Da der Nationalrat die Übernahme der Rechtsgrundlagen über die Einrichtung, den Betrieb und die Nutzung des SIS in der Herbstsession 2020 abgelehnt hatte und dies einem Nichteintreten gleichkam, musste er nach den Änderungen des Ständerats in der Wintersession 2020 eine erneute Eintretensdebatte führen. Thomas Rechsteiner (cvp, AI) hielt als Sprecher der SIK-NR fest, dass die Bedenken des Nationalrats hinsichtlich des Bundesbeschluss zum SIS vom Ständerat und von der Kommission aufgenommen worden seien. Einerseits werde der Datenschutz nun durch die verstärkte Koordination zwischen EDÖB, Kantonen und Europäischem Datenschutzbeauftragten gewahrt. Andererseits habe man die Formulierung des Beschlusses geändert, sodass die Rückführungsrichtlinie keine Anwendung auf den Vollzug der Landesverweisung habe. Die Kommission beantragte dem Nationalrat daher, auf die Vorlage einzutreten und damit einen Beitrag zur Sicherheit der Schweiz zu leisten. Für die FDP sei die Sicherheit eine prioritäre Staatsaufgabe, so Doris Fiala (fdp, ZH). Das SIS sei dabei ein unverzichtbares Instrument für Sach- und Personenfahndungen, die Schweiz tätige täglich über 300'000 Abfragen. Auch die GLP setzte sich für die Erweiterung des Schengen-Beistzstands ein, unter anderem weil die neue Gesetzgebung auch Opfer von Menschenhandel und Zwangsheirat schütze. Selbst die SVP, die in der Herbstsession noch eine unheillige Allianz mit den Grünen eingegangen war und das Geschäft abgelehnt hatte, war mit den Anpassungen des Ständerats zufrieden und beantragte die Annahme des neuen Entwurfs. Und auch die SP, deren geschlossene Stimmenthaltung in der Herbstsession die Ablehnung begünstigt hatte, empfahl die Annahme, da ihre Forderungen nach einem verbesserten Datenschutz erfüllt worden seien. Damit verblieben auf der Gegenseite nur die Grünen, die durch die Minderheit Fivaz (gp, NE) einen Antrag auf Nichteintreten stellten. Fivaz argumentierte, dass sich seit der Herbstsession bezüglich des Datenschutzes und des Ausländerrechts nichts Grundlegendes geändert habe. Die verdeckte Verschärfung des Ausländer- und Integrationsrechts sei nicht nötig, um die Vorlage umzusetzen, und verstosse gegen den Grundsatz der Verhältnismässigkeit. Unterstützung erhielt er von seiner Parteikollegin Marionna Schlatter (gp, ZH), welche die repressive Politik Europas an den Aussengrenzen kritisierte. Schlatter forderte den Nationalrat auf, sich gegen Verschärfungen zu wehren, die in einer Vorlage enthalten seien, zu deren Annahme «man quasi gezwungen sei». Die anwesende Bundesrätin Keller-Sutter warnte davor, den Nichteintretensantrag anzunehmen, da dies den Austritt aus dem Schengen-Verbund zur Folge hätte. Der Nationalrat beschloss mit 149 zu 30 Stimmen (bei 4 Enthaltungen) auf die Vorlage einzutreten und nahm diese mit 148 zu 32 Stimmen (bei 4 Enthaltungen) an. Der Widerstand der Grünen reichte nach dem Meinungsumschwung der SP und der SVP nicht aus, um das Geschäft zu versenken.
In der Schlussabstimmung wurde die Vorlage zur Änderung des BGIAA vom Nationalrat mit 157 zu 37 Stimmen (bei 1 Enthaltung) und vom Ständerat mit 41 Stimmen (bei 1 Enthaltung) angenommen. Auch die Vorlage zum SIS fand im Nationalrat mit 157 zu 36 Stimmen (bei 2 Enthaltungen) und im Ständerat mit 41 Stimmen (bei 1 Enthaltung) deutlich Zuspruch.

In der Wintersession 2020 nahm sich der Ständerat der Übernahme der Rechtsgrundlagen über die Einrichtung, den Betrieb und die Nutzung des SIS an, nachdem der Nationalrat diese abgelehnt hatte, was einem Nichteintreten gleichkam. Die Sprecherin der SIK-SR, Andrea Gmür-Schönenberger (cvp, LU), fasste zu Beginn der Diskussion die Ablehnungsgründe des Nationalrats zusammen. Dieser habe bemängelt, dass EU-Recht übernommen werden müsse und dass das Ausländerrecht verschärft würde. Ständerätin Gmür-Schönenberger machte diesbezüglich aber klar, dass die Schweiz als Schengen-Staat zur Übernahme verpflichtet sei und eine mangelhafte Umsetzung zum Ausschluss aus dem Schengen/Dublin-Verband führen könne. Die SIK-SR anerkenne die wichtige Rolle der SIS bei der Kontrolle der Schengen-Aussengrenzen und befürworte daher die verstärkte Zusammenarbeit der europäischen Sicherheits- und Migrationsbehörden. Dennoch habe die Kommission drei Änderungsanträge eingebracht: die Richtlinie soll nicht auf die Anordnung und den Vollzug der Landesverweisung angewendet werden; es sollen Ausnahmen bei der Lieferung von biometrischen Daten möglich sein und durch zusätzliche Bestimmungen soll die Aufsichtsfunktion des EDÖB und die Zusammenarbeit mit kantonalen und europäischen Stellen verbessert werden. Werner Salzmann (svp, BE) zeigte sich zufrieden damit, dass die Schweiz es sich explizit vorbehalte, kriminelle Drittstaatsangehörige in «souveräner Art und Weise auszuschaffen», unabhängig von der Entwicklung der EU-Rückführungsrichtlinie. Für Salzmann habe die Vorlage mit dieser Änderung gute Chancen im Nationalrat. Auch Daniel Jositsch (sp, ZH) war zuversichtlich, dass der Nationalrat aufgrund der Anpassungen hinsichtlich der Koordination im Bereich des Datenschutzes keinen Widerstand mehr leisten würde. Bundesrätin Karin Keller-Sutter betonte, dass das SIS an die neuen Herausforderungen in den Bereichen Migration und innere Sicherheit angepasst werden soll. Eine verstärkte europäische Zusammenarbeit sei notwendig, was nicht zuletzt die Terroranschläge in Paris 2015 gezeigt hätten. Mit der Zustimmung zu den Verpflichtungskrediten zur Weiterentwicklung des Schengen/Dublin-Besitzstandes habe das Parlament bereits die finanziellen Grundlagen für das Projekt geschaffen. Sie verdeutlichte aber auch, dass man aus dem Schengen-Verbund ausscheiden würde, wenn die gesetzlichen Anpassungen nicht vorgenommen würden. Daher bat sie die Räte darum, das Differenzbereinigungsverfahren und die Schlussabstimmung bereits in der laufenden Wintersession durchzuführen. Der Ständerat nahm die Änderung des BGIAA mit 40 Stimmen (bei 1 Enthaltung) ohne Gegenstimmen an. Auch die Übernahme der Rechtsgrundlagen für die Einrichtung, den Betrieb und die Nutzung des SIS wurde inklusive der drei genannten Änderungen mit 41 Stimmen (bei 1 Enthaltung) angenommen. Abgelehnt wurde – mit 31 zu 11 Stimmen – hingegen ein Antrag der Minderheit Vara (gp, NE), die eine Bestimmung streichen lassen wollte, wonach das SEM Einreiseverbote verfügen kann, wenn die gesuchstellende Person vorgängig Sozialkosten verursacht hat, auch wenn diese Sozialleistungen berechtigterweise beantragt worden waren. Kommissionssprecherin Gmür-Schönenberger relativierte, dass diese Kann-Bestimmung bereits bestehe und nicht durch die vorliegende Vorlage verändert werde.

