Die SPK-NR trat im Januar 2018 einstimmig auf die Revision des Datenschutzrechts ein, da es unbestritten notwendig sei, das schweizerische Datenschutzrecht an die gesellschaftlichen und technologischen Entwicklungen anzupassen. Teil dieser Vorlage war auch die Umsetzung der EU-Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts. Wie bei allen Weiterentwicklungen des Schengen-Besitzstandes hat die Schweiz auch für die Übernahme dieser Richtlinie zwei Jahre Zeit. In diesem Fall endet diese Frist am 1. August 2018. Angesichts der zeitlichen Dringlichkeit der Schengen-relevanten Anpassungen einerseits sowie der Komplexität und Tragweite der Datenschutzthematik andererseits entschied die Kommission mit 14 zu 8 Stimmen bei 2 Enthaltungen, die Vorlage in zwei Teile zu spalten, sodass zuerst zeitnah die Schengen-relevanten Anpassungen verabschiedet werden können und die Totalrevision des Datenschutzgesetzes anschliessend ohne Zeitdruck erfolgen kann. Die zur Umsetzung der Richtlinie erforderlichen Anpassungen waren in der Kommission weitgehend unbestritten, weshalb sie diese erste Etappe im April desselben Jahres einstimmig annahm. Die Minderheit sah hingegen keinen Nutzen in der Teilung der Vorlage und wird dem Nationalrat beantragen, das Geschäft an die Kommission zurückzuweisen, damit diese die Revision des Datenschutzrechts integral berät.

Ohne Gegenstimme und ohne Enthaltungen nahmen auch die 41 anwesenden Ständerätinnen und Ständeräte die vom Büro-NR vorgeschlagenen Gesetzesgrundlagen für zeitgemässere Informations- und Dokumentationsangebote für das Parlament an. Die Gesetzesrevision war nötig geworden, weil bei der Verknüpfung von Daten aus unterschiedlichen Angeboten neue Informationen oder schützenswerte Daten entstehen können. Gerade diese Verknüpfungen sind es aber, welche die Effizienz der Angebote erhöhen sollen. Am Ende der Frühjahrssession 2018 wurden sowohl das Bundesgesetz als auch die Verordnung in den Schlussabstimmungen beider Räte einstimmig gutgeheissen. Damit ist der Weg frei für Erschliessung, Verknüpfung und Auswertung verschiedener Datenbanken zum Zweck einer Digitalisierung des parlamentarischen Informations- und Dokumentationsangebots – freilich immer unter Berücksichtigung des Datenschutzes.

Die Motion der FDP-Fraktion, welche im Zusammenhang mit der Erarbeitung des E-ID-Gesetzes eine Reihe an Forderungen an den Bundesrat stellte, wurde in der Frühjahrssession 2018 auch vom Ständerat stillschweigend angenommen.

In der Wintersession beugte sich der Nationalrat über die vom Büro-NR vorgeschlagenen Gesetzesänderungen, die dabei helfen sollen, mit der Entwicklung der parlamentsinternen Informations- und Dokumentationsangebote Schritt halten zu können. Der Bundesrat hatte in der Zwischenzeit eine Stellungnahme abgegeben und die Vorschläge des Büros erweitert. Unter anderem regte die Regierung an, dass auch die Grundlage für einen gegenseitigen Austausch zwischen Datenbanken der Bundesverwaltung und solchen des Parlaments bzw. der Parlamentsdienste geschaffen werden solle. Balthasar Glättli (gp, ZH) machte als Sprecher des Büros ein konkretes Beispiel: Persönliche Vorstösse, die aufgrund der Zweijahresfrist abgeschrieben werden, müssten in der Verwaltung mühsam von Hand aussortiert werden, da eine Verknüpfung von CURIA VISTA mit Listen aus der Verwaltung heute eigentlich nicht erlaubt sei. Die Vorschläge des Büros wurden mit den entsprechenden Ergänzungen des Bundesrats vom Nationalrat einstimmig mit 182 zu 0 Stimmen (Bundesgesetz über die Bundesversammlung) bzw. 181 zu 0 Stimmen (Verordnung zum Parlamentsgesetz) angenommen. Enthaltungen gab es in beiden Fällen keine.

