In der Wintersession 2020 verabschiedeten die eidgenössischen Räte das Bundesgesetz über die Bearbeitung von Personendaten durch das EDA. Der Ständerat hatte es in der ersten Sessionswoche seiner Schwesterkammer gleichgetan und den unveränderten Entwurf einstimmig angenommen. Damit erhalte das EDA eine formell-gesetzliche Grundlage, um zur Erledigung seiner Aufgaben auch besonders schützenswerte Personendaten bearbeiten zu können, wie sie das Datenschutzgesetz – sowohl in der alten als auch in der neuen, totalrevidierten Fassung – eigentlich schon längst verlangte, so SPK-Sprecher Daniel Fässler (cvp, AI). Die Schlussabstimmungen passierte die Vorlage im Ständerat ebenfalls einstimmig und im Nationalrat mit einer Gegenstimme (Marcel Dettling; svp, SZ).

Der Vorentwurf zur Änderung des DNA-Profil-Gesetzes erzeugte in der Vernehmlassung ein überwiegend positives Echo. 43 von insgesamt 51 Stellungnehmenden äusserten ihre grundsätzliche Zustimmung zur Vorlage. Die acht ablehnenden Stellungnahmen stammten vom Kanton Genf, der Grünen Partei, den juristischen Organisationen Association des juristes progressistes, Demokratische Juristinnen und Juristen der Schweiz und dem Anwaltsverband, den Vereinen biorespect und grundrechte.ch sowie der Universität Freiburg. Sie äusserten vor allem grund- und datenschutzrechtliche Bedenken zur neuen Ermittlungsmethode der Phänotypisierung und verwiesen im Zusammenhang mit der Auswertung der biogeografischen Herkunft auf das Risiko von Racial Profiling, d.h. die Gefahr, dass Personen mit bestimmten äusserlichen Merkmalen pauschal verdächtigt würden. Demgegenüber beurteilten 17 Kantone, die stellungnehmenden Organisationen aus Strafverfolgung, Polizei und Rechtsmedizin sowie die GUMEK die vorgeschlagene Regelung als zu wenig flexibel. Mit der abschliessend formulierten Liste von Merkmalen, die bei einer Phänotypisierung ausgewertet werden dürfen (Augen-, Haar- und Hautfarbe, biogeografische Herkunft und Alter) könne dem zu erwartenden Fortschritt in der Forschung nicht Rechnung getragen werden, bedauerten sie. Diese Kritik veranlasste den Bundesrat zur einzigen grösseren Änderung gegenüber dem Vorentwurf. In der Anfang Dezember 2020 präsentierten Botschaft sah er an dieser Stelle zusätzlich zu den fünf genannten Merkmalen eine Delegationsnorm vor, die es ihm erlauben soll, dem wissenschaftlich-technischen Fortschritt entsprechend weitere äusserlich sichtbare Merkmale für die Phänotypisierung zuzulassen. Den Bedenken bezüglich Racial Profiling begegnete die Regierung in der Botschaft mit dem Argument, die Analyse im Rahmen einer Phänotypisierung erfolge ergebnisoffen; eine «Vorselektion der Ermittlungsbehörden zuungunsten einer bestimmten Population» sei daher ausgeschlossen. Fedpol-Direktorin Nicoletta della Valle ergänzte in der NZZ, die Phänotypisierung könne einer Diskriminierung sogar entgegenwirken, weil Zeuginnen und Zeugen eine Person oft als «zu gross und zu dunkel» beschrieben. Die übrigen Anpassungen betreffend die Löschregelung für DNA-Profile und die Verwandtenrecherche übernahm der Bundesrat aufgrund der positiven Rückmeldungen aus der Vernehmlassung weitestgehend unverändert in den Entwurf.

Die Nachbefragung zur eidgenössischen Abstimmung über einen Vaterschaftsurlaub ergab, dass der Stimmentscheid stark von parteipolitischen Präferenzen geprägt war. So befürworteten beinahe neun von zehn Sympathisantinnen und Sympathisanten linker Parteien die Vorlage (SP: 85%; Grüne: 88%). In zwei gleich grosse Lager gespalten zeigte sich die Anhängerschaft der FDP (49% Ja), bei der CVP legten etwas mehr als die Hälfte der Sympathisierenden ein Ja ein (57%). Die Anhängerschaft der SVP verwarf den Vaterschaftsurlaub hingegen deutlich mit einem Nein-Anteil von 78 Prozent (22% Ja). Die von der Vorlage potentiell besonders betroffene Gruppe – Männer zwischen 18 und 39 Jahren – befürwortete einen Vaterschaftsurlaub mit einer Dreiviertelmehrheit (77%). Grundsätzlich stiess die Vorlage aber bei Frauen in den meisten Altersgruppen auf grösseres Gehör als bei den Männern. Als Motive stand für die Ja-Stimmenden häufig die Intensivierung der Beziehung zwischen Vater und Kind im Vordergrund (31% Erstnennungen). Jede fünfte befürwortende Person erachtete einen Vaterschaftsurlaub in erster Linie als selbstverständlich oder überfällig und ebenso häufig war das erstgenannte Argument für die Befürwortenden die Gleichberechtigung zwischen Mann und Frau. Für vier von zehn Nein-Stimmenden stand das Kosten-Argument für ihren Stimmentscheid im Vordergrund (40% Erstnennungen). Jede vierte Person der Gegnerschaft stellte primär den Nutzen des zweiwöchigen Vaterschaftsurlaubs in Frage und 15 Prozent der Nein-Stimmenden gaben als Erstes an, dass sich der Staat nicht in Familienangelegenheiten einmischen soll.

Einen Tag nach Ablauf der Referendumsfrist am 8. Oktober 2020 erklärte Bundesrat Alain Berset Medienberichten zufolge das Referendum gegen die SwissCovid-App für gescheitert. Auf der Kurznachrichten-Plattform Twitter habe sich der Gesundheitsminister erfreut gezeigt und die Wichtigkeit der App für die Unterbrechung der Infektionsketten unterstrichen. Gegenüber der Aargauer Zeitung bestätigte François de Siebenthal als Sprecher des Referendumskomitees, dass die benötigten Unterschriften nicht beisammen seien. Wie der «Corriere del Ticino» ergänzte, sei die App bis zu diesem Zeitpunkt 2.5 Millionen Mal heruntergeladen worden.

Die Nachabstimmungsanalyse «Voto» zur steuerlichen Berücksichtigung der Kinderdrittbetreuungskosten warf einige Wochen nach dem Urnengang etwas Licht auf die Ursachen für diesen eher unerwarteten Abstimmungsentscheid der Stimmbürgerinnen und Stimmbürger. Demnach hatten sich die Anhängerschaften aller sechs grossen Parteien insgesamt gegen die Vorlage ausgesprochen: Am grössten war die Zustimmung noch bei den Sympathisantinnen und Sympathisanten der FDP (48% Ja-Stimmen) und der CVP (44%), am niedrigsten bei denjenigen der SP (27%) und der Grünen (29%). Als Hauptgrund für ihre Ablehnung nannten die Befragten, dass diese Vorlage nur den Vermögenden nütze – dieses Stimmmotiv erwähnten gemäss Umfrage 63 Prozent der Nein-Stimmenden. Folglich stiess auch das abgefragte Kontra-Argument, wonach «die höheren Kinderabzüge [...] ein Steuergeschenk für die reichsten Familien» darstellten, bei 65 Prozent aller Befragten – also auch bei den Ja-Stimmenden – auf Zustimmung.
Die Befürwortenden hatten der Vorlage hingegen insbesondere zugestimmt, weil sie Familien generell unterstützen wollten (25% der Ja-Stimmenden) oder weil sie persönlich oder ihre Verwandten von der Vorlage profitiert hätten (23%). Auf die Relevanz des persönlichen Nutzens der Vorlage verweisen die Autoren der Studie auch bei der Analyse des Stimmentscheids nach Anzahl Kinder und Äquivalenzeinkommen: So hatten Befragte der höchsten von vier Einkommenskategorien mit minderjährigen Kindern im eigenen Haushalt – also gut verdienende Eltern, die Zielgruppe der Vorlage – der Erhöhung der Steuerabzüge zu 70 Prozent zugestimmt. Bei Personen derselben Einkommenskategorie ohne Kinder lag die Zustimmung bei 36 Prozent, bei Eltern tieferer Einkommenskategorien zwischen 34 und 44 Prozent.
Unterschiede gab es darüber hinaus auch zwischen den Sprachregionen: Die Befragten der Romandie und im Tessin hatten der Vorlage gemäss Abstimmungsresultaten in den Gemeinden nur knapp nicht (Romandie: 48.2% Ja-Stimmen) oder sogar mehrheitlich (italienischsprachige Schweiz: 52.1%) zugestimmt.