In der Herbstsession 2020 ging die Totalrevision des Datenschutzgesetzes in die dritte Runde der Differenzbereinigung. Zunächst hatte sich der Nationalrat mit den drei aus der letzten Runde verbleibenden Differenzen sowie einem Minderheitsantrag aus seiner SPK zu befassen. Die erste Differenz, welche die Definition der besonders schützenswerten Personendaten betraf, legte die grosse Kammer auf einstimmigen Antrag ihrer Kommission stillschweigend bei, indem sie sich der Definition des Ständerates anschloss. Demnach sind alle genetischen Daten, und nicht nur jene, die eine natürliche Person eindeutig identifizieren, besonders schützenswert.
Die zweite Differenz – und wie sich schon länger abgezeichnet hatte, der Hauptstreitpunkt des Geschäfts – war die Definition des Profilings. Cédric Wermuth (sp, AG) zeigte sich als Vertreter der Kommissionsminderheit enttäuscht über die Abkehr der Mehrheit vom gefunden geglaubten Kompromiss und bedauerte, dass seine links-grüne Ratsseite mit der Bereitschaft zur gemeinsamen Lösungssuche wohl «einen taktischen Fehler gemacht» habe. Die Kommissionsminderheit setzte sich für die ständerätliche Lösung ein, die einen risikobasierten Ansatz beim Profiling verfolgte und erhöhte Anforderungen für ein Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person vorsehen wollte. Ein solch hohes Risiko wäre dann gegeben, wenn eine Verknüpfung von Daten eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer Person erlauben würde. Die Mehrheit der SPK-NR war indessen auf den ersten Beschluss des Nationalrats – und damit auf den Stand vor Beginn der Kompromissfindung zwischen den Parlamentskammern – zurückgeschwenkt, obwohl der Nationalrat in seiner zweiten Beratung der Gesetzesvorlage den risikobasierten Ansatz noch unterstützt hatte. Die Kommissionsmehrheit wollte nun doch keine verschiedenen Risikostufen für das Profiling festlegen, weil die EU-DSGVO keine solche Unterscheidung vornehme und das sogenannte «Swiss Finish» die Schweizer Wirtschaft unnötig einschränke. Die Minderheit Wermuth und der Bundesrat waren jedoch der Ansicht, dass die Fassung der Kommissionsmehrheit das Schutzniveau gegenüber der heutigen Regelung für Persönlichkeitsprofile senke, weil sie gar keine besonderen Anforderungen für das Profiling mehr stelle. Das Konzept der Mehrheit definiere zwar den Begriff Profiling, sehe dann aber gar keine Rechtsfolgen, beispielsweise das Verlangen einer Einwilligung der betroffenen Person, vor; «genau die gleiche Wirkung» erzielte man, wenn man im Gesetz definierte, «was ein blauer Pavian sei», echauffierte sich Wermuth über den «absurden» Mehrheitsvorschlag. Die links-grüne Ratsseite betonte zudem noch einmal, dass sie einem Gesetz, welches das geltende Schutzniveau unterschreite, auf keinen Fall zustimmen werde; der risikobasierte Ansatz beim Profiling sei für seine Fraktion «eine Conditio sine qua non», so Wermuth. Dennoch folgte der Nationalrat mit 98 zu 88 Stimmen bei 5 Enthaltungen seiner Kommissionsmehrheit. Die Fraktionen der SP, der Grünen und der GLP hatten sich trotz vereinzelter Unterstützung aus der Mitte und der FDP nicht durchsetzen können.
Als Drittes scheiterte ein Minderheitsantrag Glättli (gp, ZH), der ein explizites Widerspruchsrecht zum Profiling im Gesetz verankern wollte, mit 105 zu 84 Stimmen bei 2 Enthaltungen. Nach Ansicht der Mehrheit, die auch der Bundesrat unterstützte, war eine solche ausdrückliche Nennung nicht nötig, weil sich ein allgemeines Widerspruchsrecht gegen die Bearbeitung der eigenen Personendaten bereits aus anderen Bestimmungen des Datenschutzgesetzes ergebe.
Die letzte Differenz betraf die Frage, wie alt die bearbeiteten Daten sein dürfen, damit eine Kreditwürdigkeitsprüfung keine widerrechtliche Persönlichkeitsverletzung darstellt. Während die Kommissionsmehrheit hier am letzten nationalrätlichen Beschluss von zehn Jahren festhalten wollte, beantragte eine Minderheit Gredig (glp, ZH), dem Ständerat zu folgen und fünf Jahre zu beschliessen. Die Minderheitsvertreterin argumentierte, dass «ein Blick fünf Jahre in die Vergangenheit eines Menschen» ausreichen sollte, um dessen Kreditwürdigkeit zu prüfen. Auch hier setzte sich aber die bürgerliche Ratsseite durch und stimmte mit 104 zu 87 Stimmen bei einer Enthaltung dem Antrag der Kommissionsmehrheit zu.

Es verblieben für die letzte Beratung im Ständerat damit die zwei Differenzen bezüglich des Profilings und der zulässigen Daten für die Kreditwürdigkeitsprüfung. Letztere räumte die kleine Kammer aus, indem sie sich stillschweigend dem Nationalrat anschloss, wie es ihre SPK einstimmig beantragt hatte. Damit dürfen für eine Kreditwürdigkeitsprüfung bis zu zehn Jahre alte Daten beigezogen werden. Der Bundesrat, der fünf Jahre vorgeschlagen hatte, könne «gut damit leben», kommentierte EJPD-Vorsteherin Karin Keller-Sutter diesen Beschluss. Beim Profiling hielt der Ständerat hingegen ebenso stillschweigend an seinem Entscheid für die risikobasierte Variante fest, womit er eine Einigungskonferenz nötig machte, bei der sich die Ständekammer gute Erfolgschancen ausrechnete. Kommissionssprecher Daniel Fässler (cvp, AI) erklärte, weshalb die nationalrätliche Variante nicht DSGVO-konform und damit kein gangbarer Weg sei: Die DSGVO verbiete grundsätzlich jede Verarbeitung personenbezogener Daten, ausser es liege die Zustimmung der betroffenen Person oder ein anderer Rechtfertigungsgrund vor. Das Schweizer Datenschutzgesetz sei umgekehrt konzipiert, indem es die Verarbeitung von Personendaten grundsätzlich zulasse, sofern keine Ausnahme vorliege. Die Verankerung von qualifizierten Rechtsfolgen bei Profiling mit hohem Risiko sei daher notwendig, um das vorgegebene Schutzniveau zu halten.

Wie erwartet entschied sich die Einigungskonferenz im letzten Streitpunkt um das Profiling für die ständerätliche Version, dergemäss für ein Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person erhöhte datenschutzrechtliche Anforderungen gelten. Der Nationalrat stimmte dem Antrag der Einigungskonferenz mit 134 zu 42 Stimmen bei einer Enthaltung zu, wobei sich nur die SVP-Fraktion grossmehrheitlich dagegen stellte. Kommissionssprecher Matthias Jauslin (fdp, AG) hatte das Ratsplenum um Zustimmung gebeten, weil die Schweiz – sowohl für ihre Bürgerinnen und Bürger als auch für die Wirtschaft – dringend ein modernes und von der EU in seiner Gleichwertigkeit anerkanntes Datenschutzgesetz brauche. Der Ständerat nahm den Antrag der Einigungskonferenz einstimmig an. In den Schlussabstimmungen zeigte sich dasselbe Stimmmuster: Der Nationalrat stimmte mit 141 zu 54 Stimmen (alle SVP) bei einer Enthaltung für das totalrevidierte Datenschutzgesetz, während es der Ständerat einstimmig annahm. Damit kamen die parlamentarischen Beratungen des Datenschutzgesetzes nach über drei Jahren mit zum Teil emotional ausgetragenen Meinungsverschiedenheiten doch noch zu einem mehrheitlich versöhnlichen Abschluss.