Die Schaffung eines Cybersecurity-Kompetenzzentrums auf Stufe Bund war im Ständerat kaum bestritten und auch im Vorfeld an die Plenardebatte in der grossen Kammer wurden die Zeichen auf grün gesetzt. Das auf eine Motion Eder (fdp, ZG) zurück gehende Anliegen fand einstimmige Unterstützung in der sicherheitspolitischen Kommission des Nationalrates. Sie kam nach Gesprächen mit Cybersicherheits-Fachpersonen aus der Bundesverwaltung sowie unter Berücksichtigung der bereits laufenden Arbeiten im Bereich der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) und dem entsprechenden Aktionsplan zum Schluss, dass die Motion unterstützt werden soll, denn tiefer greifende Koordination sei im Cyberbereich notwendig. Ein Kompetenzzentrum für Cybersicherheit sei hierzu der richtige Weg.
Kommissionssprecher Glättli (gp, ZH) präzisierte in seiner Einleitung zur Debatte, dass die MELANI nur über beschränkte Personalressourcen verfüge und zudem ihr Auftrag limitiert sei. MELANI, als verwaltungsinterne Koordinationsstelle auch für Cyberkriminalität zuständig, leiste gute Arbeit, so Glättli weiter, es bedürfe aber weiter reichender Kompetenzen für ein eigentliches Kompetenzzentrum. Der anwesende Bundesrat Maurer vertrat auch im Nationalrat die ablehnende Haltung des Siebnerkollegiums: Es werde bereits viel im Cyberbereich unternommen und diverse Expertengruppen würden bald ihre Arbeiten abschliessen. Insofern bat Maurer die Nationalrätinnen und Nationalräte, nicht vorzugreifen. Im Wesentlichen zielten die gegenwärtig angestossenen Prozesse in die gleiche Richtung, wie der Motionär vorgebe, und dies ohne Aufblähung der Verwaltung. Letzteres befürchtete Maurer, falls eine zusätzliche Verwaltungseinheit geschaffen werden müsste. Kommissionssprecher Glättli entgegnete hierauf, dass mit der Motion noch keine operativen Beschlüsse gefasst und die Ausgestaltung und Umsetzung eines solchen Cyber-Kompetenzzentrums Gegenstand weiterer Diskussionen sein würden.
Das Ratsplenum folgte seiner Kommission und hiess die Motion mit 177 zu 2 Stimmen ohne Enthaltungen deutlich gut.

Die Vernehmlassung zum E-ID-Gesetz zeigte, dass das Vorhaben, klare Regeln für einen staatlich anerkannten, überprüfbaren und eindeutigen digitalen Identitätsnachweis festzulegen, grundsätzlich begrüsst wird. Einzig die SVP lehnte das Vorhaben des Bundesrates ab. Wenn die E-ID nicht – wie von der SVP gewünscht – vom Staat herausgegeben werde, solle der Bund auch von jeglicher Verantwortung in Bezug auf die E-ID absehen und es allein dem Markt überlassen, welches System zur digitalen Identifizierung sich durchsetzen werde. Die Rolle des Staates war denn auch bei den anderen Vernehmlassungsteilnehmern der umstrittenste Punkt des Vorentwurfs. Der Bundesrat hatte vorgesehen, dass der Staat lediglich die Kernaufgaben bei der Ausstellung der digitalen Identität – also die amtliche Prüfung und Bestätigung der Existenz einer Person und ihrer Identitätsmerkmale – übernimmt, nicht jedoch die Entwicklung und Ausstellung der konkreten technologischen Träger der digitalen Identität. Diese Aufgaben sollen nicht-staatliche Anbieter übernehmen, die ihrerseits jedoch einem staatlichen Anerkennungsverfahren und regelmässigen Kontrollen unterliegen. Die vorgeschlagene Aufgabenteilung zwischen Staat und Markt war in vielen Stellungnahmen Gegenstand von Kritik. So sahen die BDP, die CVP, die Grünen und die Piratenpartei sowie sieben Kantone die Herausgabe der E-ID grundsätzlich als Staatsaufgabe, welche nicht – oder zumindest nicht im geplanten Ausmass – an Private übertragen werden sollte. Während die SP für einen Kompromissvorschlag zwischen einer vollständigen Auslagerung an die Wirtschaft und einer rein staatlichen Lösung plädierte, unterstützten die FDP und die GLP sowie 21 Kantone das Konzept des Bundesrates. Unter Berücksichtigung der Vernehmlassungsantworten wird das EJPD bis im Sommer 2018 eine Botschaft für das E-ID-Gesetz ausarbeiten. Der Bundesrat hat bereits angekündigt, an der im Vorentwurf enthaltenen Kooperation von staatlichen und nicht-staatlichen Akteuren festzuhalten. Seiner Ansicht nach könnten so einerseits die besten Voraussetzungen für eine praxistaugliche und konsumentenfreundliche Anwendung geschaffen und andererseits die nötige Flexibilität für technologische Veränderungen erreicht werden.