In der Herbstsession 2020 ging die Totalrevision des Datenschutzgesetzes in die dritte Runde der Differenzbereinigung. Zunächst hatte sich der Nationalrat mit den drei aus der letzten Runde verbleibenden Differenzen sowie einem Minderheitsantrag aus seiner SPK zu befassen. Die erste Differenz, welche die Definition der besonders schützenswerten Personendaten betraf, legte die grosse Kammer auf einstimmigen Antrag ihrer Kommission stillschweigend bei, indem sie sich der Definition des Ständerates anschloss. Demnach sind alle genetischen Daten, und nicht nur jene, die eine natürliche Person eindeutig identifizieren, besonders schützenswert.
Die zweite Differenz – und wie sich schon länger abgezeichnet hatte, der Hauptstreitpunkt des Geschäfts – war die Definition des Profilings. Cédric Wermuth (sp, AG) zeigte sich als Vertreter der Kommissionsminderheit enttäuscht über die Abkehr der Mehrheit vom gefunden geglaubten Kompromiss und bedauerte, dass seine links-grüne Ratsseite mit der Bereitschaft zur gemeinsamen Lösungssuche wohl «einen taktischen Fehler gemacht» habe. Die Kommissionsminderheit setzte sich für die ständerätliche Lösung ein, die einen risikobasierten Ansatz beim Profiling verfolgte und erhöhte Anforderungen für ein Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person vorsehen wollte. Ein solch hohes Risiko wäre dann gegeben, wenn eine Verknüpfung von Daten eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer Person erlauben würde. Die Mehrheit der SPK-NR war indessen auf den ersten Beschluss des Nationalrats – und damit auf den Stand vor Beginn der Kompromissfindung zwischen den Parlamentskammern – zurückgeschwenkt, obwohl der Nationalrat in seiner zweiten Beratung der Gesetzesvorlage den risikobasierten Ansatz noch unterstützt hatte. Die Kommissionsmehrheit wollte nun doch keine verschiedenen Risikostufen für das Profiling festlegen, weil die EU-DSGVO keine solche Unterscheidung vornehme und das sogenannte «Swiss Finish» die Schweizer Wirtschaft unnötig einschränke. Die Minderheit Wermuth und der Bundesrat waren jedoch der Ansicht, dass die Fassung der Kommissionsmehrheit das Schutzniveau gegenüber der heutigen Regelung für Persönlichkeitsprofile senke, weil sie gar keine besonderen Anforderungen für das Profiling mehr stelle. Das Konzept der Mehrheit definiere zwar den Begriff Profiling, sehe dann aber gar keine Rechtsfolgen, beispielsweise das Verlangen einer Einwilligung der betroffenen Person, vor; «genau die gleiche Wirkung» erzielte man, wenn man im Gesetz definierte, «was ein blauer Pavian sei», echauffierte sich Wermuth über den «absurden» Mehrheitsvorschlag. Die links-grüne Ratsseite betonte zudem noch einmal, dass sie einem Gesetz, welches das geltende Schutzniveau unterschreite, auf keinen Fall zustimmen werde; der risikobasierte Ansatz beim Profiling sei für seine Fraktion «eine Conditio sine qua non», so Wermuth. Dennoch folgte der Nationalrat mit 98 zu 88 Stimmen bei 5 Enthaltungen seiner Kommissionsmehrheit. Die Fraktionen der SP, der Grünen und der GLP hatten sich trotz vereinzelter Unterstützung aus der Mitte und der FDP nicht durchsetzen können.
Als Drittes scheiterte ein Minderheitsantrag Glättli (gp, ZH), der ein explizites Widerspruchsrecht zum Profiling im Gesetz verankern wollte, mit 105 zu 84 Stimmen bei 2 Enthaltungen. Nach Ansicht der Mehrheit, die auch der Bundesrat unterstützte, war eine solche ausdrückliche Nennung nicht nötig, weil sich ein allgemeines Widerspruchsrecht gegen die Bearbeitung der eigenen Personendaten bereits aus anderen Bestimmungen des Datenschutzgesetzes ergebe.
Die letzte Differenz betraf die Frage, wie alt die bearbeiteten Daten sein dürfen, damit eine Kreditwürdigkeitsprüfung keine widerrechtliche Persönlichkeitsverletzung darstellt. Während die Kommissionsmehrheit hier am letzten nationalrätlichen Beschluss von zehn Jahren festhalten wollte, beantragte eine Minderheit Gredig (glp, ZH), dem Ständerat zu folgen und fünf Jahre zu beschliessen. Die Minderheitsvertreterin argumentierte, dass «ein Blick fünf Jahre in die Vergangenheit eines Menschen» ausreichen sollte, um dessen Kreditwürdigkeit zu prüfen. Auch hier setzte sich aber die bürgerliche Ratsseite durch und stimmte mit 104 zu 87 Stimmen bei einer Enthaltung dem Antrag der Kommissionsmehrheit zu.

Es verblieben für die letzte Beratung im Ständerat damit die zwei Differenzen bezüglich des Profilings und der zulässigen Daten für die Kreditwürdigkeitsprüfung. Letztere räumte die kleine Kammer aus, indem sie sich stillschweigend dem Nationalrat anschloss, wie es ihre SPK einstimmig beantragt hatte. Damit dürfen für eine Kreditwürdigkeitsprüfung bis zu zehn Jahre alte Daten beigezogen werden. Der Bundesrat, der fünf Jahre vorgeschlagen hatte, könne «gut damit leben», kommentierte EJPD-Vorsteherin Karin Keller-Sutter diesen Beschluss. Beim Profiling hielt der Ständerat hingegen ebenso stillschweigend an seinem Entscheid für die risikobasierte Variante fest, womit er eine Einigungskonferenz nötig machte, bei der sich die Ständekammer gute Erfolgschancen ausrechnete. Kommissionssprecher Daniel Fässler (cvp, AI) erklärte, weshalb die nationalrätliche Variante nicht DSGVO-konform und damit kein gangbarer Weg sei: Die DSGVO verbiete grundsätzlich jede Verarbeitung personenbezogener Daten, ausser es liege die Zustimmung der betroffenen Person oder ein anderer Rechtfertigungsgrund vor. Das Schweizer Datenschutzgesetz sei umgekehrt konzipiert, indem es die Verarbeitung von Personendaten grundsätzlich zulasse, sofern keine Ausnahme vorliege. Die Verankerung von qualifizierten Rechtsfolgen bei Profiling mit hohem Risiko sei daher notwendig, um das vorgegebene Schutzniveau zu halten.

Wie erwartet entschied sich die Einigungskonferenz im letzten Streitpunkt um das Profiling für die ständerätliche Version, dergemäss für ein Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person erhöhte datenschutzrechtliche Anforderungen gelten. Der Nationalrat stimmte dem Antrag der Einigungskonferenz mit 134 zu 42 Stimmen bei einer Enthaltung zu, wobei sich nur die SVP-Fraktion grossmehrheitlich dagegen stellte. Kommissionssprecher Matthias Jauslin (fdp, AG) hatte das Ratsplenum um Zustimmung gebeten, weil die Schweiz – sowohl für ihre Bürgerinnen und Bürger als auch für die Wirtschaft – dringend ein modernes und von der EU in seiner Gleichwertigkeit anerkanntes Datenschutzgesetz brauche. Der Ständerat nahm den Antrag der Einigungskonferenz einstimmig an. In den Schlussabstimmungen zeigte sich dasselbe Stimmmuster: Der Nationalrat stimmte mit 141 zu 54 Stimmen (alle SVP) bei einer Enthaltung für das totalrevidierte Datenschutzgesetz, während es der Ständerat einstimmig annahm. Damit kamen die parlamentarischen Beratungen des Datenschutzgesetzes nach über drei Jahren mit zum Teil emotional ausgetragenen Meinungsverschiedenheiten doch noch zu einem mehrheitlich versöhnlichen Abschluss.

Nach geltendem Recht muss die Person, die eine Ordnungsbusse verhängt, auf der Quittung oder dem Bedenkfristformular ihren Vor- und Nachnamen angeben. Um die Polizistinnen und Polizisten, die Ordnungsbussen verhängen, besser zu schützen, sollen sie neu nur noch ihre Matrikelnummer angeben müssen. Der Nationalrat folgte in der Herbstsession 2020 diskussionslos dem Antrag des Bundesrates und nahm eine entsprechende Motion Addor (svp, VS) stillschweigend an.

Einstimmig und unverändert nahm der Nationalrat in der Herbstsession das totalrevidierte Bundesgesetz über die Bearbeitung von Personendaten durch das EDA an. Das Gesetz enthalte keine neuen Datenbearbeitungen oder neue Kompetenzen für das EDA, hielt Kommissionssprecher Gerhard Pfister (cvp, ZG) im Ratsplenum fest. Der Entwurf bilde aber im Hinblick auf die neuen technologischen Möglichkeiten und Herausforderungen im Bereich der Datenbearbeitung einen klareren Rechtsrahmen als bisher und nehme einige Tätigkeiten des EDA, die bis anhin in einer Verordnung geregelt waren, ins formelle Gesetz auf. Bundesrat Ignazio Cassis betonte, in einer Demokratie sei es wichtig, dass sich das Regierungshandeln auf klare und transparente Rechtsgrundlagen abstütze. Das neue Gesetz, das mit der laufenden Totalrevision des Datenschutzgesetzes vereinbar sei, verbessere die Vorhersehbarkeit der Datenverarbeitung für aussenpolitische Zwecke und verleihe ihr die demokratische Legitimität und parlamentarische Kontrolle, die sie verdiene.

Anlässlich der Freischaltung der SwissCovid-App um Mitternacht des 25. Juni 2020 brachten die Medien der Bevölkerung die genaue Funktionsweise sowie die Vor- und Nachteile der SwissCovid-App näher. Am ersten Tag wurde die App gemäss Presseberichten bereits eine halbe Million Mal aktiviert. Eine gute Woche später war diese Zahl auf rund eine Million gestiegen. Damit sei das Interesse an der App aber deutlich geringer als erwartet beziehungsweise sei die anfängliche Euphorie allzu schnell verflogen, so das allgemeine Urteil. Verschiedene Experten stellten übereinstimmend fest, dass das Vertrauen in die App und die Bereitschaft zur Installation wohl doch geringer seien als gedacht. Es sei nun an den Behörden, besser zu kommunizieren, um diesen Widerstand in der Bevölkerung doch noch zu überwinden.
Drei Wochen nach dem Start fiel die Bilanz der SwissCovid-App eher nüchtern aus und die NZZ fragte rhetorisch: «Geht der SwissCovid-App die Luft aus?» Sie verwies auf die bereits wieder rückläufige Anzahl aktiver Apps, die ihrerseits jedoch nach wie vor steigenden und inzwischen rund 1.8 Mio. zählenden Downloads gegenüberstanden. Das BAG führte diese Diskrepanz auf Probleme bei der Messung der aktiven Apps zurück und versprach künftig genauere Zahlen. Ausserdem kündigte das Bundesamt eine weitere, gross angelegte Werbekampagne für die App an.
Der Nutzen der App wurde in der öffentlichen Debatte folglich aber nicht nur durch die geringen Nutzerzahlen, sondern auch durch die mangelhafte Arbeit der involvierten Behördenstellen relativiert. Wie die NZZ berichtete, erhielten positiv getestete Personen den Covidcode zum Teil erst mit erheblicher zeitlicher Verzögerung, sodass die Kontaktpersonen viel zu spät gewarnt würden. Ausserdem funktioniere die Zusammenarbeit zwischen der Hotline des Bundes, an die sich App-Nutzer im Falle einer Benachrichtigung über eine mögliche Ansteckung wenden sollten, und den Contact-Tracing-Stellen der Kantone beziehungsweise den kantonsärztlichen Diensten alles andere als reibungslos. Dadurch erhielten die von der App gewarnten Personen keine offizielle Quarantäneanordnung und damit keinen Erwerbsersatzanspruch, wie es der Bundesrat im Erläuterungsbericht zur Proximity-Tracing-System-Verordnung vorgesehen hatte. Gerade deshalb blieben viele der potenziell Infizierten nicht zu Hause und gefährdeten so Andere, kritisierte der Geschäftsführer der BAG-Hotline-Betreiberin Andy Fischer.
Unterdessen lancierte ein Bürgerkomitee in der Westschweiz ein Referendum gegen die vom Parlament beschlossene dringliche Änderung des Epidemiengesetzes, die als gesetzliche Grundlage für die SwissCovid-App dient. Das Komitee bemängelte, dass keine richtige demokratische Debatte über die Risiken der Tracing-Technologie geführt worden sei, und befürchtete deren Missbrauch zur staatlichen Kontrolle sowie sozialen Druck zu deren Nutzung. Die Konzerne Apple und Google, die die entscheidende Bluetooth-Schnittstelle zur Verfügung stellten, seien nicht gerade für ihren Datenschutz berühmt und die Bluetooth-Technologie sei zu ungenau, sodass viele unnötige Quarantänen verfügt würden, was der Wirtschaft schade, zitierte die Presse aus der Argumentation. Aus dem Kreis der eidgenössischen Parlamentarierinnen und Parlamentarier gehörte dem Komitee der Walliser SVP-Nationalrat Jean-Luc Addor an. Bis am 8. Oktober hat das Komitee Zeit, die notwendigen 50'000 Unterschriften zu sammeln. Das dringliche Gesetz würde bei einem zustande gekommenen Referendum jedoch erst nach der Ablehnung in der Volksabstimmung oder ein Jahr nach Inkrafttreten, falls die Abstimmung nicht vorher stattfindet, ausser Kraft gesetzt.