In der Herbstsession 2020 beugte sich der Nationalrat als Zweitrat über den von der SPK-SR ausgearbeiteten indirekten Gegenvorschlag zur Transparenzinitiative, mit dem mehr Transparenz bei der Politikfinanzierung geschaffen werden soll. Nicht weniger als 40 Wortmeldungen zeugen von der Bedeutung, die der Vorlage auch in der grossen Kammer entgegengebracht wurde. Die beiden Sprecher der SPK-NR – Andri Silberschmidt (fdp, ZH) und Damien Cottier (fdp, NE) – plädierten für Eintreten und warben für einige von ihrer Kommission vorgenommene gewichtige Änderungen des ständerätlichen Vorschlags: Die Mehrheit der Kommission stelle sich, anders als von der kleinen Kammer vorgeschlagen, gegen jegliche Offenlegung des Namens von Spenderinnen und Spendern, verlange aber nebst der Offenlegung der Einnahmen auch jene der Ausgaben von politischen Akteuren, jedoch ohne dass hier erhaltene Zuwendungen offengelegt werden müssten. Ebenfalls abweichend zum Ständerat schlage die Mehrheit der Kommission vor, dass bei Abstimmungen und Wahlen bereits Kampagnenbudgets von CHF 50'000 offengelegt werden – der Ständerat hatte hier eine Obergrenze von CHF 250'000 vorgesehen und auch die Initiative sah eine höhere Obergrenze von CHF 100'000 vor. Schliesslich – so die beiden Kommissionssprecher – müsse diese Offenlegungspflicht nicht nur für Kandidierende für den Nationalrat, sondern auch für jene für den Ständerat gelten.
Zuerst wurde über Eintreten verhandelt. Eine Kommissionsminderheit bestehend aus Mitgliedern der SVP-Fraktion begründete ihren Nichteintretensantrag mit den zu komplizierten Transparenzregeln, die vom Vorschlag vorgesehen seien; das Vertrauen in die Politik würde so eher geschwächt als gestärkt. Gregor Rutz (svp, ZH) bezeichnete die Vorlage gar als «Absurdität»: Es bestehe kein Handlungsbedarf und der Vorwurf, die Schweizer Politik sei korrupt, – Rutz nahm Explizit auf die Vorwürfe der GRECO Bezug – sei «Unsinn». Transparenz brauche man dort, wo demokratische Defizite bestünden, was in der Schweiz nicht der Fall sei. Nadine Masshardt (sp, BE), ihres Zeichens Co-Präsidentin des Trägervereins der Transparenz-Initiative, plädierte für die SP-Fraktion für Eintreten: Die SPK-NR habe den Gegenvorschlag wirkungslos gemacht, was insbesondere hinsichtlich der Offenlegung der Spenderinnen und Spender wieder zu korrigieren sei. Ins gleiche Horn stiess Irène Kälin (gp, AG) für die Fraktion der Grünen. Ohne Offenlegung von Spenden könne nicht von Transparenz gesprochen werden. Ihre Fraktion sei deshalb für Eintreten, um hier Korrekturen anzubringen. Auch die Mitte-Fraktion plädierte via ihre Sprecherin Marianne Binder-Keller (cvp, AG) für Eintreten, auch wenn die CVP sowohl gegen die Initiative als auch gegen den hier vorliegenden Vorschlag sei. Dies einerseits, weil die Bestrebungen letztlich auf eine staatliche Parteienfinanzierung hinausliefen, und andererseits, weil eine Forderung der CVP nicht erfüllt sei, nämlich die Offenlegung von indirekten Spenden und Querfinanzierungen beispielsweise durch Gewerkschaften und Wirtschaftsverbände. Doris Fiala (fdp, ZH) sprach von «Zeitgeist», der im Moment mehr Transparenz fordere. Allerdings sei diese Forderung in einem Milizsystem umsichtiger umzusetzen als bei einem System mit Profipolitikerinnen und -politikern – Fiala nahm Bezug auf ihr Mandat im Europarat, bei dem sie einer sehr strengen Offenlegungspflicht unterworfen sei. Auch die FDP wolle keine staatliche Parteienfinanzierung und die Wahrung der Privatsphäre auch bei politischen Zuwendungen. Der Trend für mehr Transparenz werde «auch vor den Türen der Schweizer Parteien keinen Halt machen», vermutete Corina Gredig (glp, ZH) und plädierte für ihre GLP-Fraktion nicht nur für Eintreten, sondern auch für die Offenlegung der Namen von Spenderinnen und Spendern. Vor der Abstimmung über Eintreten meldete sich auch Justizministerin Karin Keller-Sutter zu Wort. Sie erinnerte daran, dass ein gänzlicher Verzicht der Offenlegung von Spenden ein Kernstück der Transparenzinitiative entfernen würde. Der wesentlich tiefere Schwellenwert von CHF 50'000 für die Offenlegung von Kampagnen wiederum ziehe wohl vor allem bürokratischen Aufwand nach sich. Zudem sei die Forderung nach einer Offenlegung der Kampagnenzuwendungen von Ständeratskandidierenden deshalb heikel, weil ja eigentlich die Kantone für die Wahlen in die kleine Kammer verantwortlich seien. Sie bat den Rat aber auch deshalb um Eintreten, weil es sinnvoller sei, eine Regelung auf Gesetzesstufe anzubringen als in der Verfassung. Wie aufgrund der Sprecherinnen und Sprecher nicht anders zu erwarten war, stimmte die Mehrheit der anwesenden Nationalrätinnen und Nationalräte für Eintreten. Die 57 Nein-Stimmen stammten aus der SVP- (52 Stimmen) und der FDP-Fraktion (5 Stimmen), hatten aber gegen die 136 Ja-Stimmen keine Chance.

In der Folge ging es um die bereits in der Eintretensdebatte angekündigten Änderungsanträge. Eine Mehrheit von 135 zu 56 Stimmen folgte dem Kommissionsvorschlag, dass Parteien nicht nur wie vom Ständerat vorgesehen ihre Einnahmen, sondern auch ihre Ausgaben offenlegen müssen. Der SVP-Minderheitsantrag, der dem Ständerat folgen wollte, scheiterte also deutlich. Wesentlich knapper scheiterte der Minderheitsantrag Streiff (evp, BE), mit dem die Offenlegung von Spenden gefordert worden wäre, nicht aber wie vom Ständerat vorgesehen mit einer Obergrenze von CHF 25'000, sondern mit einer Obergrenze von CHF 10'000. Die 94 Stimmen der geschlossenen Fraktionen von SP und Grünen, unterstützt von 15 Stimmen der Grünliberalen – einzig Martin Bäumle (glp, ZH) sprach sich für die Mehrheit aus, die die Offenlegung der Spenden ganz streichen wollte – sowie von 9 Stimmen aus der Mitte-Fraktion und den 2 SVP-Stimmen von Mike Egger (svp, SG) und Lukas Reimann (svp, SG) reichten gegen die 96 Stimmen für die Kommissionsmehrheit nicht aus. Der Vorschlag der Kommission obsiegte auch bei der Frage nach der Höhe der Kampagnenausgaben. Nicht CHF 250'000 wie vom Ständerat und einer Minderheit Bircher (svp, AG) vorgesehen (130 zu 60 Stimmen), aber auch nicht CHF 100'000, wie von der Minderheit Streiff vorgeschlagen (171 zu 18 Stimmen), sondern Kampagnenausgaben von CHF 50'000 sollen neu eine Offenlegung zwingend machen. Angenommen wurde auch der Vorschlag, dass die einzureichenden Dokumente stichprobenweise zu kontrollieren seien.
Da damit aber keiner der Minderheitsanträge eine Mehrheit gefunden hatte und die von praktisch allen Fraktionen kritisierte, von der SPK-NR ziemlich verwässerte Vorlage so insgesamt zu viele Gegnerinnen und Gegner hatte, kam es bei der Gesamtabstimmung wenig überraschend zu einer deutlichen Abfuhr. Lediglich noch 17 Stimmen aus der FDP-Fraktion sowie eine Stimme aus der Mitte-Fraktion (Martin Landolt (bdp, GL)) unterstützten die Vorlage; standen aber gegen die 168 Gegenstimmen (9 Enthaltungen) auf verlorenem Posten. Damit wird der Ball dem Ständerat zurückgespielt.