Da mit der Verbesserung der informationellen Selbstbestimmung das zentrale Anliegen der beiden parlamentarischen Initiativen Vischer (gp, ZH; Pa.Iv. 14.413) und Derder (fdp, VD; Pa.Iv. 14.434) voraussichtlich im Zuge der Totalrevision des Datenschutzgesetzes umgesetzt werden soll, verzichtete die zuständige SPK-NR vorerst auf eine eigene gesetzgeberische Tätigkeit. Sie wollte zuerst die Botschaft des Bundesrates zum Datenschutzgesetz abwarten. Im August 2017 musste die Kommission nun entscheiden, was mit den zwei Jahre zuvor gutgeheissenen Vorstössen geschehen soll. Die mit Stichentscheid des Präsidenten Heinz Brand (svp, GR) äusserst knapp zustande gekommene Kommissionsmehrheit plädierte für eine zweijährige Fristverlängerung bei beiden Vorstössen. Die SPK-NR werde als zuständige Kommission für Datenschutz auch das Datenschutzgesetz vorberaten und damit die Möglichkeit haben, allenfalls nicht berücksichtigte Forderungen der Initiativen als Anträge einzubringen. Danach könnten die beiden Initiativen abgeschrieben werden. Anstelle der Fristverlängerung beantragte die Kommissionsminderheit die Abschreibung der beiden Vorstösse, da Art. 13 BV (Schutz der Privatsphäre) bereits den Schutz der persönlichen Daten umfasse, womit die Initiativen obsolet seien. Diese Argumentation von Minderheitssprecher Philippe Nantermod (fdp, VS) überzeugte in der Herbstsession 2017 auch die Mehrheit im Nationalrat: Mit 118 zu 76 Stimmen sprach sich die grosse Kammer für Abschreiben der beiden parlamentarischen Initiativen aus.

Mit einer im März 2017 eingereichten Motion wollte die FDP-Fraktion die elektronische Identität und damit auch den landesweiten Bürokratieabbau vorantreiben. Sie stellte in dem Vorstoss drei konkrete Forderungen an den Bundesrat, die er bei der Erarbeitung des E-ID-Gesetzes berücksichtigen soll. Damit die Systeme vielseitig einsetzbar sind, soll erstens die Interoperabilität durch offene Schnittstellen – beispielsweise zum Identitätsverbund Schweiz, zu den Kantonen und Gemeinden, aber auch zum Ausland – gewährleistet werden. Zweitens soll der Bundesrat Sicherheitsstandards für die Dienstleistungsanbieter definieren und als Kontrollinstanz deren Einhaltung überwachen. Da die elektronische Identität echten Nutzen für Privatpersonen, Unternehmen und den Bund mit sich bringe, sei dem Projekt drittens die entsprechende Priorität einzuräumen, sowohl im Hinblick auf eine zeitnahe Umsetzung als auch bezüglich einer sichergestellten Finanzierung der verwaltungsinternen Vorleistungen. In der Herbstsession 2017 behandelte der Nationalrat den Vorstoss, der von der SVP-Fraktion mit dem Argument bekämpft wurde, dass der Staat bei der Herausgabe der elektronischen Identität nicht nur eine Kontrollfunktion innehaben, sondern diese als hoheitliche Aufgabe selbst übernehmen sollte. Nachdem Bundesrätin Simonetta Sommaruga jedoch versichert hatte, dass diese Motion keinen Einfluss auf die Frage nach der staatlichen oder privaten Einführung der elektronischen Identität habe, wurde die Bekämpfung eingestellt und die Motion stillschweigend angenommen.