Der Streit um die datenschutzrechtlichen Anforderungen für das Profiling wird sich auch über die dritte Runde der Differenzbereinigung beim totalrevidierten Datenschutzgesetz hinziehen, wie sich nach der Sitzung der SPK-NR im Juli 2020 abzeichnete. Mit 13 zu 12 Stimmen beschloss die Kommission, ihrem Rat die Rückkehr zur ursprünglichen Lösung des Nationalrates zu beantragen und kehrte sich damit wieder von der jüngsten Einigung der beiden Kammern auf einen risikobasierten Ansatz ab. Nach dem Willen der knappen Kommissionsmehrheit soll demnach auf jegliche besondere Voraussetzungen – etwa auf die ausdrückliche Einwilligung der betroffenen Person – für Profiling verzichtet werden, und zwar ungeachtet des Risikos, das dieses für die Persönlichkeit oder die Grundrechte der betroffenen Person darstellt. Die risikobasierte Unterscheidung verschiedener Arten von Profiling sei ein «Swiss Finish» und gefährde die Schweizer Wirtschaft, so die Argumentation. Die starke Minderheit zeigte sich hingegen mit dem Kompromissvorschlag des Ständerats zufrieden, da er das heutige Datenschutzniveau garantiere und Rechtssicherheit schaffe. Auch die Differenz in der Frage, welche Daten für die Kreditwürdigkeitsprüfung verwendet werden dürfen, wollte die Kommissionsmehrheit mit 15 zu 10 Stimmen aufrechterhalten, indem sie an der zehnjährigen Frist festhielt, während die Minderheit hier ebenso beantragte, sich dem Ständerat, der fünf Jahre beschlossen hatte, anzuschliessen.

Mit der Verabschiedung der Verordnung über das Proximity-Tracing-System gab der Bundesrat am 24. Juni 2020 den offiziellen Startschuss für die Inbetriebnahme der SwissCovid-App. Der öffentliche Sicherheitstest habe bislang keine kritischen oder systemrelevanten Probleme offengelegt, das NCSC nehme aber weiterhin Meldungen entgegen, um den Datenschutz und die Sicherheit der App fortwährend zu gewährleisten, erklärte die Regierung in der entsprechenden Medienmitteilung. Sie gab darin auch eine allgemeine Empfehlung zur Nutzung der App ab und betonte abermals, dass sowohl die Nutzung der App an sich als auch die Eingabe des sogenannten Covidcodes nach Erhalt eines positiven Testergebnisses freiwillig seien. Gleichzeitig stellte der Bundesrat klar, dass Personen, welche sich aufgrund einer Kontaktmeldung durch die SwissCovid-App freiwillig, d.h. ohne Anordnung einer Behörde oder eines Arztes bzw. einer Ärztin, in Quarantäne begäben, keinen Anspruch auf Erwerbsersatz hätten. Im erläuternden Bericht zur Verordnung begründete er diesen Entscheid damit, dass einer von der App gewarnten Person empfohlen werde, den zuständigen kantonalen Dienst zu kontaktieren, der dann auf Basis eines Gesprächs über die Anordnung einer Quarantäne entscheide. Die blosse App-Benachrichtigung solle dagegen zu keinem Anspruch auf Entschädigung führen.

Ebenfalls noch im Mai 2020 verabschiedete der Bundesrat die Botschaft zur dringlichen Änderung des Epidemiengesetzes betreffend das Proximity-Tracing-System, mit der die Rechtsgrundlage für die Corona-Warn-App geschaffen werden soll. Eine solche hatten die eidgenössichen Räte mit der Annahme zweier Motionen der Staatspolitischen Kommissionen (Mo. 20.3144 und 20.3168) ausdrücklich verlangt. Zweck der SwissCovid-App ist es, das herkömmliche Contact-Tracing der Kantone zu ergänzen. Die Nutzung der App soll ausdrücklich freiwillig sein und aus der Teilnahme oder Nicht-Teilnahme dürften keine Vor- oder Nachteile erwachsen, versicherte der Bundesrat in der entsprechenden Medienmitteilung. Der Datenschutz werde gewahrt, indem die Daten dezentral gespeichert würden und das System keine Standortdaten erfasse. Zudem seien die technischen Details und der Quellcode der App öffentlich zugänglich. Überdies verpflichtete sich der Bundesrat dazu, die App ausser Betrieb zu nehmen, sobald sie für die Bekämpfung des Coronavirus nicht mehr erforderlich ist.
Die SGK-SR, die sich als erste mit der Vorlage auseinandersetzte, nahm die Botschaft positiv auf und zeigte sich erfreut, dass der Bundesrat die Forderungen des Parlaments bezüglich Freiwilligkeit, dezentraler Datenspeicherung, Open Source und Diskriminierungsverbot aufgenommen habe. Sie beantragte ihrem Rat zwei Änderungen am Entwurf: Erstens müsse sichergestellt sein, dass die App nachweislich aus dem veröffentlichen Quellcode erstellt worden sei. Zweitens wollte sie die Ausserbetriebnahme der App nicht nur bei nicht mehr gegebener Notwendigkeit, sondern auch bei erwiesener ungenügender Wirksamkeit vorsehen. Die SGK-NR hiess den Entwurf mit den Änderungen ihrer Schwesterkommission ebenfalls gut und beantragte zusätzlich, dass der Corona-Test für Personen, die von der App über eine mögliche Ansteckung benachrichtigt worden sind, kostenlos sein müsse. Die beiden Kommissionen ersuchten den Bundesrat ausserdem in einem Schreiben, eine Erwerbsausfallentschädigung für Personen zu prüfen, die sich aufgrund einer Benachrichtigung der App freiwillig in Quarantäne begeben. Damit soll ein Anreiz für die breite Nutzung der App geschaffen werden.
Ständerat Damian Müller (fdp, LU) übernahm den Antrag der SGK-NR auf kostenlose Tests und brachte ihn in der Sommersession in der Kantonskammer als Einzelantrag ein, wo er auch mit grosser Mehrheit angenommen wurde. Der Ständerat hoffte, durch diese Vorwegnahme der einzigen inhaltlichen Differenz zwischen den Kommissionen die Beratung des dringlichen Geschäfts zu beschleunigen. In den anderen Punkten stimmte die kleine Kammer stillschweigend den Anträgen ihrer Kommission zu und nahm die Vorlage in der Gesamtabstimmung mit 43 zu 1 Stimmen bei einer Enthaltung an. Anschliessend schrieb sie die Motionen 20.3144 und 20.3168, mit denen die Staatspolitischen Kommissionen beider Räte das nun vorliegende Gesetz verlangt hatten, stillschweigend ab.
Nationalrat Thomas de Courten (svp, BL) äusserte in der grossen Kammer indes Zweifel, ob man «diese Gesetzesgrundlage für ein Informationssystem, staatlich betrieben zur Überwachung der Bürgerinnen und Bürger, einfach so durchwinken» solle, und beantragte Nichteintreten, fand dafür jedoch ausserhalb seiner Fraktion keine Unterstützung. Die Volkskammer trat mit 164 zu 26 Stimmen bei 6 Enthaltungen auf das Geschäft ein und lehnte daraufhin alle von der Kommissionsmehrheit abweichenden Anträge ab. Es handelte sich dabei um diverse Einzelanträge sowohl für eine Verschärfung – wodurch gemäss Mehrheitsmeinung jedoch die Funktionalität der App beeinträchtigt würde – als auch für eine Lockerung des Datenschutzes – zur Vereinfachung der Interoperabilität mit anderen Anwendungen und der wissenschaftlichen Nutzung der Daten – sowie um einen Minderheitsantrag Wasserfallen (sp, BE) zur Garantie von Erwerbsersatz während der freiwilligen Quarantäne, den die Ratsmehrheit aber als nicht ausgereift ansah; der Bundesrat sei aufgefordert, hier eine Regelung zu treffen. In der Gesamtabstimmung stimmte der Nationalrat der somit bereinigten Vorlage mit 156 zu 22 Stimmen bei 13 Enthaltungen zu, wobei sich die Fraktionen der SVP und der Grünen grossteils skeptisch zeigten, und schrieb die beiden Kommissionsmotionen für eine gesetzliche Grundlage für die Corona-Warn-App stillschweigend ab.
Ebenfalls noch in derselben Session nahmen beide Räte die Dringlichkeitsklausel an und verabschiedeten die dringliche Gesetzesänderung sodann mit 154 zu 23 Stimmen bei 18 Enthaltungen im Nationalrat und mit 42 zu 1 Stimmen bei 2 Enthaltungen im Ständerat.

In den Medien wurde die parlamentarische durch eine lebhafte gesellschaftliche Debatte über Sinn und Unsinn beziehungsweise Chancen und Gefahren von Corona-Warn-Apps im Allgemeinen sowie der SwissCovid-App im Speziellen begleitet. Ein Teil der Bevölkerung konnte die offizielle Lancierung der SwissCovid-App, die nach der Genehmigung der Gesetzesgrundlage durch das Parlament erfolgen sollte, kaum erwarten. Wie «Le Temps» Anfang Juni berichtete, verzeichnete die App zu diesem Zeitpunkt schon rund 50'000 Downloads, obwohl sie sich noch in der Testphase befand und für die Öffentlichkeit noch gar nicht freigegeben war. Auch zeigten sich nicht alle Parlamentarierinnen und Parlamentarier über ihr Mitspracherecht bei der Rechtsgrundlage für die App erfreut, vielmehr gehe durch die parlamentarische Beratung wertvolle Zeit verloren, liess sich etwa GLP-Nationalrat Martin Bäumle (glp, ZH) im «Blick» zitieren. Einwände gegen die App betrafen vor allem den Datenschutz und im Spezifischen die Rolle der US-amerikanischen Tech-Konzerne Amazon, Apple und Google bei deren Entwicklung und Betrieb. Während Amazon das sogenannte Content Delivery Network zur Verteilung der anonymen Codes an alle teilnehmenden Smartphones bereitstellt, hatten Apple und Google eigens eine spezielle Bluetooth-Schnittstelle entwickelt, die von der App für das Proximity-Tracing genutzt wird. Dabei schwang aber auch ein wenig Stolz mit, dass das Entwicklerteam der EPFL es geschafft hatte, die Tech-Riesen Apple und Google von ihrer Anwendung zu überzeugen und so den Stein für die gemeinsame Bluetooth-Schnittstelle ins Rollen zu bringen. Gleichzeitig erhielt die Schweizer App – nicht zuletzt im internationalen Vergleich – Lob für ihre vorbildliche, datensparsame und sichere Struktur. Die Datensicherheit wurde, wie die NZZ berichtete, auch von zwei Cybersicherheitsstellen des Bundes, dem Computer Security Incident Response Team am BIT sowie dem Swiss Government Computer Emergency Response Team, bestätigt. Dieselbe Zeitung resümierte jedoch, dass die «höchste Hürde» der SwissCovid-App noch bevorstehe, indem sie in der Bevölkerung tatsächlich Fuss fassen müsse.