In der Herbstsession 2020 befasste sich der Nationalrat mit der Übernahme der Rechtsgrundlagen über die Einrichtung, den Betrieb und die Nutzung des SIS, nachdem die SiK-NR das Geschäft mit 15 zu 3 Stimmen (bei 7 Enthaltungen) zur Annahme empfohlen hatte. Eine Minderheit Fivaz (gp, NE) wollte nicht auf das Geschäft eintreten, eine zweite Minderheit Addor (svp, VS) verlangte die Rückweisung an den Bundesrat. Kommissionssprecher Thomas Rechsteiner (cvp, AI) begründete die Ablehnung des Antrags auf Nichteintreten in der Kommission damit, dass das SIS ein sehr erfolgreiches Instrument für die Zusammenarbeit von Migrations-, Polizei-, Zoll- und Justizbehörden in der EU und den assoziierten Schengen-Staaten sei und es einen wichtigen Beitrag zur Gewährleistung eines hohen Sicherheitsniveaus in der Schweiz leiste. Auch den Rückweisungsantrag lehnte die Kommission ab, da sie die Sorge, dass die von der Verfassung und den Gesetzen vorgegebenen Grundsätze der Landesverweisung bei der Anwendung der neuen SIS-Verordnungen verletzt werden könnten, nicht teile. Fabien Fivaz kritisierte im Namen seiner Minderheit und der Grünen Partei die zunehmend striktere Migrationspolitik und die Stärkung der polizeilichen Massnahmen der EU, die mit der Angst vor Kriminalität begründet werde. Der Vorschlag der weiteren Einschränkung der Ausländerrechte verstosse aus Sicht der Grünen zudem gegen den Grundsatz der Verhältnismässigkeit. Zudem seien die Datenschutzprobleme im Zusammenhang mit der SIS-Datenbank ebenfalls inakzeptabel. Auch der zweite Minderheitenführer, Jean-Luc Addor, verteidigte seinen Antrag. Zwar hege die SVP wenig Sympathie für das Schengen-System, man wolle aber für die Sicherheit der Bürgerinnen und Bürger trotzdem auf das Geschäft eintreten. Eine Rückweisung sei gemäss Addor aber unumgänglich, da die Schweiz ihre legislative Autonomie zu verlieren drohe, weil man bei der Frage der Landesverweisungen der Praxis des EuGH unterstünde. Bundesrätin Karin Keller-Sutter beschwichtigte, dass der Datenschutz beim Erarbeitungsprozess umfassend berücksichtigt worden sei und man für die Umsetzung in Schweizer Recht auch den EDÖB involviert habe. Sie wies zudem darauf hin, dass für die Umsetzung der Schengen-Weiterentwicklung eine Frist von zwei Jahren gelte, die aufgrund der Verschiebung im parlamentarischen Prozess bereits um fünf Monate überzogen worden sei. Hinsichtlich der Minderheit Addor machte die Bundesrätin klar, dass die Vorlage keine Auswirkung auf die Anordnung einer Landesverweisung habe, die weiterhin autonom von der Schweiz ausgesprochen würde. Der Rat beschloss mit 154 zu 33 Stimmen (bei 3 Enthaltungen) auf das Geschäft einzutreten und lehnte den Rückweisungsantrag mit 140 zu 51 Stimmen (bei 0 Enthaltungen) ab.
In der Folge lehnte der Rat einen weiteren Minderheitsvorschlag der SVP ab, der eine Nichtanwendung der Rückführungsrichtlinie auf die strafrechtliche Landesverweisung vorsah. Mehrere Minderheiten der SP und Grünen forderten verschiedene Änderungen, unter anderem zu Einreiseverboten, Sozialhilfe und Datenschutz. Bundesrätin Keller-Sutter versuchte die Argumente der Minderheiten mit ihren Ausführungen zu entkräften, was zumindest teilweise gelang, da sämtliche Minderheiten abgelehnt wurden. Die Fraktionen der Minderheitsführenden konnten sich jedoch in der Gesamtabstimmung durchsetzen, in welcher der Entwurf mit 79 zu 74 Stimmen (bei 38 Enthaltungen) knapp abgelehnt wurde. Die Nein-Stimmen stammten von der SVP und der Grünen Partei, während sich die SP fast gänzlich enthielt.
Damit nahm der Nationalrat eine Konfrontation mit der EU in Kauf, da die Schweiz als Schengen-Staat zur Übernahme des neuen EU-Rechts verpflichtet ist. Die FDP übte am Tag darauf lautstark Kritik an der SVP und vor allem an der SP. Beat Walti (fdp, ZH) warf der SP vor, «auf verantwortungslose Weise mit der Sicherheit der Schweiz zu taktieren», und die NZZ schrieb von einem «Coup der Sozialdemokraten». Die eigentliche Frist im November 2020 sei sowieso nicht mehr zu erreichen und mit dem taktischen Spiel der SP und dem Nein im Nationalrat werde sich die Umsetzung noch weiter verzögern, so die Zeitung weiter.

In der Sommersession 2020 genehmigte der Ständerat einstimmig (bei 2 Enthaltungen) das Protokoll vom 10. Oktober 2018 zur Änderung des Übereinkommens SEV 108 des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. Noch im Juni 2020 werde die EU über die Angemessenheit des schweizerischen Datenschutzniveaus entscheiden, und weil die eidgenössischen Räte das Datenschutzgesetz bis dahin noch nicht fertig beraten haben werden, spiele die Ratifikation des Änderungsprotokolls eine zentrale Rolle für den Entscheid der EU, betonte Bundesrätin Karin Keller-Sutter neuerlich die Bedeutung des Abkommens. In den Schlussabstimmungen sprachen sich der Nationalrat mit 143 zu 6 Stimmen bei 49 Enthaltungen (alle Gegenstimmen und Enthaltungen aus der SVP-Fraktion) und der Ständerat wiederum einstimmig bei 2 Enthaltungen für die Genehmigung des Europaratsprotokolls aus. Damit kann der Bundesrat, unter Vorbehalt des fakultativen Referendums, das Änderungsprotokoll zum Übereinkommen SEV 108 ratifizieren.

Der Ständerat nahm sich in der Sommersession 2020 des Verpflichtungskredits zur Weiterentwicklung des Schengen/Dublin-Besitzstands an, wobei keine neuen Argumente eingebracht wurden. Damian Müller (fdp, LU) sprach dem Verpflichtungskredit im Namen der APK-SR seine Unterstützung aus, nicht zuletzt weil die Schweiz volkswirtschaftlich und finanziell von ihrer Assoziierung an Schengen/Dublin profitiere. Die APK-SR sehe im Bereich der inneren Sicherheit zudem einen sicherheitspolitischen Mehrwert – dank dem automatischen Datenaustausch –, der sich monetär gar nicht erfassen liesse. Da sich die Schweiz zur termingerechten Übernahme aller Weiterentwicklungen verpflichtet habe, sei der Verpflichtungskredit laut Finanzhaushaltsgesetz notwendig, führte Müller aus. Bundesrätin Keller-Sutter warnte vor einer Verzögerung der Umsetzung, da dies Mehraufwände und Mehrkosten mit sich bringen würde. Sie hob die Wichtigkeit der Neu- und Weiterentwicklungsprojekte für die Schweiz hervor, welche dem Schutz der Aussengrenzen, der Bekämpfung der illegalen Migration und der allgemeinen Kriminalitätsbekämpfung dienen würden. Die in den kommenden fünf Jahren benötigten CHF 122 Mio., von denen CHF 23 Mio. Eigenleistungen und CHF 13.7 Mio. eigene Sachmittel sind, stellten bereits den vierten Verpflichtungskredit für IT-Entwicklungen im Bereich Schengen/Dublin dar, wobei bisher noch nie Kostenüberschreitungen oder Nachtragskreditbegehren aufgetreten seien. Bundesrätin Keller-Sutter kündigte an, dass weitere Verpflichtungskredite anstehen und durch die neuen Aufgaben der Schengen-Staaten, wie beispielsweise die Einrichtung des Europäischen- Reiseinformations- und -genehmigungssystems, höhere Betriebskosten anfallen würden. Sie erwähnte dabei aber auch die Möglichkeit, derartige Projekte durch Beiträge aus dem europäischen Fonds für die innere Sicherheit im Bereich Aussengrenze und Visa mitzufinanzieren. Der Ständerat stimmte dem Kredit mit 36 zu 2 Stimmen (bei 2 Enthaltungen) zu und übernahm damit auch die Ergänzung des Nationalrats, demgemäss das Geld erst freigegeben wird, wenn das Parlament die gesetzlichen Grundlagen in Sachen Datenschutz beschlossen hat.