Die Totalrevision des Datenschutzgesetzes (DSG) verfolgt gemäss der Mitte September 2017 verabschiedeten Botschaft des Bundesrates hauptsächlich zwei Ziele: Erstens sollen die der rasanten technologischen Entwicklung in jüngster Zeit geschuldeten Schwächen des bestehenden Gesetzes behoben werden und zweitens soll das revidierte Gesetz den diesbezüglichen Entwicklungen im Europarat und in der EU Rechnung tragen. Im Rahmen der Revision ihres Datenschutzrechts erliess die EU u.a. die Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts, die auch Teil des Schengen-Acquis ist. Die DSG-Revisionsvorlage soll daher die Anforderungen der genannten EU-Richtlinie übernehmen, um sicherzustellen, dass die Schweiz ihre Schengen-Verpflichtungen wahrnehmen kann. Der Europarat erarbeitete indes ein Protokoll zur Revision des Übereinkommens SEV 108 zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten, womit das schweizerische DSG nach der Revision ebenfalls vereinbar sein soll. Aus Sicht des Bundesrates bilden die Ratifikation dieses Übereinkommens einerseits und die Annäherung an das Datenschutzrecht der EU andererseits die zentralen Voraussetzungen dafür, dass die Europäische Kommission der Schweiz weiterhin ein angemessenes Datenschutzniveau attestiert. Vor allem für die Schweizer Wirtschaft ist dieser sogenannte Angemessenheitsbeschluss von zentraler Bedeutung, da die Schweiz in allen Bereichen, die nicht der Schengen-Zusammenarbeit unterstehen, von der EU als Drittstaat angesehen wird und ein Datenaustausch zwischen EU-Mitgliedstaaten und Drittstaaten nur erlaubt ist, wenn Letzterer ein angemessenes Datenschutzniveau gewährleistet.
Zu den wichtigsten inhaltlichen Änderungen im DSG zählt neben dem Verzicht auf den Schutz der Daten juristischer Personen eine grundsätzliche Informationspflicht bei der Datenbeschaffung für alle Bearbeitungen durch Private, um die Transparenz der Datenbearbeitung generell zu verbessern. Überdies soll bei den für die Datenbearbeitung Verantwortlichen über entsprechende, von den Branchen erarbeitete Verhaltenskodizes die Selbstregulierung gefördert werden. Auch der EDÖB soll in seiner Position und Unabhängigkeit gestärkt werden und neu wie seine europäischen Amtskollegen Untersuchungen gegenüber Datenbearbeitern eröffnen sowie Verfügungen erlassen können. Letztlich sollen auch die Strafbestimmungen gegenüber heute verschärft werden. Zur Umsetzung der EU-Richtlinie 2016/680 umfasst die Vorlage zusätzlich Anpassungen in weiteren Gesetzen, namentlich im Strafgesetzbuch, in der Strafprozessordnung, im Rechtshilfegesetz sowie im Schengen-Informationsaustauschgesetz.
Mit seinem Entwurf kam der Bundesrat vor allem der Wirtschaft entgegen, die in der Vernehmlassung Kritik an der weitgehenden Regulierung geübt hatte. So wurde nun auf ein «Swiss Finish» verzichtet; d.h. es sind keine Anpassungen vorgesehen, die über den EU-Standard hinausgehen. Insbesondere das Sanktionensystem kommt im Vergleich zur Vernehmlassung abgeschwächt daher, soll die maximale Busse doch nur noch CHF 250'000 und nicht wie ursprünglich vorgeschlagen CHF 500'000 betragen. In den Augen des SGV sind die Bussen dennoch zu hoch und die Position des EDÖB zu stark. Der EDÖB Adrian Lobsiger selbst zeigte sich im Grossen und Ganzen zufrieden mit dem Entwurf des Bundesrates und bedauerte einzig, dass ihm nicht die Kompetenz zugestanden wird, ohne Strafprozess direkt Bussen zu verhängen.