In der Sommersession 2020 setzte der Ständerat die Differenzbereinigung bei der Totalrevision des Datenschutzgesetzes fort. In zwei Punkten, die das Auskunftsrecht der von einer Datenbearbeitung betroffenen Person und die Informationspflicht der datenbearbeitenden Stelle betrafen, fügte sich die kleine Kammer stillschweigend und diskussionslos den Beschlüssen des Nationalrates. So muss die betroffene Person nicht zwingend über die Liste ihrer Rechte und die allfällige Absicht, eine Kreditwürdigkeitsprüfung vorzunehmen, informiert werden. Eine angeforderte Auskunft muss zudem «die bearbeiteten Personendaten als solche» beinhalten, wobei die SPK-SR zum Schluss gekommen war, dass die vom Nationalrat eingefügte Ergänzung «als solche» nichts nütze, aber auch nichts schade, wie deren Berichterstatter Daniel Fässler (cvp, AI) vor dem Plenum erläuterte. Stillschweigend hielt der Ständerat hingegen an seinem Entscheid fest, dass alle genetischen Daten als besonders schützenswerte Personendaten gelten sollen, da die einschränkende Definition des Nationalrates gemäss dem Kommissionssprecher wohl nicht EU-konform wäre.
Für eine kurze Debatte sorgte die Frage, welche Daten für eine an sich persönlichkeitsverletzende Kreditwürdigkeitsprüfung verwendet werden dürfen. Eine Minderheit Müller (fdp, LU) schlug vor, den Einbezug von bis zu zehn Jahre alten Daten zu erlauben – dies hatte der Nationalrat so entschieden –, wobei aber Daten aus öffentlich zugänglichen staatlichen Registern von dieser Beschränkung ausdrücklich auszunehmen seien. Mit einer kurzen und starren Frist würden die Interessen der Gläubiger zu wenig berücksichtigt, begründete Damian Müller den Antrag. Der Rat folgte mit 25 zu 17 Stimmen jedoch seiner Kommissionsmehrheit und hielt an seinem letzten Beschluss fest, wonach die verwendeten Daten nicht älter als fünf Jahre sein dürfen, wie es auch der Bundesrat ursprünglich vorgesehen hatte. Kommissionssprecher Fässler argumentierte, dass ältere Daten mitunter ungenau seien und daher nicht als Rechtfertigungsgrund für eine Persönlichkeitsverletzung zugelassen werden sollten.
Gerungen wurde in der Ständekammer indes immer noch um die Definition von «Profiling mit hohem Risiko», nachdem der Nationalrat dem risikobasierten Ansatz zur Regulierung des Profilings zugestimmt, sich aber mit der Abgrenzung der Risikostufen nicht zufrieden gezeigt hatte. Die Kommission schlug ihrem Rat einstimmig eine neue Formulierung vor, die sich am heute geltenden Konzept des Persönlichkeitsprofils orientierte und die die Idee der grossen Kammer aufnahm, das Risiko am Ergebnis der Datenbearbeitung anstatt am Prozess festzumachen. Mit einem Einzelantrag wollte Ständerat Ruedi Noser (fdp, ZH) der Formulierung des Nationalrats den Vorzug geben, weil der Vorschlag der ständerätlichen SPK das Profiling faktisch verbiete und den unklaren und veralteten Begriff «wesentliche Aspekte der Persönlichkeit» verwende. Kommissionssprecher Fässler und Bundesrätin Karin Keller-Sutter widersprachen dieser Darstellung jedoch: Profiling mit hohem Risiko werde nicht verboten, sondern lediglich höheren Anforderungen unterworfen, der kritisierte Begriff sei im geltenden Recht bereits etabliert und der Vorschlag Noser käme einer Nicht-Regulierung des Profilings gleich, wie sie wohl kaum mit dem EU-Datenschutzniveau vereinbar wäre. Zudem hätten der von Noser gewünschten Lösung im Nationalrat nur 65 Mitglieder zugestimmt, während 57 sie abgelehnt und sich 65 der Stimme enthalten hatten, weshalb darin kaum der endgültige Wille der grossen Kammer zum Ausdruck gekommen sei. Der Ständerat folgte mit 39 zu 5 Stimmen (1 Enthaltung) klar seiner Kommission und schrieb die neue Formulierung ins Gesetz, wonach Profiling dann mit hohem Risiko verbunden ist, wenn es «die Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt». Damit wird das heutige Schutzniveau bei der automatisierten Datenbearbeitung gehalten, aber weder erhöht, wie es im Sinne der Ständeratsmehrheit und der linken Seite des Nationalrats gewesen wäre, noch gesenkt, was dem bürgerlichen Ansinnen entsprochen hätte. Mit noch drei inhaltlichen Differenzen ging die Vorlage wieder an den Nationalrat.

Zum Start der Pilotphase der Proximity-Tracing-App des Bundes Ende Mai 2020 veröffentlichte der Bundesrat die Ergebnisse einer Bevölkerungsumfrage, die das BAG Ende April in Auftrag gegeben hatte, um die Einstellung der Schweizer Bevölkerung zur Corona-App zu erfahren. Demnach begrüssten 70 Prozent der Bevölkerung die Einführung der App und 59 Prozent erklärten sich klar oder eher dazu bereit, sie zu installieren. Eine Mehrheit der Befragten stellte sich aber klar gegen eine Installationspflicht, insbesondere gegen einen punktuellen App-Zwang zum Beispiel durch Arbeitgeber oder als Bedingung für den Zugang zu bestimmten Angeboten und Dienstleistungen. Als für die Installationsbereitschaft entscheidende Faktoren identifizierte die Studie das konkret vorhandene Wissen über die Funktionalitäten der App und das Vertrauen in den Bundesrat. In Widerstand gegen die App resultierten dahingegen konkrete Datenschutzbedenken sowie die allgemeine Befürchtung, dass im Zuge der Corona-Pandemie der Persönlichkeitsschutz dauerhaft eingeschränkt werden könnte. Besonders skeptisch zeigten sich jene Personen, die trotz Corona-Einschränkungen viele ausserhäusliche Kontakte pflegten und die sich vor einer Einschränkung ihrer Bewegungsfreiheit und einer zwangsweise durchgesetzten Quarantäne fürchteten. Die Autoren kamen zum Schluss, «dass die Faktoren Eigenverantwortung, Vertrauen und freiwillige Solidarität die Basis bilden für eine weite Verbreitung einer Proximity-Tracing-App in der Schweiz». Um möglichst viele Menschen dazu zu bewegen, die App zu installieren, plane das BAG, sobald das Parlament grünes Licht für die App gegeben haben wird, eine entsprechende Informationskampagne zu starten, berichtete «Le Temps».

Mitte Mai 2020 verabschiedete der Bundesrat die bis Ende Juni befristete «Verordnung über den Pilotversuch mit dem ‹Swiss Proximity-Tracing-System› zur Benachrichtigung von Personen, die potenziell dem Coronavirus (Covid-19) ausgesetzt waren». Darin werden gestützt auf das Datenschutzgesetz die Organisation, der Betrieb, die bearbeiteten Daten und die Nutzung der Proximity-Tracing-App für die Dauer der Pilotphase geregelt. Die App werde zunächst versuchsweise Mitarbeiterinnen und Mitarbeitern der ETHZ und der EPFL, Armeeangehörigen, Mitarbeitenden von Spitälern, der eidgenössischen und kantonalen Verwaltungen sowie weiteren ausgesuchten Organisationen zur Verfügung gestellt, damit diese allfällige technische Mängel und Probleme in der Benutzbarkeit aufdecken können, wie der Bundesrat per Medienmitteilung bekannt gab. Die Pilotphase startete schliesslich am 25. Mai. Spätestens Ende Juni soll sie beendet und die «SwissCovid»-App für die Bevölkerung freigegeben werden.
Zweck der App ist es, das klassische Contact Tracing der kantonalen Behörden zu ergänzen. Sie sei technisch nicht in der Lage, Standortdaten aufzuzeichnen, führte der Bundesrat aus, sondern tausche lediglich anonyme Codes mit anderen Smartphones in der Nähe aus. So könnten keine Personendaten rückverfolgt und die Privatsphäre bestmöglich geschützt werden. Diese Einschätzung teilte auch der EDÖB Adrian Lobsiger. Was er bisher vom Projekt gesehen habe, gebe keinen Anlass zu datenschutzrechtlichen Bedenken, sagte er in einem Interview mit «Le Temps». Das Entwicklerteam habe alles getan, um die Anonymität und die Privatsphäre der App-Nutzerinnen und -Nutzer zu gewährleisten, wobei er insbesondere die dezentrale Datenspeicherung und die freiwillige Nutzung der App lobend hervorhob. Er werde allerdings «sehr wachsam» sein, dass kein Druck zur App-Nutzung auf Arbeitnehmende oder Kundinnen und Kunden von Geschäften ausgeübt werde, fügte Lobsiger an.
Zusätzlich zur Funktionalitätstestphase kündigte der Bundesrat einen öffentlichen Sicherheitstest des Systems an. Zu diesem Zweck wurden alle Quellcodes der SwissCovid-App öffentlich zugänglich gemacht, sodass Fachleute und interessierte Personen das System auf Sicherheitslücken prüfen können. Die Ergebnisse werden vom Nationalen Zentrum für Cybersicherheit (NCSC) öffentlich einsehbar gesammelt, bewertet und gegebenenfalls zum Anlass für Anpassungen an der App genommen. Der Sicherheitstest sollte am 28. Mai starten und so lange dauern, bis ihn das NCSC für beendet erklärt.

