehörde ab August organisatorisch und personell aufbauen, gab die Regierung per Medienmitteilung bekannt.
In der Vernehmlassung wurden erhebliche Einwände hauptsächlich von Mitgliedern des ehemaligen Referendumskomitees vorgebracht, darunter die Forderung, die AB-ND ausserhalb der Bundesverwaltung anzusiedeln. Im Ergebnisbericht erläuterte das VBS, dass dafür eine Änderung des formellen Gesetzes vonnöten wäre, weshalb dieser und weitere Vorschläge nicht in den Entwurf übernommen wurden. Die Kantone als Hauptadressaten des Verordnungsrechts sowie die KKJPD und die KKPKS unterstützten die in den Vorentwürfen eingeschlagene Stossrichtung dagegen einhellig. Von ihnen geäusserte Anpassungswünsche, wie auch die Empfehlungen des Bundesverwaltungsgerichts und der GPDel habe der Bundesrat weitestgehend in die Entwürfe übernommen, erläuterte er per Medienmitteilung. Die Sicherheitspolitischen Kommissionen beider Räte nahmen darauf zur Kenntnis, dass die Regierung die wichtigsten in der Vernehmlassung ausgesprochenen Empfehlungen berücksichtigt habe und verzichteten auf weitere Änderungsvorschläge an den Bundesrat. Sie sprachen sich für eine schnellstmögliche Inkraftsetzung des NDG und der dazugehörigen Verordnungen aus, damit der NDB seinem Auftrag zum Schutz des Landes nachkommen könne.
Der Bundesrat verabschiedete die drei Verordnungen Mitte August und setzte sie zusammen mit dem NDG auf den 1. September 2017 in Kraft. Ab dann kann der NDB seine neuen Kompetenzen wahrnehmen und die neuen Überwachungsmittel einsetzen.
Einen Tag vor dem Inkrafttreten kündigte eine Handvoll Personen aus dem Umfeld der Digitalen Gesellschaft an, beim NDB ein Gesuch um Unterlassung der neuen Kabelaufklärung, d.h. der Durchsuchung des grenzüberschreitenden Internetverkehrs nach Stichworten, einzureichen. Wie die Aargauer Zeitung berichtete, konnten sie unter anderem den Schweizer Anwalt Edward Snowdens, Marcel Bosonnet, für ihre Sache gewinnen. Dennoch rechneten sie nicht damit, dass der NDB ihrem Begehren stattgeben werde, planten aber, anschliessend den Rechtsweg zu beschreiten, «notfalls bis zum EGMR in Strassburg», wie die Zeitung den federführenden Anwalt und Präsidenten von Grundrechte.ch Viktor Györffy zitierte. Spätestens dort würden sie recht erhalten, zeigte sich Györffy überzeugt, denn die «anlasslose Massenüberwachung», die der NDB von jetzt an praktiziere, verletze das Grundrecht auf Privatsphäre, die Unschuldsvermutung und das Verhältnismässigkeitsprinzip.