Die Informations- und Dokumentationsangebote des Parlaments und der Parlamentsdienste werden dauernd weiterentwickelt. Zu nennen sind dabei etwa die Plattform CURIA VISTA, auf der sämtliche parlamentarische Beratungsgegenstände erfasst werden; ELAN und ELAS, mit denen die Ratsabstimmungen aufgezeichnet werden; die Dokumentation der Ratsdebatten via VERBALIX; Presseschauen, die mittels MEMO erzeugt werden können; eine Zusammenfassung von Fachartikeln via LIBERO oder der Zugang zu E-Papers via SESAME. Diese Angebote dienen Parlamentarierinnen und Parlamentariern als wichtige Informations- und Analysequellen. Die Parlamentsdienste können auf deren Basis Informationen und Dokumentationen für interessierte Nutzerinnen und Nutzer zusammenstellen. Die Kombination und Verknüpfung der einzelnen Angebote untereinander, aber auch mit anderen Datenbanken, eröffnet zahlreiche Möglichkeiten zu noch stärker ausgebauter Information. So wurde etwa mit CUBE ein neues System entwickelt, mit dem sich quantitative Analysen zur Tätigkeit des Parlaments erstellen lassen; oder mit dem System SOPRANO soll dereinst durch Abgleich von Presseartikeln und Parlamentstätigkeit ein eigentliches politisches Monitoring vorgenommen werden können.
Weil mit den neuen technologischen Entwicklungen einerseits auch schützenswerte Personendaten bedroht sein könnten und die Organe der Bundesversammlung andererseits die Entwicklungen selber mitsteuern können möchten, regte die Verwaltungsdelegation Änderungen im Parlamentsrecht und in der Parlamentsverordnung an. Diese Anregung wurde im November 2016 vom Büro-NR als parlamentarische Initiative formuliert, welcher die Schwesterkommission Anfang Februar 2017 zustimmte.
In einem Bericht legte das Büro-NR im August Vorschläge für entsprechende Gesetzesänderungen vor. Auswertungen von Persönlichkeitsprofilen sollen ermöglicht werden. Die Koordinationskonferenz soll zudem die Kompetenz erhalten, Umfang und Empfänger solcher Auswertungen festzulegen und so Entwicklungen zu begleiten und zu steuern.