Im Frühjahr 2020 befassten sich auch die Staatspolitischen Kommissionen der eidgenössischen Räte mit den Massnahmen zur Bekämpfung der Corona-Pandemie. Nach Anhörungen des EDÖB und des BAG sprachen sich beide Kommissionen grundsätzlich für die Einführung einer Corona-Warn-App durch den Bund aus, forderten aber gleichzeitig, dass dies in einem transparenten politischen Verfahren, d.h. basierend auf einer soliden Rechtsgrundlage geschehen müsse. Sie reichten deshalb Ende April zwei gleichlautende Kommissionsmotionen ein (SPK-NR: Mo. 20.3144; SPK-SR: Mo. 20.3168), mit denen sie den Bundesrat aufforderten, die gesetzlichen Grundlagen zur Einführung einer solchen App zu schaffen. Gleichzeitig hielten sie fest, dass nur technische Lösungen ohne zentrale Speicherung von personenbezogenen Daten zulässig sein sollen und dass das Verwenden der App freiwillig sein müsse. Weil das sogenannte Proximity Tracing – je nach konkreter Ausgestaltung – grundsätzlich die Gefahr schwerer Grundrechtseingriffe berge, dürfe die gesetzliche Grundlage dafür nicht bloss in einer Notverordnung des Bundesrates angesiedelt, sondern müsse dem Parlament vorgelegt werden, begründeten die Kommissionen ihre Vorstösse.
Der Bundesrat beantragte die Motionen zur Ablehnung, da einerseits die Anforderungen an die Anonymität und die Dezentralität in der Systemarchitektur der Schweizer App angelegt und damit sichergestellt seien. Andererseits falle die Einführung der freiwilligen App in die epidemienrechtlichen Befugnisse des Bundesrats, sodass dazu weder ein Gesetz noch eine Notverordnung vonnöten sei. Nachdem sich in den Plenardebatten beider Kammern in der ausserordentlichen Maisession herausgestellt hatte, dass der Bundesrat und die Kommissionen im Grunde genommen dieselben Ziele verfolgten, ging es im Wesentlichen darum, ob die App durch einen Parlamentsentscheid zusätzlich legitimiert werden sollte. Bundesrat Alain Berset erläuterte vor beiden Räten, dass die App zunächst ab Mitte Mai in eine mehrwöchige Pilotphase gehe, bevor sie der breiten Bevölkerung zur Verfügung gestellt werde. Im Falle der Annahme der Motionen würde der Bundesrat dem Parlament bis zur Sommersession ein dringliches Bundesgesetz als Grundlage für die Einführung der App vorlegen. Die Pilotphase würde aber in jedem Fall wie geplant durchgeführt, um das Projekt nicht auszubremsen. Im Anschluss an die Annahme des dringlichen Gesetzes durch das Parlament würde die App dann der Öffentlichkeit zugänglich gemacht werden. Dieses Vorgehen wurde schliesslich vom Ständerat mit 32 zu 10 Stimmen und vom Nationalrat mit 127 zu 55 Stimmen bei 11 Enthaltungen gutgeheissen, indem die Räte jeweils die von ihrer SPK eingereichte Motion annahmen.

Im Kampf gegen die Ausbreitung des Coronavirus setzten mehrere früh von der Pandemie betroffene Länder, beispielsweise China, Singapur, Südkorea oder Taiwan, auf staatlich verordnetes Mobiltelefon-Tracking, damit die Behörden den Standort einer Person verfolgen und so einerseits die Einhaltung von Isolation und Quarantäne überwachen und andererseits Passanten vor infizierten Personen warnen konnten. Ende März berichtete die Presse, dass auch in der Schweiz das BAG Handydaten zur Bewältigung der Pandemie nutze. Im Fokus stand dabei jedoch nicht das personalisierte Tracking, sondern die Auswertung anonymisierter Massendaten aus dem Mobilfunknetz der Swisscom, um zu überprüfen, ob sich die Bevölkerung an das Verbot von Ansammlungen von mehr als fünf Personen im öffentlichen Raum hielt und wo sich allenfalls zu grosse Menschenansammlungen bildeten. Auf Kritik aus Datenschutzkreisen entgegnete das BAG in der Presse, die Daten liessen keine Rückschlüsse auf einzelne Personen zu und würden nicht in Echtzeit verwendet, weshalb es sich nicht um eine Überwachung, sondern um eine verhältnismässige Massnahme handle.
Die permanente Mitverfolgung des Standorts aller Personen durch den Staat, mit der einige asiatische Länder schnelle Erfolge in der Eindämmung der Pandemie erzielten, war in Europa datenschutzrechtlich undenkbar. Ein paneuropäisches Konsortium von 130 Forschungseinrichtungen aus acht Ländern, darunter auch die ETHZ und die EPFL, das Anfang April in den Medien vorgestellt wurde, arbeitete daher an einer auf Europa zugeschnittenen, die Privatsphäre bewahrenden Lösung, um die Rückverfolgung der Kontakte infizierter Personen zu unterstützen. Ziel war eine Smartphone-App zum Proximity Tracing, d.h. zum Erkennen, welche Personen sich so nah waren, dass eine Übertragung des Coronavirus möglich gewesen wäre. Die europäische App setzte allerdings nicht auf die Standort-Lokalisierung der Nutzerinnen und Nutzer, sondern auf eine extra zu diesem Zweck von Apple und Google gemeinsam entwickelte Bluetooth-Schnittstelle. Über Bluetooth soll die App andere Smartphones in einem gewissen Umkreis erkennen, auf denen die Anwendung ebenfalls aktiviert ist, und diese Kontakte anonym speichern. Eine positiv auf das Coronavirus getestete Person kann dann über die App die registrierten Kontaktpersonen warnen, sodass sich diese frühzeitig in Quarantäne begeben und testen lassen können. Für den Bundesrat sei diese Anwendung «interessant», wie Karin Keller-Sutter gegenüber dem Tages-Anzeiger sagte. Man kläre derzeit ab, wie dieses System in der Schweiz zum Einsatz kommen könnte und wie die Rechtslage aussehe. Aus Datenschutzsicht hielt EDÖB Adrian Lobsiger diesen Weg gemäss Tages-Anzeiger für «gangbar», solange das Herunterladen der App freiwillig sei. Wie in den Medien erklärt wurde, sammle das System keine personalisierten Daten; vielmehr würden die Kontakte für eine begrenzte Zeit als verschlüsselte Codes abgespeichert.
Den beiden Schweizer Hochschulen erschien das europäische Projekt nach einiger Zeit jedoch zu wenig transparent und sie befanden, es lege zu wenig Wert auf den Schutz der Privatsphäre. Mitte April zogen sie sich daher – wie auch einige weitere Institutionen, die zum gleichen Schluss gekommen waren – daraus zurück und kündigten an, stattdessen eine eigene Lösung zu entwickeln, die im Gegensatz zum europäischen System keine Kontaktdaten sammle, sondern sie jeweils dezentral direkt auf dem Smartphone speichere. So könne weder nachverfolgt werden, welche Personen miteinander in Kontakt waren, noch welche sich infiziert und damit eine Warnung ausgelöst haben, selbst wenn die Server der App-Betreiber gehackt werden sollten, erklärten die Medien. Auch der EDÖB, das Nationale Zentrum für Cybersicherheit und die Nationale Ethikkommission zeigten sich in der Presse zufrieden mit dem gewählten dezentralen Ansatz: Damit werde die Privatsphäre bestmöglich geschützt.
In seiner Medienkonferenz vom 29. April bestätigte der Bundesrat schliesslich, dass er plane, der Bevölkerung zeitnah eine solche Corona-Warn-App zur Verfügung zu stellen; diese werde derzeit von der ETHZ und der EPFL gemeinsam mit dem Bund entwickelt. Weiter versicherte die Regierung, dass der Gebrauch der App freiwillig sein und sie nur für die Dauer der Krise eingesetzt werde. Bis anhin hatte sich der Bundesrat dazu nur sehr zurückhaltend geäussert, was in den Medien bereits für Spekulationen gesorgt hatte, weil vonseiten des BAG und der beteiligten Hochschulen bereits Tage zuvor ein konkretes Datum kommuniziert worden war, an dem die App bereitstehen sollte.
Gleichzeitig erörterte die Presse viele noch offene Fragen zur geplanten Corona-Warn-App. Vor dem Hintergrund einer Experteneinschätzung, wonach 60 Prozent der Bevölkerung die App nutzen müssten, damit sie wirksam sei, wurde debattiert, ob die Freiwilligkeit der richtige Weg sei. Dies wurde aus ethischen Gründen – namentlich, weil ein App-Zwang einen inakzeptablen Eingriff in die persönliche Selbstbestimmung darstellte – grösstenteils bejaht, aber gleichzeitig anerkannt, dass eine so weit verbreitete, freiwillige Verwendung der App eine grosse Akzeptanz und damit ein grosses Vertrauen seitens der Bevölkerung voraussetze. Dieses Vertrauen basiere seinerseits gerade auf der Freiwilligkeit und nur schon der geringste Anschein, der Staat wolle die Menschen zur Benutzung der App drängen, könnte es zerstören, warnte etwa die Zürcher GLP-Nationalrätin und Geschäftsführerin des IT-Verbandes Swico Judith Bellaïche im Tages-Anzeiger. Gegen die App wurde indessen das Argument ins Feld geführt, sie bringe nichts, weil sie das manuelle Contact Tracing nicht ersetzen könne. Dem widersprach der massgeblich an der Entwicklung der App beteiligte EPFL-Epidemiologe Marcel Salathé nicht, erklärte aber gegenüber dem «Blick», dass die Contact-Tracing-Stellen durch die App entscheidend entlastet werden könnten und dass jede Installation helfe, auch wenn weniger als 60 Prozent der Bevölkerung die App nutzten.
Eine Mitte April im Auftrag der NZZ durchgeführte Befragung, deren Ergebnisse die Zeitung Anfang Mai publizierte, hatte ergeben, dass knapp drei Viertel der Schweizer Bevölkerung sich bereit erklärten, eine Tracking-App zu installieren, wenn diese zur Eindämmung des Coronavirus und damit zur Verkürzung des Lockdowns beitragen könnte. Dabei würden die Befragten am ehesten eine App installieren, die vom Bundesrat herausgegeben würde – gut die Hälfte erklärte sich dazu bereit –, während das BAG, die Kantone und andere vorgeschlagene Institutionen deutlich weniger Vertrauen genossen. Bei den Bundesparlamentarierinnen und -parlamentariern, unter denen die NZZ eine ähnliche Umfrage durchgeführt hatte, konnte sich ebenfalls gut die Hälfte vorstellen, die Corona-App des Bundes zu installieren, wobei einzig in der Grünen Fraktion klar die Skepsis überwog. Ein Obligatorium für die Anwendung wurde von den Parlamentarierinnen und Parlamentariern hingegen grossmehrheitlich abgelehnt.