In der Sommersession 2020 setzte der Ständerat die Differenzbereinigung bei der Totalrevision des Datenschutzgesetzes fort. In zwei Punkten, die das Auskunftsrecht der von einer Datenbearbeitung betroffenen Person und die Informationspflicht der datenbearbeitenden Stelle betrafen, fügte sich die kleine Kammer stillschweigend und diskussionslos den Beschlüssen des Nationalrates. So muss die betroffene Person nicht zwingend über die Liste ihrer Rechte und die allfällige Absicht, eine Kreditwürdigkeitsprüfung vorzunehmen, informiert werden. Eine angeforderte Auskunft muss zudem «die bearbeiteten Personendaten als solche» beinhalten, wobei die SPK-SR zum Schluss gekommen war, dass die vom Nationalrat eingefügte Ergänzung «als solche» nichts nütze, aber auch nichts schade, wie deren Berichterstatter Daniel Fässler (cvp, AI) vor dem Plenum erläuterte. Stillschweigend hielt der Ständerat hingegen an seinem Entscheid fest, dass alle genetischen Daten als besonders schützenswerte Personendaten gelten sollen, da die einschränkende Definition des Nationalrates gemäss dem Kommissionssprecher wohl nicht EU-konform wäre.
Für eine kurze Debatte sorgte die Frage, welche Daten für eine an sich persönlichkeitsverletzende Kreditwürdigkeitsprüfung verwendet werden dürfen. Eine Minderheit Müller (fdp, LU) schlug vor, den Einbezug von bis zu zehn Jahre alten Daten zu erlauben – dies hatte der Nationalrat so entschieden –, wobei aber Daten aus öffentlich zugänglichen staatlichen Registern von dieser Beschränkung ausdrücklich auszunehmen seien. Mit einer kurzen und starren Frist würden die Interessen der Gläubiger zu wenig berücksichtigt, begründete Damian Müller den Antrag. Der Rat folgte mit 25 zu 17 Stimmen jedoch seiner Kommissionsmehrheit und hielt an seinem letzten Beschluss fest, wonach die verwendeten Daten nicht älter als fünf Jahre sein dürfen, wie es auch der Bundesrat ursprünglich vorgesehen hatte. Kommissionssprecher Fässler argumentierte, dass ältere Daten mitunter ungenau seien und daher nicht als Rechtfertigungsgrund für eine Persönlichkeitsverletzung zugelassen werden sollten.
Gerungen wurde in der Ständekammer indes immer noch um die Definition von «Profiling mit hohem Risiko», nachdem der Nationalrat dem risikobasierten Ansatz zur Regulierung des Profilings zugestimmt, sich aber mit der Abgrenzung der Risikostufen nicht zufrieden gezeigt hatte. Die Kommission schlug ihrem Rat einstimmig eine neue Formulierung vor, die sich am heute geltenden Konzept des Persönlichkeitsprofils orientierte und die die Idee der grossen Kammer aufnahm, das Risiko am Ergebnis der Datenbearbeitung anstatt am Prozess festzumachen. Mit einem Einzelantrag wollte Ständerat Ruedi Noser (fdp, ZH) der Formulierung des Nationalrats den Vorzug geben, weil der Vorschlag der ständerätlichen SPK das Profiling faktisch verbiete und den unklaren und veralteten Begriff «wesentliche Aspekte der Persönlichkeit» verwende. Kommissionssprecher Fässler und Bundesrätin Karin Keller-Sutter widersprachen dieser Darstellung jedoch: Profiling mit hohem Risiko werde nicht verboten, sondern lediglich höheren Anforderungen unterworfen, der kritisierte Begriff sei im geltenden Recht bereits etabliert und der Vorschlag Noser käme einer Nicht-Regulierung des Profilings gleich, wie sie wohl kaum mit dem EU-Datenschutzniveau vereinbar wäre. Zudem hätten der von Noser gewünschten Lösung im Nationalrat nur 65 Mitglieder zugestimmt, während 57 sie abgelehnt und sich 65 der Stimme enthalten hatten, weshalb darin kaum der endgültige Wille der grossen Kammer zum Ausdruck gekommen sei. Der Ständerat folgte mit 39 zu 5 Stimmen (1 Enthaltung) klar seiner Kommission und schrieb die neue Formulierung ins Gesetz, wonach Profiling dann mit hohem Risiko verbunden ist, wenn es «die Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt». Damit wird das heutige Schutzniveau bei der automatisierten Datenbearbeitung gehalten, aber weder erhöht, wie es im Sinne der Ständeratsmehrheit und der linken Seite des Nationalrats gewesen wäre, noch gesenkt, was dem bürgerlichen Ansinnen entsprochen hätte. Mit noch drei inhaltlichen Differenzen ging die Vorlage wieder an den Nationalrat.

Im Kampf gegen die Ausbreitung des Coronavirus setzten mehrere früh von der Pandemie betroffene Länder, beispielsweise China, Singapur, Südkorea oder Taiwan, auf staatlich verordnetes Mobiltelefon-Tracking, damit die Behörden den Standort einer Person verfolgen und so einerseits die Einhaltung von Isolation und Quarantäne überwachen und andererseits Passanten vor infizierten Personen warnen konnten. Ende März berichtete die Presse, dass auch in der Schweiz das BAG Handydaten zur Bewältigung der Pandemie nutze. Im Fokus stand dabei jedoch nicht das personalisierte Tracking, sondern die Auswertung anonymisierter Massendaten aus dem Mobilfunknetz der Swisscom, um zu überprüfen, ob sich die Bevölkerung an das Verbot von Ansammlungen von mehr als fünf Personen im öffentlichen Raum hielt und wo sich allenfalls zu grosse Menschenansammlungen bildeten. Auf Kritik aus Datenschutzkreisen entgegnete das BAG in der Presse, die Daten liessen keine Rückschlüsse auf einzelne Personen zu und würden nicht in Echtzeit verwendet, weshalb es sich nicht um eine Überwachung, sondern um eine verhältnismässige Massnahme handle.
Die permanente Mitverfolgung des Standorts aller Personen durch den Staat, mit der einige asiatische Länder schnelle Erfolge in der Eindämmung der Pandemie erzielten, war in Europa datenschutzrechtlich undenkbar. Ein paneuropäisches Konsortium von 130 Forschungseinrichtungen aus acht Ländern, darunter auch die ETHZ und die EPFL, das Anfang April in den Medien vorgestellt wurde, arbeitete daher an einer auf Europa zugeschnittenen, die Privatsphäre bewahrenden Lösung, um die Rückverfolgung der Kontakte infizierter Personen zu unterstützen. Ziel war eine Smartphone-App zum Proximity Tracing, d.h. zum Erkennen, welche Personen sich so nah waren, dass eine Übertragung des Coronavirus möglich gewesen wäre. Die europäische App setzte allerdings nicht auf die Standort-Lokalisierung der Nutzerinnen und Nutzer, sondern auf eine extra zu diesem Zweck von Apple und Google gemeinsam entwickelte Bluetooth-Schnittstelle. Über Bluetooth soll die App andere Smartphones in einem gewissen Umkreis erkennen, auf denen die Anwendung ebenfalls aktiviert ist, und diese Kontakte anonym speichern. Eine positiv auf das Coronavirus getestete Person kann dann über die App die registrierten Kontaktpersonen warnen, sodass sich diese frühzeitig in Quarantäne begeben und testen lassen können. Für den Bundesrat sei diese Anwendung «interessant», wie Karin Keller-Sutter gegenüber dem Tages-Anzeiger sagte. Man kläre derzeit ab, wie dieses System in der Schweiz zum Einsatz kommen könnte und wie die Rechtslage aussehe. Aus Datenschutzsicht hielt EDÖB Adrian Lobsiger diesen Weg gemäss Tages-Anzeiger für «gangbar», solange das Herunterladen der App freiwillig sei. Wie in den Medien erklärt wurde, sammle das System keine personalisierten Daten; vielmehr würden die Kontakte für eine begrenzte Zeit als verschlüsselte Codes abgespeichert.
Den beiden Schweizer Hochschulen erschien das europäische Projekt nach einiger Zeit jedoch zu wenig transparent und sie befanden, es lege zu wenig Wert auf den Schutz der Privatsphäre. Mitte April zogen sie sich daher – wie auch einige weitere Institutionen, die zum gleichen Schluss gekommen waren – daraus zurück und kündigten an, stattdessen eine eigene Lösung zu entwickeln, die im Gegensatz zum europäischen System keine Kontaktdaten sammle, sondern sie jeweils dezentral direkt auf dem Smartphone speichere. So könne weder nachverfolgt werden, welche Personen miteinander in Kontakt waren, noch welche sich infiziert und damit eine Warnung ausgelöst haben, selbst wenn die Server der App-Betreiber gehackt werden sollten, erklärten die Medien. Auch der EDÖB, das Nationale Zentrum für Cybersicherheit und die Nationale Ethikkommission zeigten sich in der Presse zufrieden mit dem gewählten dezentralen Ansatz: Damit werde die Privatsphäre bestmöglich geschützt.
In seiner Medienkonferenz vom 29. April bestätigte der Bundesrat schliesslich, dass er plane, der Bevölkerung zeitnah eine solche Corona-Warn-App zur Verfügung zu stellen; diese werde derzeit von der ETHZ und der EPFL gemeinsam mit dem Bund entwickelt. Weiter versicherte die Regierung, dass der Gebrauch der App freiwillig sein und sie nur für die Dauer der Krise eingesetzt werde. Bis anhin hatte sich der Bundesrat dazu nur sehr zurückhaltend geäussert, was in den Medien bereits für Spekulationen gesorgt hatte, weil vonseiten des BAG und der beteiligten Hochschulen bereits Tage zuvor ein konkretes Datum kommuniziert worden war, an dem die App bereitstehen sollte.
Gleichzeitig erörterte die Presse viele noch offene Fragen zur geplanten Corona-Warn-App. Vor dem Hintergrund einer Experteneinschätzung, wonach 60 Prozent der Bevölkerung die App nutzen müssten, damit sie wirksam sei, wurde debattiert, ob die Freiwilligkeit der richtige Weg sei. Dies wurde aus ethischen Gründen – namentlich, weil ein App-Zwang einen inakzeptablen Eingriff in die persönliche Selbstbestimmung darstellte – grösstenteils bejaht, aber gleichzeitig anerkannt, dass eine so weit verbreitete, freiwillige Verwendung der App eine grosse Akzeptanz und damit ein grosses Vertrauen seitens der Bevölkerung voraussetze. Dieses Vertrauen basiere seinerseits gerade auf der Freiwilligkeit und nur schon der geringste Anschein, der Staat wolle die Menschen zur Benutzung der App drängen, könnte es zerstören, warnte etwa die Zürcher GLP-Nationalrätin und Geschäftsführerin des IT-Verbandes Swico Judith Bellaïche im Tages-Anzeiger. Gegen die App wurde indessen das Argument ins Feld geführt, sie bringe nichts, weil sie das manuelle Contact Tracing nicht ersetzen könne. Dem widersprach der massgeblich an der Entwicklung der App beteiligte EPFL-Epidemiologe Marcel Salathé nicht, erklärte aber gegenüber dem «Blick», dass die Contact-Tracing-Stellen durch die App entscheidend entlastet werden könnten und dass jede Installation helfe, auch wenn weniger als 60 Prozent der Bevölkerung die App nutzten.
Eine Mitte April im Auftrag der NZZ durchgeführte Befragung, deren Ergebnisse die Zeitung Anfang Mai publizierte, hatte ergeben, dass knapp drei Viertel der Schweizer Bevölkerung sich bereit erklärten, eine Tracking-App zu installieren, wenn diese zur Eindämmung des Coronavirus und damit zur Verkürzung des Lockdowns beitragen könnte. Dabei würden die Befragten am ehesten eine App installieren, die vom Bundesrat herausgegeben würde – gut die Hälfte erklärte sich dazu bereit –, während das BAG, die Kantone und andere vorgeschlagene Institutionen deutlich weniger Vertrauen genossen. Bei den Bundesparlamentarierinnen und -parlamentariern, unter denen die NZZ eine ähnliche Umfrage durchgeführt hatte, konnte sich ebenfalls gut die Hälfte vorstellen, die Corona-App des Bundes zu installieren, wobei einzig in der Grünen Fraktion klar die Skepsis überwog. Ein Obligatorium für die Anwendung wurde von den Parlamentarierinnen und Parlamentariern hingegen grossmehrheitlich abgelehnt.