Die Vernehmlassung zur Totalrevision des Datenschutzgesetzes (DSG) und zur Änderung weiterer Erlasse zum Datenschutz umfasste neben diesem Hauptentwurf auch einen Entwurf für einen Bundesbeschluss betreffend die Genehmigung und Umsetzung des Notenaustausches zwischen der Schweiz und der EU zur Übernahme der Richtlinie (EU) 2016/680 sowie einen Entwurf für die Revision des Übereinkommens SEV 108 des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. Im Zentrum des Gesetzgebungsprojektes stehen die Verbesserung der Transparenz von Datenbearbeitungen, die Förderung der Selbstregulierung bei den Verantwortlichen in Form von Empfehlungen der guten Praxis sowie die Stärkung der Position und Unabhängigkeit des EDÖB. Im Einklang mit den europäischen Datenschutzbestimmungen soll darüber hinaus der Schutz von Daten juristischer Personen aufgehoben werden, um insbesondere den Datenaustausch mit dem Ausland zu erleichtern. Einige Anforderungen der EU-Richtlinie 2016/680 erfordern ausserdem Anpassungen im Strafgesetzbuch, in der Strafprozessordnung, im Rechtshilfegesetz und im Schengen-Informationsaustauschgesetz.
Unter den insgesamt 222 Vernehmlassungsteilnehmerinnen und -teilnehmern befanden sich alle Kantone, acht politische Parteien (BDP, CVP, FDP, GLP, GP, SP, SVP, PP), drei eidgenössische Gerichte (Bundesgericht, Bundespatentgericht, Bundesverwaltungsgericht) sowie zahlreiche weitere Organisationen aus den betroffenen Kreisen. Während die Übernahme der EU-Richtlinie 2016/680 sowie der Anforderungen im SEV 108 unumstritten waren, wurde die Revision des DSG und weiterer Erlasse zum Datenschutz von der Mehrheit der Vernehmlasserinnen und Vernehmlasser im Grundsatz ebenfalls begrüsst. Vielerseits gelobt wurde beispielsweise das Vorhaben, das schweizerische Datenschutzrecht so weit an die europäischen Vorgaben anzupassen, dass die Schweiz von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt wird. Vorbehalte bestanden jedoch gegenüber dem – insbesondere für KMU – grossen Verwaltungsaufwand sowie gegenüber dem «Swiss Finish»: Rund die Hälfte der Teilnehmenden bemängelte, dass der Entwurf unnötigerweise über die europäischen Anforderungen hinaus gehe. Demgegenüber ging er rund einem Fünftel der Teilnehmenden – hauptsächlich aus Konsumentenschutzkreisen – zu wenig weit. Auf harsche Kritik von verschiedensten Seiten stiess das vorgesehene Sanktionensystem. Laut Bericht wünschten sich «sehr viele Teilnehmer» dessen «vollständige Überarbeitung», darunter BDP, CVP, FDP, GP und SP, 18 Kantone sowie Economiesuisse, der Verein Unternehmens-Datenschutz, die FRC, Privatim und die Stiftung für Konsumentenschutz. Hauptsächlich wurde kritisiert, dass keine direkte Strafbarkeit für Unternehmen vorgesehen ist, sondern strafrechtliche Sanktionen, die in erster Linie auf natürliche Personen ausgerichtet sind. In diesem Zusammenhang herrschte die Befürchtung, es könnten einfache Angestellte ohne Entscheidungs- und Vertretungsbefugnis verurteilt werden. Dies wiederum erschwere es den Unternehmen, qualifiziertes und motiviertes Personal – insbesondere Datenschutzverantwortliche – zu rekrutieren. Der häufigste Änderungsvorschlag zielte daher auf ein Modell mit Verwaltungssanktionen anstatt Strafverfahren, die direkt gegen die Unternehmen und nicht gegen Privatpersonen verhängt werden könnten. Verwaltungssanktionen, so die Hoffnung, hätten eine grössere Wirksamkeit als das bislang für die Strafbestimmungen im DSG nur selten angewandte Strafverfahren. Weitere umstrittene Punkte waren auch die Höhe der Bussen – welche einerseits als zu hoch und andererseits als zu niedrig kritisiert wurde – sowie der Katalog der strafbaren Verhaltensweisen, welcher ebenfalls wahlweise als unvollständig bzw. zu umfangreich bezeichnet wurde. Kritisiert wurden des Weiteren auch die mangelhafte Regulierungsfolgeabschätzung und die fehlenden Ausführungen zum Verhältnis zwischen dem Datenschutzrecht des Bundes und jenem auf kantonaler Ebene. Hierzu äusserten auch die Kantone Glarus, Solothurn und Zürich Bedenken, dass die Frist für die Anpassung des kantonalen Rechts zu kurz bemessen sei. Die SVP, die Kantone Schwyz und Waadt sowie einige betroffene Kreise – darunter der AGVS, Auto Schweiz, die FER, PharmaSuisse, Santésuisse sowie der VSV – lehnten den Vorentwurf in der vorliegenden Form ausdrücklich ab, befanden sich damit jedoch klar in der Minderheit aller Vernehmlassungsteilnehmenden.