Gemäss der Ende März 2020 präsentierten Abstimmungsnachbefragung zur Volksinitiative «Mehr bezahlbare Wohnungen» hatte die Stimmbevölkerung das Volksanliegen mehrheitlich abgelehnt, weil es regionalen Gegebenheiten zu wenig Berücksichtigung schenke. Die Volksinitiative des Schweizerischen Mieterinnen- und Mieterverbandes und weiteren, verbündeten Organisationen hätte verlangt, dass der Bund in Zusammenarbeit mit den Kantonen dafür zu sorgen hätte, dass gesamtschweizerisch 10 Prozent der neu gebauten Wohnungen im Besitz von gemeinnützigen Wohnbauträgern sind.
Die eigentliche Kernforderung der Initiative nach mehr bezahlbarem Wohnraum war unter den Studienteilnehmenden wenig bestritten: Beinahe 7 von 10 Respondentinnen und Respondenten – darunter auch die Hälfte der Nein-Stimmenden – vertraten die Ansicht, dass das Angebot an günstigem Wohnraum erhöht werden müsse. 61 Prozent der Stimmenden befürwortete auch eine stärkere Förderung des gemeinnützigen Wohnungsbaus durch den Bund und 72 Prozent stimmten dem Ja-Argument zu, dass Spekulation auf dem Immobilienmarkt unterbunden werden müsse. Auf der anderen Seite unterstützten 88 Prozent aller Stimmenden das Contra-Argument, dass das Volksanliegen zu wenig Rücksicht auf regionale Gegebenheiten der Wohnungsmärkte nehme. Bei der Stimmbevölkerung weniger gut verfing dagegen das Argument, dass sich die Situation auf dem Mietwohnungsmarkt in den letzten Jahren entspannt habe. Insgesamt lediglich 35 Prozent der Studienteilnehmenden bekräftigten dieses Argument, darunter 55 Prozent Nein- und 8 Prozent Ja-Stimmende. Im Vorfeld der Abstimmung war die Situation auf dem Wohnungsmarkt unter Rückgriff auf diverse Studien und Statistiken heftig umstritten gewesen. Bedeutender für ein Nein war ferner das Argument, dass der Staat möglichst wenig in den Markt eingreifen soll.
Unter den soziodemographischen Merkmalen zeigte sich die Wohnsituation als entscheidender Faktor für den Stimmentscheid. Während lediglich ein Drittel der Eigentümerinnen und Eigentümer der Volksinitiative zugestimmt hatte, belief sich der entsprechende Anteil unter der Mieterschaft auf 60 Prozent. Ausschlaggebend für den Stimmentscheid waren nicht zuletzt auch politische Faktoren wie die Links-Rechts-Selbsteinstufung und die Parteisympathie, wobei die Stimmenden in jedem Fall mehrheitlich im Sinne ihrer Partei gestimmt hatten. Am geringsten war der Ja-Anteil unter Sympathisantinnen und Sympathisanten der FDP (15%), am höchsten derjenige innerhalb der SP-Anhängerschaft (76%).

Bei der Totalrevision des Datenschutzgesetzes begann in der Frühjahrssession 2020 der Nationalrat mit der Differenzbereinigung. Als Kernpunkt der Vorlage identifizierte Kommissionssprecher Matthias Jauslin (fdp, AG) die Bestimmungen zum sogenannten Profiling (d.h. automatisierte Datenbearbeitung zur Bewertung bestimmter Aspekte einer Person). Einig war man sich hier inzwischen geworden, dass im Sinne eines risikobasierten Ansatzes irgendwie zwischen verschiedenen Arten von Profiling unterschieden werden muss. Weder der Ansatz des Bundesrates, an alle Arten von Profiling erhöhte Datenschutzanforderungen zu stellen, noch der vom Nationalrat als Erstrat beschlossene Verzicht auf jegliche Regulierung des Profilings wurden nunmehr als gangbare Wege betrachtet. Um die richtige Lösung für die Definition der verschiedenen Risikostufen wurde allerdings noch gerungen. Der ständerätliche Vorschlag, Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person von gewöhnlichem Profiling zu unterscheiden, war in der SPK-NR auf Skepsis gestossen, weil in der Praxis fast jedes Profiling die einschlägigen Kriterien – die bearbeiteten Personendaten stammen entweder aus verschiedenen Quellen oder betreffen verschiedene Lebensbereiche – für hohes Risiko erfülle. Während die SP- und die Grüne Fraktion den Minderheitsantrag Glättli (gp, ZH) auf Beibehaltung der ständerätlichen Lösung unterstützten, sprach sich die Ratsmehrheit für einen Minderheitsantrag Jauslin aus, der es mit einer anderen Risikodefinition versuchte. Jedoch wurde auch dieser Vorschlag nicht als ausgereift angesehen. Im Prinzip war es einerlei, ob die Kommissionsmehrheit oder die Minderheit Jauslin obsiegte; das Hauptanliegen der Ratsmehrheit war es, hier die Differenz aufrechtzuerhalten, damit die Diskussion dieser Problematik weitergeführt werde. Die linke Ratsseite machte indes klar, dass diese Bestimmungen die «Pièce de Résistance» dieses Gesetzes seien, wie es deren Wortführer Cédric Wermuth (sp, AG) und Balthasar Glättli ausdrückten. Eine laschere Regelung als diejenige des Ständerates wollten sie nicht akzeptieren. Zusammen mit der SVP, die das Gesetz ohnehin als «Meisterwerk der Bürokratie» (Gregor Rutz, svp, ZH) ablehnte, könnte diese Drohung, je nach Entscheid des Ständerats, im Hinblick auf die Schlussabstimmungen noch brisant werden, mutmasste der Tages-Anzeiger.
Bei einigen weiteren umstrittenen Punkten erhielt der Nationalrat die Differenz zum Ständerat aufrecht, indem er an seinen Beschlüssen als Erstrat festhielt. So definierte die grosse Kammer nach wie vor nur jene genetischen Daten als besonders schützenswerte Personendaten, die eine Person eindeutig identifizieren. Der besondere Schutz aller genetischen Daten schaffe Rechtsunsicherheit für die Forschung, so das Argument der Kommissionsmehrheit, die den entsprechenden Antrag gestellt hatte. Des Weiteren sah die Volkskammer keine Notwendigkeit, dass der betroffenen Person bei der Beschaffung von Personendaten zwingend die Liste ihrer Rechte und gegebenenfalls die Absicht des Bearbeitenden, eine Kreditwürdigkeitsprüfung vorzunehmen, mitgeteilt werden müssen, um die der Ständerat die Informationspflicht ergänzt hatte. An der als Erstrat noch eingefügten Ausnahme von der Informationspflicht bei unverhältnismässigem Aufwand hielt der Nationalrat hingegen nicht mehr fest, weil sie wohl nicht mit den EU-Kriterien für ein angemessenes Datenschutzniveau vereinbar wäre. Hinsichtlich der Kreditwürdigkeitsprüfung beharrte die grosse Kammer jedoch darauf, dass dafür Daten der letzten zehn, anstatt wie vom Bundesrat und vom Ständerat vorgesehen nur der letzten fünf, Jahre beigezogen werden dürfen.
In zwei weiteren wichtigen Punkten räumte der Nationalrat die Differenzen aus, indem er dem Beschluss des Ständerates folgte. Er hiess einerseits das vom Ständerat eingeführte «Konzernprivileg» gut, das die Datenweitergabe innerhalb von Konzernen erleichtert, indem die Weitergabe zwischen Unternehmen, die von derselben juristischen Person kontrolliert werden, nicht als Weitergabe an Dritte betrachtet wird. Auch hier bestehe aber noch Nachbesserungsbedarf, stellte Kommissionssprecher Jauslin fest, da die Erleichterung bei sehr grossen Konzernen, deren Unternehmen zwar durch die gleiche juristische Person kontrolliert werden, aber verschiedene Geschäftstätigkeiten ausüben, eventuell zu weit gehe. SP-Vertreter Cédric Wermuth hatte anhand von Alphabet, dem Mutterkonzern von Google, auf dieses Problem aufmerksam gemacht, da zu Alphabet «inzwischen die halbe Internetinfrastruktur» gehöre. Der Kommissionssprecher drückte indes seine Hoffnung aus, dass der Bundesrat in der Verordnung eine Lösung für solche Fälle finde. Andererseits beliess der Nationalrat die Strafbestimmung, die bei Verletzung der Sorgfaltspflichten für die Datensicherheit eine Busse von bis zu CHF 250'000 androht, im Gesetz. In seiner ersten Beratung hatte er diese noch gestrichen, vom Ständerat war sie dann aber wieder eingefügt worden, da eine solche Strafbestimmung zu den Anforderungen für die Datenschutzäquivalenz der EU gehöre. Mit einer Handvoll verbliebener der anfänglich elf Differenzen überwies die Volkskammer den Entwurf wieder an die Ständekammer.

Der Nationalrat lehnte in der Frühjahrssession 2020 die Motion Abate (fdp, TI) zur Lockerung der Voraussetzungen, unter denen die Öffentlichkeit über ein hängiges Strafverfahren informiert werden darf, ab. Mit 132 zu 52 Stimmen folgte er seiner Kommissionsmehrheit und mass dem Persönlichkeitsschutz der betroffenen Personen sowie den Interessen der Strafverfolgung höheres Gewicht bei als dem Informationsbedürfnis der Öffentlichkeit. Nur die SVP-Fraktion unterstützte den Vorstoss.