Einstimmig bei sechs Enthaltungen genehmigte der Nationalrat in der Frühjahrssession 2020 das Änderungsprotokoll vom 10. Oktober 2018 zum Übereinkommen SEV 108 des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. Die Beratungen des Datenschutzgesetzes seien mittlerweile weit genug fortgeschritten, um vorherzusehen, dass es mit dem vorliegenden Übereinkommen kompatibel sein werde, erklärte Kommissionssprecher Matthias Jauslin (fdp, AG) vor dem Ratsplenum. Bundesrätin Karin Keller-Sutter unterstrich, die Schweiz sende mit der Ratifikation des Abkommens ein positives Signal an die EU, für die das «ein wichtiges Indiz für den Entscheid über den Angemessenheitsbeschluss» darstelle.

In der Wintersession 2019 beriet der Ständerat den indirekten Gegenvorschlag seiner SPK-SR für mehr Transparenz bei der Politikfinanzierung, der in Folge der erfolgreich zustande gekommenen Transparenz-Initiative als parlamentarische Initiative ausgearbeitet worden und sowohl in der Vernehmlassung wie auch im Bundesrat auf mehrheitliche Zustimmung gestossen war.
Andrea Caroni (fdp, AR) beantragte Nichteintreten. Er sei zwar ein «grosser Freund der Transparenz in der Politik», hier handle es sich aber um eine schlecht ausbalancierte Vorlage, die zudem eher zu «Scheintransparenz» führe. Die Forderungen seien erstens ein Eingriff in die Privatsphäre, weil sie politische Präferenzen und finanzielle Möglichkeiten von Spenderinnen und Spendern offenlegten. Zweitens würden die Regelungen mit viel Bürokratie einhergehen und könnten wohl, drittens, sehr einfach umgangen werden, da zwangsläufig grosse Lücken bestehen blieben. In Ländern, die scharfe Regeln kennen, sei das Vertrauen in die Politik nicht grösser als in der Schweiz, betonte er. Viel Geld und Demokratie stünden in einem heiklen Verhältnis, zitierte in der Folge Paul Rechsteiner (sp, SG) Gottfried Keller. Demokratische Entscheide dürfe man nicht kaufen können. Die Transparenz-Initiative verbiete zwar den Einsatz grosser Geldmittel nicht, sie verlange aber Transparenz. Wer viel investiere, der solle auch dazu stehen. Dass die Sensibilität in der Bevölkerung wachse, zeigten die Volksabstimmungen in den Kantonen Schwyz und Freiburg, wo die Forderung nach Transparenzregeln an der Urne Erfolg hatte. Das Argument, dass Regeln umgangen werden könnten, dürfe nicht gelten, weil man ansonsten überhaupt keine Regeln mehr aufstellen dürfe; man denke dabei etwa an den Strassenverkehr. Christian Levrat (sp, FR) schliesslich erörterte den in seinen Augen erfolgreichen Fall Freiburg und zitierte den aktuellen Sorgenbarometer, der einen Rückgang des politischen Vertrauens zeige. Dem könne vor allem mit vermehrter Transparenz begegnet werden. Beide SP-Vertreter forderten nicht nur Eintreten, sondern auch ein Ja zur Volksinitiative. Justizministerin Karin Keller-Sutter erörterte die Position der Regierung. Der Bundesrat habe in der ursprünglichen Botschaft für die zur Ablehnung empfohlene Initiative keinen Gegenentwurf vorgesehen, weil er Regelungen der Politikfinanzierung kritisch gegenüberstehe, da sie administrativ aufwändig und schwierig umsetzbar seien. Zudem sei der Bundesrat der Meinung, dass sich das Volk nicht kaufen lasse. Es gebe mehrere Beispiele von Abstimmungskampagnen, bei denen grosse Geldmittel eingesetzt worden seien, bei denen sich die Stimmbevölkerung aber auf die finanziell weniger gut bemittelte Seite geschlagen habe. Der jetzt durch die SPK-SR vorgelegte indirekte Gegenvorschlag habe gegenüber der Initiative Vorzüge und es sei sicherlich besser, Finanzierungsregeln auf Gesetzesstufe und nicht auf Verfassungsstufe einzuführen. Aus diesem Grund unterstütze der Bundesrat – nach wie vor mit einer gehörigen Portion Skepsis – den Gegenvorschlag, bei dem er allerdings einige Änderungswünsche anbringe.
Bevor über diese Änderungen debattiert wurde, wurde der Minderheitsantrag Caroni auf Nichteintreten mit 29 zu 14 Stimmen bei einer Enthaltung abgelehnt. Eine Minderheit Stöckli (sp, BE), die von Christian Levrat übernommen worden war, weil Hans Stöckli als Präsident amtete, wollte den Katalog der Offenlegungspflichten für politische Parteien erweitern. Neben den Einnahmen hätten auch Ausgaben und Vermögenslage ausgewiesen werden sollen. Dieser Antrag scheiterte aber genauso wie ein Antrag, die Obergrenze für Zuwendungen nicht bei CHF 25'000, sondern schon bei CHF 10'000 festzulegen. Angenommen wurde ein Antrag des Bundesrats, auf eine Offenlegungspflicht bei Unterschriftensammlungen zu verzichten. Die SPK-SR war hier auf die Linie des Bundesrats umgeschwenkt, weil das öffentliche Interesse an Transparenz in diesem frühen Stadium weniger gross sei, wie Daniel Fässler (cvp, AI) für die Kommission ausführte. Zu diskutieren gab die Frage nach einem Verbot von Zuwendungen aus dem Ausland. Der Bundesrat hatte beantragt, dieses Verbot zu streichen und lediglich den Passus für ein Verbot von anonymen Zuwendungen zu belassen. Die SPK-SR hatte nach längerer Diskussion mit 7 zu 5 Stimmen entschieden, dem Antrag des Bundesrats zu folgen. Eine Minderheit Bischof (svp, SZ) wollte allerdings – auch gestützt auf eine parlamentarische Initiative Fournier (cvp, VS;Pa.Iv. 18.423) – am ursprünglichen Verbot festhalten. Pirmin Bischof warnte davor, dass Wahlen und Abstimmungen in verschiedenen Ländern durch ausländische Geldgeberinnen und Geldgeber finanziert worden seien. Dies sei beim Geldspielgesetz nachweislich auch in der Schweiz der Fall gewesen. Es stehe wohl nächstens eine Abstimmung über den Kauf von Kampfflugzeugen an, wo es um Milliardenbeträge gehe, an denen auch ausländische Player ein Interesse hätten. Im Inland müsse man für Transparenz sorgen, aber die direkte Demokratie werde gegen ausländische Gelder nur durch ein Verbot geschützt. Karin Keller-Sutter entgegnete, dass nicht auszuschliessen sei, dass ausländisches Geld in Abstimmungskampagnen fliesse. Dies werde aber in der Regel bekannt und es werde darüber diskutiert. Ein Verbot sei hingegen mittels Geldkurieren sehr leicht zu umgehen. Das magistrale Votum verhallte jedoch ungehört; der Antrag der Minderheit wurde mit 25 zu 18 Stimmen gutgeheissen.
In der Gesamtabstimmung wurde der Entwurf mit 29 zu 13 Stimmen (2 Enthaltungen) angenommen.