Die Beratung der Totalrevision des Datenschutzgesetzes, wofür sich die Staatspolitische Kommission des Nationalrates zwei Jahre Zeit gelassen hatte, schloss die SPK-SR nach nur zwei Monaten Ende November 2019 ab. Mit dem hohen Tempo wollte Kommissionspräsidentin Pascale Bruderer Wyss (sp, AG) es möglich machen, dass die Schlussabstimmungen zur Revision noch im Frühjahr 2020 – und damit noch bevor die EU Ende Mai über die Angemessenheit des schweizerischen Datenschutzes entscheiden wird – stattfinden können. Eine Analyse des Bundesamtes für Justiz zuhanden der Kommission hatte vier Punkte zutage gefördert, in denen das DSG nach den Beschlüssen des Erstrates noch nicht den europäischen Anforderungen entsprach und wo die SPK-SR ihrem Rat deshalb eine Abweichung vom Nationalrat beantragte. Erstens sei die Ausnahme der gewerkschaftlichen Ansichten von den besonders schützenswerten Personendaten gemäss den Kriterien für die Äquivalenzprüfung unzulässig. Ebenso problematisch sei zweitens der Verzicht auf eine ausdrückliche Einwilligung beim Profiling. Drittens dürfe nicht, wie vom Nationalrat vorgesehen, auf die Informationspflicht verzichtet werden, weil die Information einen unverhältnismässigen Aufwand erfordere, und viertens forderten die EU-Regeln wirksame und abschreckende Sanktionen für den Fall der Sorgfaltspflichtverletzung; der Beschluss des Nationalrates, solche Verstösse nicht zu ahnden, sei daher «mehr als nur problematisch», wie Kommissionssprecher Daniel Fässler (cvp, AI) in der Wintersession 2019 dem Ständeratsplenum erläuterte.
Im Gegensatz zum Nationalrat war Eintreten im Ständerat unbestritten und die Debatte wenig kontrovers – was wahrscheinlich nicht zuletzt dem Umstand geschuldet war, dass die Urheber der meisten Minderheitsanträge dem Rat mittlerweile nicht mehr angehörten. Insgesamt brachte die kleine Kammer die Vorlage wieder näher an den Entwurf des Bundesrats und damit zum von Berichterstatter Fässler genannten Ziel, die Vereinbarkeit des schweizerischen Datenschutzrechts mit der Datenschutzgesetzgebung der EU sowie mit der inzwischen vom Bundesrat unterzeichneten Europarats-Konvention SEV 108+ sicherzustellen. Bei drei der vier vom BJ als problematisch identifizierten Punkte schwenkte der Ständerat stillschweigend auf die Linie des Bundesrats zurück. So fügte er die gewerkschaftlichen Daten wieder in den Katalog der besonders schützenswerten Personendaten ein, strich die Ausnahme von der Informationspflicht bei unverhältnismässigem Aufwand wieder aus dem Gesetz und nahm die Strafandrohung von einer Busse bis zu CHF 250'000 bei vorsätzlicher Verletzung der Datensicherheit wieder auf. Ausführlicher debattierte die kleine Kammer die Frage, ob für das Profiling (d.h. die automatisierte Bearbeitung von Personendaten, um aufgrund bestimmter Merkmale einer Person deren Verhalten analysieren oder voraussagen zu können) in jedem Fall – wie es der Bundesrat vorgesehen hatte – oder nur bei Profiling mit hohem Risiko eine ausdrückliche Einwilligung erforderlich sein soll. Dem Beschluss des Nationalrats zu folgen und gar keine ausdrückliche Einwilligung für Profiling zu verlangen, war für die Kantonskammer indes keine Option. Mit 19 zu 14 Stimmen bei einer Enthaltung hiess sie den risikobasierten Ansatz, den die Kommissionsmehrheit als Mittelweg zwischen Bundesrat und Nationalrat präsentiert hatte, gut. Damit soll Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person nur mit deren ausdrücklicher Einwilligung erlaubt sein, wobei sich das hohe Risiko beispielsweise an der Verknüpfung von Daten verschiedener Herkunft oder an der Möglichkeit, Rückschlüsse auf verschiedene Lebensbereiche der betroffenen Person zu ziehen, bemisst. Eine weitere, im Hinblick auf die Erfüllung der EU-Anforderungen wichtige Differenz schuf die Kantonskammer beim Auskunftsrecht, das sich nun nicht mehr wie vom Nationalrat beschlossen auf eine abschliessende Liste von Informationen beschränken soll. In der Gesamtabstimmung nahm die Ständekammer die Vorlage mit 29 zu 4 Stimmen an, wobei alle Gegenstimmen aus den Reihen der SVP-Fraktion stammten.

L'Initiative populaire fédérale «Pour l’autonomie de la famille et de l’entreprise (initiative pour la protection de l’enfant et de l’adulte)» prévoyait de permettre aux personnes frappées d'incapacité de discernement d'être représentées par leurs proches. Soit, sans dispositions préalables de la personne concernée, sa famille, son ou sa conjointe, époux ou épouse ou alors partenaire serait désignés par la loi pour représenter ses intérêts; ou alors il existerait la possibilité pour chaque personne majeure de désigner une ou plusieurs personnes physiques ou morales pour représenter ses intérêts en cas de perte de capacité de discernement.
L'examen préliminaire de la chancellerie avait été passé, mais le texte a échoué au stade de la récolte des signatures. Au 15 novembre 2019, ces dernières n'ayant pas été déposées, la chancellerie a classé l'initiative.

Ende Oktober 2019 nahm der Bundesrat die Empfehlungen der GPK-SR zu administrativen Anpassungen bei der DNA-Analyse in Strafverfahren zur Kenntnis. Anstrengungen zur Harmonisierung der kantonalen Praxis, so die erste der vier Empfehlungen, erachtete der Bundesrat als nicht mehr notwendig, da mit der Anpassung der Strafprozessordnung auch die Rahmenbedingungen für die Anwendung von DNA-Analysen präzisiert würden. Die zweite Empfehlung, die periodische Überprüfung und allfällige Neuausschreibung des Auftrags an die Koordinationsstelle, die die DNA-Datenbank betreibt, wurde vom Bundesrat unterstützt. Er wollte die Periodizität und die Beurteilungskriterien neu ausdrücklich regeln. Auch bezüglich der dritten Empfehlung, der Sicherstellung der Unabhängigkeit der Koordinationsstelle sowie der unabhängigen Interessenvertretung der DNA-Analyselabore gegenüber dem Bund, erkannte die Regierung Handlungsbedarf. Schliesslich erklärte sich der Bundesrat bereit, der vierten Empfehlung insofern nachzukommen, als er den Umfang der vom Fedpol an die Schweizerische Akkreditierungsstelle (SAS) delegierten Aufsichtsaufgaben überprüfen wolle. Er beauftragte das EJPD, bis Ende 2020 einen Entwurf für eine Anpassung der DNA-Profil-Verordnung zur Umsetzung der Empfehlungen zwei bis vier vorzulegen.

Die in der Strafprozessordnung festgehaltenen Voraussetzungen für die Orientierung der Öffentlichkeit über ein hängiges Strafverfahren sollen gelockert werden, befand der Ständerat in der Herbstsession 2019. Mit 22 zu 15 Stimmen hiess er eine entsprechende Motion Abate (fdp, TI) gut. Der Motionär argumentierte, die Norm könne ihr Ziel, nämlich den Persönlichkeitsschutz von Personen, die in ein Strafverfahren involviert sind, in der heutigen Zeit nicht mehr erfüllen, da beispielsweise die Namen von betroffenen Personen über ausländische Medien oder Social Media ohnehin bekannt würden. Der Bundesrat hatte die Ablehnung der Motion beantragt, da kein Handlungsbedarf bestehe und der Schutz der Persönlichkeitsrechte eben gerade aufgrund der leichten Verbreitung von Informationen über Social Media ein besonderes Bedürfnis sei.

Der Totalrevision des Datenschutzgesetzes und der Änderung weiterer Erlasse zum Datenschutz nahm sich in der Herbstsession 2019 der Nationalrat als Erstrat an. Das ein Jahr zuvor verabschiedete und am 1. März 2019 in Kraft getretene Schengen-Datenschutzgesetz, das aus Gründen der zeitlichen Dringlichkeit zunächst nur die Schengen-relevanten Anpassungen umsetzte, wird mit der Annahme des totalrevidierten Gesetzes wieder ausser Kraft treten. Mit der Totalrevision sollen über die Schengen-Anforderungen hinausgehend einerseits die Schwächen des heutigen Datenschutzrechts, das noch aus einer Zeit vor dem Internet stammt, behoben und andererseits die Entwicklungen auf EU- und Europarats-Ebene aufgenommen werden. Besonders bedeutsam für die Schweiz ist hierbei, von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt zu werden. Ansonsten, so wurde befürchtet, wäre die Schweizer Wirtschaft mit erheblichen Wettbewerbsnachteilen konfrontiert, da Schweizer Unternehmen nicht mehr so einfach Daten mit Firmen in der EU austauschen könnten. Bis im Mai 2020 wird die EU die Äquivalenz des Schweizer Datenschutzes beurteilen, was eine gewisse Dringlichkeit für die Revision gebietet.
Wie schwierig dieses Unterfangen werden würde, hatte sich schon in der vorberatenden SPK-NR abgezeichnet: Nur mit Stichentscheid des Präsidenten Kurt Fluri (fdp, SO) hatte sich die Kommission im August 2019 durchgerungen, die Vorlage nach mehr als einem Jahr Arbeit überhaupt vors Ratsplenum zu bringen. Die wichtigsten Anpassungen der Kommission am bundesrätlichen Entwurf waren die neu einzuführende Direktwahl des EDÖB durch die Bundesversammlung, die Einführung eines Rechts auf Datenportabilität, die Anpassung der Definition der besonders schützenswerten Personendaten sowie der Verzicht auf eine besondere Regelung für den Umgang mit Daten verstorbener Personen und auf eine ausdrücklich erforderliche Einwilligung zum Profiling. Im Rahmen ihrer Beratungen hatte die SPK-NR zudem sechs Motionen zur Vervollständigung der Datenschutzbestimmungen in weiteren Gesetzen eingereicht.
Kurz vor der Debatte im Nationalrat hatte das Bundesamt für Justiz überdies eine Liste dazu veröffentlicht, welche problematischen Differenzen es zwischen dem Kommissionsvorschlag und den Anforderungen der EU sehe. Auch EDÖB Adrian Lobsiger hatte in der Presse bezweifelt, dass das von der Kommissionsmehrheit vorgeschlagene Gesetz mit dem verlangten Niveau der EU-Datenschutzgrundverordnung (DSGVO) mithalten könne; beim Entwurf des Bundesrates hätte er indes keine Probleme gesehen.
Während der strittige Vorschlag der Kommissionsmehrheit für die SVP bereits zu weit ging, bemängelten SP, Grüne und GLP, er sei zu lasch. Wirtschaftsverbände drängten unterdessen auf eine möglichst rasche, EU-konforme Lösung. So wurde im Vorfeld der nationalrätlichen Debatte von den Mitte- und Linksparteien noch fieberhaft nach Kompromissen gesucht, um den drohenden Absturz der Revision zu verhindern.

In der Eintretensdebatte in der grossen Kammer wurde von allen Seiten – ausser von der SVP-Fraktion – betont, wie wichtig und notwendig das vorliegende Revisionsprojekt sei, sowohl um den Datenschutz dem Internetzeitalter anzupassen als auch um den Datenschutz auf ein der EU gleichwertiges Niveau zu bringen, auch wenn man in den Details der Ausgestaltung verschiedene Ansichten vertrat. Die SVP betrieb hingegen Fundamentalopposition gegen «diesen bürokratischen Unsinn», wie Fraktionsvertreter Gregor Rutz (svp, ZH) das neue Gesetz nannte, denn es sei insgesamt, vor allem für KMU, schlechter als das geltende Datenschutzgesetz – ein Argument, das wenig später durch das Votum von FDP-Vertreter Kurt Fluri (fdp, SO) entkräftet werden sollte, der berichtete, dass der Gewerbeverband die Stossrichtung der Kommissionsmehrheit begrüsse und die Rückweisung nicht unterstütze. Mit der DSGVO verkaufe die EU laut Rutz ihre Bürger für dumm, da sie «kein Mensch» verstehe. «Wir haben langsam genug davon, jeden Unsinn aus der EU ungesehen zu übernehmen!», ärgerte sich der SVP-Vertreter und rief das Ratsplenum auf, die Vorlage an den Bundesrat zurückzuweisen mit dem Auftrag, sie zu entschlacken und EU-Vorschriften nur dort zu übernehmen, wo es unumgänglich sei. Auch eine linke Minderheit hatte ursprünglich die Rückweisung, allerdings an die Kommission, beantragt und diese beauftragen wollen, die Vereinbarkeit der Vorlage mit dem Übereinkommen SEV 108 des Europarats, die Äquivalenz mit dem EU-Datenschutzrecht, die Kompatibilität mit den Schengen-Verträgen und die Nicht-Unterschreitung des heute geltenden Schutzniveaus sicherzustellen. Um die doch eher dringliche Revision nicht unnötig zu verlangsamen und um sich einer «produktiven Diskussion» nicht zu verschliessen, zog Cédric Wermuth (sp, AG) diesen Antrag jedoch «im Sinne eines Vorschussvertrauensbeweises» zurück und hoffte, das Gesetz während der Beratung noch auf eine den genannten Forderungen nähere Linie bringen zu können. Der Rückweisungsantrag der SVP-Minderheit wurde mit 120 zu 66 Stimmen (1 Enthaltung) deutlich verworfen; ausserhalb der geschlossenen SVP-Fraktion sah niemand eine Rückweisung als den richtigen Weg an.

Im Laufe der Detailberatung musste der Nationalrat über 45 Minderheits- und mehrere Einzelanträge befinden, die zu einem beträchtlichen Teil die Unterstützung des Bundesrates genossen – hauptsächlich immer dort, wo die Kommissionsmehrheit mit ihrem Vorschlag einen schwächeren Datenschutz wollte als der Bundesrat und somit das heute geltende Schutzniveau oder die Anforderungen der EU und/oder des Europarats unterschreiten wollte. So war die Kommissionsmehrheit bestrebt, sowohl die Daten über gewerkschaftliche Ansichten und Tätigkeiten als auch die Daten über Massnahmen der sozialen Hilfe aus dem Katalog der besonders schützenswerten Daten, für deren Bearbeitung besondere Anforderungen gelten, zu streichen. Während eine bürgerliche Ratsmehrheit die Streichung der Daten über gewerkschaftliche Ansichten und Tätigkeiten guthiess, schwenkte der Nationalrat bei den Daten über Massnahmen der sozialen Hilfe – neben Sozialhilfedaten sind davon auch solche über Sozialversicherungsmassnahmen bei Krankheit oder Unfall, Massnahmen der Vormundschaftsbehörden oder KESB, die fürsorgerische Unterbringung in psychiatrischen Kliniken, Ergänzungsleistungen und Prämienverbilligungen erfasst – auf die Linie des Bundesrates zurück und beliess sie im Katalog. Grünen-Vertreter Balthasar Glättli (gp, ZH) hatte zuvor mit Nachdruck klargemacht, dass deren Streichung für die Grünen und die SP ein Grund wäre, dem Gesetz die Zustimmung zu verweigern. Eine ähnliche Drohung sprach SVP-Fraktionssprecher Gregor Rutz aus, als die Einschränkung des Geltungsbereichs des DSG auf natürliche Personen zur Debatte stand: Einem Gesetz, das – anders als bisher – keinen Datenschutz für juristische Personen mehr vorsehe, werde man «nie im Leben» zustimmen können. Alle anderen Fraktionen befanden den Schutz für juristische Personen durch andere gesetzliche Bestimmungen jedoch als ausreichend und so glich der Nationalrat das DSG mit der Streichung des Schutzes juristischer Personen an die europäischen Regeln an. Bei der Frage der Anforderungen für das sogenannte Profiling zeichnete sich während der Diskussion ab, dass man an diesem Tag keine zufriedenstellende Lösung finden würde. Für jegliche Formen des Profilings, das die Aargauer Zeitung treffend als die «automatisierte Auswertung von Daten, mit denen bestimmte Merkmale einer Person bewertet werden, um etwa Vorhersagen über ihr künftiges Verhalten zu treffen» definierte, hatte der Bundesrat eine ausdrückliche Einwilligung der betroffenen Person voraussetzen wollen, wie sie auch zur Bearbeitung besonders schützenswerter Personendaten vorgesehen war. Da das geltende Recht so eine Regelung für das Erstellen von Persönlichkeitsprofilen umfasst, würde eine komplette Streichung der ausdrücklichen Einwilligung zum Profiling, wie es die Kommissionsmehrheit vorgeschlagen hatte, ein Rückschritt vom aktuellen Schutzniveau darstellen. In der Diskussion wurde mehrheitlich anerkannt, dass verschiedene Formen des Profilings unterschieden werden müssten, da es, wie es Balthasar Glättli erklärte, durchaus einen Unterschied mache, ob Profiling zur Erstellung von passenden Bücherempfehlungen, zur Abschätzung des Risikos für eine Versicherung oder zur Vorhersage der politischen Entscheidungen einer Person gebraucht werde. Der Bundesrat unterstützte folglich einen Einzelantrag Glättli, der eine ausdrückliche Einwilligung nur für ein Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person vorsah. Die Fraktionen der Grünen, SP und GLP unterstützten diesen Antrag ebenfalls, unterlagen jedoch der bürgerlichen Ratsmehrheit, die beim Vorschlag der Kommissionsmehrheit ohne besondere Anforderungen für das Profiling blieb. Der Nachhall der Diskussion war jedoch klar, dass sich der Ständerat noch einmal intensiv mit dieser Frage auseinandersetzen müsse.
Betreffend die Informationspflicht bei der Beschaffung von Personendaten, die Regeln für die Bekanntgabe von Personendaten ins Ausland, die Rechenschaftspflicht für datenbearbeitende Unternehmen über die Einhaltung des Datenschutzrechts sowie das Auskunftsrecht einer Person zu den über sie gesammelten oder bearbeiteten Daten lehnte die Volkskammer einige von der Kommissionsmehrheit vorgeschlagene Lockerungen ab und umschiffte somit ein paar der vielen Klippen im Hinblick auf den Angemessenheitsbeschluss der EU. Die vom Bundesrat eingefügten Regelungen über Daten von verstorbenen Personen erachtete der Rat jedoch als nicht notwendig und strich mit bürgerlicher Mehrheit alle entsprechenden Bestimmungen aus dem Gesetz. Ganz neu und weitgehend unbestritten verankerte der Nationalrat auf Vorschlag seiner Kommissionsmehrheit ein Recht auf Datenportabilität, das heisst auf Datenherausgabe und -übertragung, im Gesetz. Wie Bundesrätin Karin Keller-Sutter erklärte, habe der Bundesrat mit dieser Neuerung eigentlich noch zuwarten wollen, bis erste Erkenntnisse aus der konkreten Umsetzung dieses Rechts in der EU vorlägen; nichtsdestotrotz unterstützte er den Vorschlag der Kommissionsmehrheit, einen Anspruch jeder Person auf «die Herausgabe ihrer Personendaten in einem gängigen elektronischen Format oder sogar deren Übertragung auf einen anderen Verantwortlichen zu verlangen», wie Keller-Sutter das neue Recht erläuterte.
Zurückgehend auf eine entsprechende parlamentarische Initiative Leutenegger Oberholzer (sp, BL; Pa.Iv. 16.409) änderte die grosse Kammer das Wahlverfahren des EDÖB dahingehend, dass er neu von der Bundesversammlung gewählt und nicht mehr durch den Bundesrat ernannt und vom Parlament nur bestätigt werden sollte. Gleichzeitig wurden die Aufsichts- und Untersuchungskompetenzen des EDÖB bei Datenschutzverstössen gestärkt. Diese Änderung sei von wesentlicher Bedeutung im Hinblick auf den Angemessenheitsbeschluss der EU, wie Bundesrätin Keller-Sutter betonte, denn nach bisher geltendem Recht besitze der EDÖB nicht nur weniger Kompetenzen als die Datenschutzbehörden in Europa, sondern auch als andere Aufsichtsbehörden des Bundes, zum Beispiel die Finma oder die Weko. Bei den Strafbestimmungen legte der Nationalrat eine maximale Busse von CHF 250'000 für Datenschutzverstösse fest. Ein neuer Straftatbestand für die Nichteinhaltung der Mindestanforderungen an die Datensicherheit im Sinne einer Sorgfaltspflichtverletzung wurde von der bürgerlichen Ratsmehrheit jedoch nicht goutiert, was laut Bundesrätin Keller-Sutter für die EU-Angemessenheit problematisch sein könnte. Der letzte grosse Zankapfel der Vorlage verbarg sich in den Schlussbestimmungen, namentlich in der Frage zum Inkrafttreten des Gesetzes. Während die Kommissionsmehrheit das Inkrafttreten um zwei Jahre nach Annahme des Gesetzes beziehungsweise nach Verstreichen der Referendumsfrist verzögern wollte, beantragte eine Minderheit Humbel (cvp, AG), wie üblich den Bundesrat das Inkrafttreten bestimmen zu lassen. Eine solche Verzögerung sei bereits wegen der Schengen-relevanten Bestimmungen des Gesetzes ein Problem und daher nicht im Interesse der Wirtschaft, was das Argument der Kommissionsmehrheit gewesen war. Auf Empfehlung des Bundesrates und entgegen der geschlossenen SVP-Fraktion erteilte die grosse Kammer der zweijährigen Inkrafttretensfrist eine Absage.

In der Gesamtabstimmung nahm der Nationalrat das totalrevidierte Datenschutzgesetz mit 98 zu 68 Stimmen bei 27 Enthaltungen an. In den ablehnenden Stimmen spiegelte sich vor allem die Opposition der SVP gegen das Gesetz. Demgegenüber hatte sich die SP-Fraktion mehrheitlich enthalten und damit signalisiert, dass sie noch weitere Nachbesserungen erwartete. Wirklich zufrieden mit dem Gesetz in vorliegender Form war wohl niemand; in dieser Hinsicht sprach das Fazit von Kommissionssprecher Matthias Jauslin (fdp, AG) Bände: «Wir haben jetzt eine Vorlage, die aus Sicht der Kommission durchaus bearbeitbar ist.»