Der Totalrevision des Datenschutzgesetzes und der Änderung weiterer Erlasse zum Datenschutz nahm sich in der Herbstsession 2019 der Nationalrat als Erstrat an. Das ein Jahr zuvor verabschiedete und am 1. März 2019 in Kraft getretene Schengen-Datenschutzgesetz, das aus Gründen der zeitlichen Dringlichkeit zunächst nur die Schengen-relevanten Anpassungen umsetzte, wird mit der Annahme des totalrevidierten Gesetzes wieder ausser Kraft treten. Mit der Totalrevision sollen über die Schengen-Anforderungen hinausgehend einerseits die Schwächen des heutigen Datenschutzrechts, das noch aus einer Zeit vor dem Internet stammt, behoben und andererseits die Entwicklungen auf EU- und Europarats-Ebene aufgenommen werden. Besonders bedeutsam für die Schweiz ist hierbei, von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt zu werden. Ansonsten, so wurde befürchtet, wäre die Schweizer Wirtschaft mit erheblichen Wettbewerbsnachteilen konfrontiert, da Schweizer Unternehmen nicht mehr so einfach Daten mit Firmen in der EU austauschen könnten. Bis im Mai 2020 wird die EU die Äquivalenz des Schweizer Datenschutzes beurteilen, was eine gewisse Dringlichkeit für die Revision gebietet.
Wie schwierig dieses Unterfangen werden würde, hatte sich schon in der vorberatenden SPK-NR abgezeichnet: Nur mit Stichentscheid des Präsidenten Kurt Fluri (fdp, SO) hatte sich die Kommission im August 2019 durchgerungen, die Vorlage nach mehr als einem Jahr Arbeit überhaupt vors Ratsplenum zu bringen. Die wichtigsten Anpassungen der Kommission am bundesrätlichen Entwurf waren die neu einzuführende Direktwahl des EDÖB durch die Bundesversammlung, die Einführung eines Rechts auf Datenportabilität, die Anpassung der Definition der besonders schützenswerten Personendaten sowie der Verzicht auf eine besondere Regelung für den Umgang mit Daten verstorbener Personen und auf eine ausdrücklich erforderliche Einwilligung zum Profiling. Im Rahmen ihrer Beratungen hatte die SPK-NR zudem sechs Motionen zur Vervollständigung der Datenschutzbestimmungen in weiteren Gesetzen eingereicht.
Kurz vor der Debatte im Nationalrat hatte das Bundesamt für Justiz überdies eine Liste dazu veröffentlicht, welche problematischen Differenzen es zwischen dem Kommissionsvorschlag und den Anforderungen der EU sehe. Auch EDÖB Adrian Lobsiger hatte in der Presse bezweifelt, dass das von der Kommissionsmehrheit vorgeschlagene Gesetz mit dem verlangten Niveau der EU-Datenschutzgrundverordnung (DSGVO) mithalten könne; beim Entwurf des Bundesrates hätte er indes keine Probleme gesehen.
Während der strittige Vorschlag der Kommissionsmehrheit für die SVP bereits zu weit ging, bemängelten SP, Grüne und GLP, er sei zu lasch. Wirtschaftsverbände drängten unterdessen auf eine möglichst rasche, EU-konforme Lösung. So wurde im Vorfeld der nationalrätlichen Debatte von den Mitte- und Linksparteien noch fieberhaft nach Kompromissen gesucht, um den drohenden Absturz der Revision zu verhindern.

In der Eintretensdebatte in der grossen Kammer wurde von allen Seiten – ausser von der SVP-Fraktion – betont, wie wichtig und notwendig das vorliegende Revisionsprojekt sei, sowohl um den Datenschutz dem Internetzeitalter anzupassen als auch um den Datenschutz auf ein der EU gleichwertiges Niveau zu bringen, auch wenn man in den Details der Ausgestaltung verschiedene Ansichten vertrat. Die SVP betrieb hingegen Fundamentalopposition gegen «diesen bürokratischen Unsinn», wie Fraktionsvertreter Gregor Rutz (svp, ZH) das neue Gesetz nannte, denn es sei insgesamt, vor allem für KMU, schlechter als das geltende Datenschutzgesetz – ein Argument, das wenig später durch das Votum von FDP-Vertreter Kurt Fluri (fdp, SO) entkräftet werden sollte, der berichtete, dass der Gewerbeverband die Stossrichtung der Kommissionsmehrheit begrüsse und die Rückweisung nicht unterstütze. Mit der DSGVO verkaufe die EU laut Rutz ihre Bürger für dumm, da sie «kein Mensch» verstehe. «Wir haben langsam genug davon, jeden Unsinn aus der EU ungesehen zu übernehmen!», ärgerte sich der SVP-Vertreter und rief das Ratsplenum auf, die Vorlage an den Bundesrat zurückzuweisen mit dem Auftrag, sie zu entschlacken und EU-Vorschriften nur dort zu übernehmen, wo es unumgänglich sei. Auch eine linke Minderheit hatte ursprünglich die Rückweisung, allerdings an die Kommission, beantragt und diese beauftragen wollen, die Vereinbarkeit der Vorlage mit dem Übereinkommen SEV 108 des Europarats, die Äquivalenz mit dem EU-Datenschutzrecht, die Kompatibilität mit den Schengen-Verträgen und die Nicht-Unterschreitung des heute geltenden Schutzniveaus sicherzustellen. Um die doch eher dringliche Revision nicht unnötig zu verlangsamen und um sich einer «produktiven Diskussion» nicht zu verschliessen, zog Cédric Wermuth (sp, AG) diesen Antrag jedoch «im Sinne eines Vorschussvertrauensbeweises» zurück und hoffte, das Gesetz während der Beratung noch auf eine den genannten Forderungen nähere Linie bringen zu können. Der Rückweisungsantrag der SVP-Minderheit wurde mit 120 zu 66 Stimmen (1 Enthaltung) deutlich verworfen; ausserhalb der geschlossenen SVP-Fraktion sah niemand eine Rückweisung als den richtigen Weg an.

Im Laufe der Detailberatung musste der Nationalrat über 45 Minderheits- und mehrere Einzelanträge befinden, die zu einem beträchtlichen Teil die Unterstützung des Bundesrates genossen – hauptsächlich immer dort, wo die Kommissionsmehrheit mit ihrem Vorschlag einen schwächeren Datenschutz wollte als der Bundesrat und somit das heute geltende Schutzniveau oder die Anforderungen der EU und/oder des Europarats unterschreiten wollte. So war die Kommissionsmehrheit bestrebt, sowohl die Daten über gewerkschaftliche Ansichten und Tätigkeiten als auch die Daten über Massnahmen der sozialen Hilfe aus dem Katalog der besonders schützenswerten Daten, für deren Bearbeitung besondere Anforderungen gelten, zu streichen. Während eine bürgerliche Ratsmehrheit die Streichung der Daten über gewerkschaftliche Ansichten und Tätigkeiten guthiess, schwenkte der Nationalrat bei den Daten über Massnahmen der sozialen Hilfe – neben Sozialhilfedaten sind davon auch solche über Sozialversicherungsmassnahmen bei Krankheit oder Unfall, Massnahmen der Vormundschaftsbehörden oder KESB, die fürsorgerische Unterbringung in psychiatrischen Kliniken, Ergänzungsleistungen und Prämienverbilligungen erfasst – auf die Linie des Bundesrates zurück und beliess sie im Katalog. Grünen-Vertreter Balthasar Glättli (gp, ZH) hatte zuvor mit Nachdruck klargemacht, dass deren Streichung für die Grünen und die SP ein Grund wäre, dem Gesetz die Zustimmung zu verweigern. Eine ähnliche Drohung sprach SVP-Fraktionssprecher Gregor Rutz aus, als die Einschränkung des Geltungsbereichs des DSG auf natürliche Personen zur Debatte stand: Einem Gesetz, das – anders als bisher – keinen Datenschutz für juristische Personen mehr vorsehe, werde man «nie im Leben» zustimmen können. Alle anderen Fraktionen befanden den Schutz für juristische Personen durch andere gesetzliche Bestimmungen jedoch als ausreichend und so glich der Nationalrat das DSG mit der Streichung des Schutzes juristischer Personen an die europäischen Regeln an. Bei der Frage der Anforderungen für das sogenannte Profiling zeichnete sich während der Diskussion ab, dass man an diesem Tag keine zufriedenstellende Lösung finden würde. Für jegliche Formen des Profilings, das die Aargauer Zeitung treffend als die «automatisierte Auswertung von Daten, mit denen bestimmte Merkmale einer Person bewertet werden, um etwa Vorhersagen über ihr künftiges Verhalten zu treffen» definierte, hatte der Bundesrat eine ausdrückliche Einwilligung der betroffenen Person voraussetzen wollen, wie sie auch zur Bearbeitung besonders schützenswerter Personendaten vorgesehen war. Da das geltende Recht so eine Regelung für das Erstellen von Persönlichkeitsprofilen umfasst, würde eine komplette Streichung der ausdrücklichen Einwilligung zum Profiling, wie es die Kommissionsmehrheit vorgeschlagen hatte, ein Rückschritt vom aktuellen Schutzniveau darstellen. In der Diskussion wurde mehrheitlich anerkannt, dass verschiedene Formen des Profilings unterschieden werden müssten, da es, wie es Balthasar Glättli erklärte, durchaus einen Unterschied mache, ob Profiling zur Erstellung von passenden Bücherempfehlungen, zur Abschätzung des Risikos für eine Versicherung oder zur Vorhersage der politischen Entscheidungen einer Person gebraucht werde. Der Bundesrat unterstützte folglich einen Einzelantrag Glättli, der eine ausdrückliche Einwilligung nur für ein Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person vorsah. Die Fraktionen der Grünen, SP und GLP unterstützten diesen Antrag ebenfalls, unterlagen jedoch der bürgerlichen Ratsmehrheit, die beim Vorschlag der Kommissionsmehrheit ohne besondere Anforderungen für das Profiling blieb. Der Nachhall der Diskussion war jedoch klar, dass sich der Ständerat noch einmal intensiv mit dieser Frage auseinandersetzen müsse.
Betreffend die Informationspflicht bei der Beschaffung von Personendaten, die Regeln für die Bekanntgabe von Personendaten ins Ausland, die Rechenschaftspflicht für datenbearbeitende Unternehmen über die Einhaltung des Datenschutzrechts sowie das Auskunftsrecht einer Person zu den über sie gesammelten oder bearbeiteten Daten lehnte die Volkskammer einige von der Kommissionsmehrheit vorgeschlagene Lockerungen ab und umschiffte somit ein paar der vielen Klippen im Hinblick auf den Angemessenheitsbeschluss der EU. Die vom Bundesrat eingefügten Regelungen über Daten von verstorbenen Personen erachtete der Rat jedoch als nicht notwendig und strich mit bürgerlicher Mehrheit alle entsprechenden Bestimmungen aus dem Gesetz. Ganz neu und weitgehend unbestritten verankerte der Nationalrat auf Vorschlag seiner Kommissionsmehrheit ein Recht auf Datenportabilität, das heisst auf Datenherausgabe und -übertragung, im Gesetz. Wie Bundesrätin Karin Keller-Sutter erklärte, habe der Bundesrat mit dieser Neuerung eigentlich noch zuwarten wollen, bis erste Erkenntnisse aus der konkreten Umsetzung dieses Rechts in der EU vorlägen; nichtsdestotrotz unterstützte er den Vorschlag der Kommissionsmehrheit, einen Anspruch jeder Person auf «die Herausgabe ihrer Personendaten in einem gängigen elektronischen Format oder sogar deren Übertragung auf einen anderen Verantwortlichen zu verlangen», wie Keller-Sutter das neue Recht erläuterte.
Zurückgehend auf eine entsprechende parlamentarische Initiative Leutenegger Oberholzer (sp, BL; Pa.Iv. 16.409) änderte die grosse Kammer das Wahlverfahren des EDÖB dahingehend, dass er neu von der Bundesversammlung gewählt und nicht mehr durch den Bundesrat ernannt und vom Parlament nur bestätigt werden sollte. Gleichzeitig wurden die Aufsichts- und Untersuchungskompetenzen des EDÖB bei Datenschutzverstössen gestärkt. Diese Änderung sei von wesentlicher Bedeutung im Hinblick auf den Angemessenheitsbeschluss der EU, wie Bundesrätin Keller-Sutter betonte, denn nach bisher geltendem Recht besitze der EDÖB nicht nur weniger Kompetenzen als die Datenschutzbehörden in Europa, sondern auch als andere Aufsichtsbehörden des Bundes, zum Beispiel die Finma oder die Weko. Bei den Strafbestimmungen legte der Nationalrat eine maximale Busse von CHF 250'000 für Datenschutzverstösse fest. Ein neuer Straftatbestand für die Nichteinhaltung der Mindestanforderungen an die Datensicherheit im Sinne einer Sorgfaltspflichtverletzung wurde von der bürgerlichen Ratsmehrheit jedoch nicht goutiert, was laut Bundesrätin Keller-Sutter für die EU-Angemessenheit problematisch sein könnte. Der letzte grosse Zankapfel der Vorlage verbarg sich in den Schlussbestimmungen, namentlich in der Frage zum Inkrafttreten des Gesetzes. Während die Kommissionsmehrheit das Inkrafttreten um zwei Jahre nach Annahme des Gesetzes beziehungsweise nach Verstreichen der Referendumsfrist verzögern wollte, beantragte eine Minderheit Humbel (cvp, AG), wie üblich den Bundesrat das Inkrafttreten bestimmen zu lassen. Eine solche Verzögerung sei bereits wegen der Schengen-relevanten Bestimmungen des Gesetzes ein Problem und daher nicht im Interesse der Wirtschaft, was das Argument der Kommissionsmehrheit gewesen war. Auf Empfehlung des Bundesrates und entgegen der geschlossenen SVP-Fraktion erteilte die grosse Kammer der zweijährigen Inkrafttretensfrist eine Absage.

In der Gesamtabstimmung nahm der Nationalrat das totalrevidierte Datenschutzgesetz mit 98 zu 68 Stimmen bei 27 Enthaltungen an. In den ablehnenden Stimmen spiegelte sich vor allem die Opposition der SVP gegen das Gesetz. Demgegenüber hatte sich die SP-Fraktion mehrheitlich enthalten und damit signalisiert, dass sie noch weitere Nachbesserungen erwartete. Wirklich zufrieden mit dem Gesetz in vorliegender Form war wohl niemand; in dieser Hinsicht sprach das Fazit von Kommissionssprecher Matthias Jauslin (fdp, AG) Bände: «Wir haben jetzt eine Vorlage, die aus Sicht der Kommission durchaus bearbeitbar ist.»

Im März 2019 fand die 7. Cyber-Landsgemeinde des Sicherheitsverbundes Schweiz statt. Im Zentrum der Veranstaltung und des Interesses stand die im April des Vorjahres vom Bundesrat verabschiedete zweite Nationale Strategie zum Schutz vor Cyberrisiken (NCS). Auf dem Programm der Konferenz stand eine Reihe von Themen aus der Umsetzungsagenda, beispielsweise die Risikoanalyse zur Verbesserung der IKT-Resilienz oder die Ausgestaltung einer übergreifenden Austauschplattform zu aktuellen Bedrohungen aus dem Cyber-Raum. Die institutionalisierte Einbindung der Kantone in die Organisationsstruktur für Cyber-Sicherheit auf Stufe Bund stellte gar eines der Kernthemen dar, mit denen sich der SVS über die vergangenen Jahre beschäftigt hatte.

Im Mai stand ferner die vierte Konferenz des Sicherheitsverbundes Schweiz an. Der Fokus des Zusammentreffens verschiedener Akteure lag auf der Zusammenarbeit zwischen staatlichen Sicherheitsorganen und privaten Unternehmen. Mit Verweis auf die bisherigen Erfahrungen wurde festgehalten, dass auch staatliche Sicherheitsakteure auf private Dienstleister zurückgreifen. Diese hätten die Kapazitäten, um die staatlichen Organe zu ergänzen, wurde betont. In Anwesenheit von Bundesrätin Karin Keller-Sutter konnten die Kantone Erfahrungen austauschen, aber auch ihre Vorstellungen äussern. So pochte Regierungsrat Norman Gobbi (TI, lega) auf eine flexible Gesetzgebung, die dem Subsidiaritätsprinzip gerecht werde und den Kantonen in den betreffenden Feldern ihre Kompetenzen überlässt.