In der Frühjahrssession 2017 behandelte der Nationalrat als Erstrat die Revision des Bundesgesetzes über die Unternehmens-Identifikationsnummer (UID). Dem BFS soll damit die Kompetenz gegeben werden, neben der inländischen UID auch den internationalen „legal entity identifier“ (LEI) zu vergeben. Der Entwurf des Bundesrates stiess in allen Punkten auf breite Unterstützung. Der Rat folgte mit grosser Mehrheit den einzigen zwei Änderungsanträgen seiner Kommissionsmehrheit und ergänzte die Vorlage an zwei Stellen dahingehend, dass der LEI von den Unternehmen (sog. UID-Einheiten) ausdrücklich beantragt werden muss. Dieses Vorgehen war vom Bundesrat ohnehin so vorgesehen worden, kam aber nach Meinung des Nationalrates im Gesetzesentwurf zu wenig deutlich zum Ausdruck. Einstimmig schickte die grosse Kammer die Vorlage an den Ständerat. Dieser stimmte der ersten Ergänzung des Nationalrates zu, die bekräftigt, dass das BFS einem Unternehmen nur auf Verlangen einen LEI zuweist. Die zweite von der grossen Kammer vorgenommene Anpassung sah der Ständerat jedoch als missverständlich, da die Ergänzung an jener Stelle den Eindruck erwecken könne, der LEI könne auch anders als auf Verlangen der Unternehmen zugeteilt werden. Eine solche Möglichkeit besteht jedoch nicht, weshalb der Ständerat diese Änderung verwarf und den Entwurf dann ebenfalls einstimmig guthiess. In der Schlussabstimmung im Sommer 2017 wurde das revidierte Gesetz vom Nationalrat mit einer Gegenstimme (Grunder, bdp, BE) und vom Ständerat einstimmig angenommen.

Der Bundesbeschluss über die Erneuerung der Systemplattform Biometriedatenerfassung mit dem darin enthaltenen Verpflichtungskredit von CHF 33 Mio. stand im Frühling 2017 auf der Agenda des Nationalrats. Als einzigen Änderungsantrag brachte seine Staatspolitische Kommission einen zusätzlichen Absatz ein, demnach Offerten im Rahmen des Möglichen vor allem von Schweizer Unternehmen einzuholen sind und die Vergabekriterien so ausgestaltet werden müssen, dass insbesondere Schweizer Unternehmen berücksichtigt werden können. Kommissionssprecher Balthasar Glättli (gp, ZH) betonte, die Ergänzung werde „nicht aus irgendwelchen Gründen des Heimatschutzes wirtschaftlicher Art, sondern aus Gründen der Sicherheit“ gewünscht, da es sich bei biometrischen Daten um besonders schützenswerte Daten handle. Die so abgeänderte Vorlage wurde mit 180 Ja- zu 5 Nein-Stimmen aus der SVP-Fraktion gutgeheissen.

In der Sommersession 2017 behandelte der Ständerat das Geschäft und strich den vom Nationalrat eingefügten Artikel wieder aus dem Entwurf, wie es ihm seine Kommission beantragt hatte. Kommissionssprecher Peter Föhn (svp, SZ) erklärte, das Vorhaben müsse sowieso WTO-konform ausgeschrieben und vergeben werden, weshalb diese Bestimmung nichts bringe. Einstimmig nahm der Ständerat den Bundesbeschluss, der jetzt wieder dem bundesrätlichen Entwurf entsprach, an.

Die Mehrheit der SPK-NR stellte sich weiterhin hinter den Passus, der Schweizer Unternehmen bevorzugen will, und beantragte ihrem Rat Festhalten. Eine Minderheit sah die Datensicherheit jedoch auch bei Berücksichtigung eines fremden Anbieters gewährleistet und wollte sich dem Beschluss des Ständerates anschliessen. Bundesrätin Sommaruga führte aus, dass gemäss einer zwischenzeitlich durchgeführten Risikoanalyse kein Risiko einer nachrichtendienstlichen Ausspähung dieser Daten bestehe, und wies darauf hin, dass eine Bevorzugung schweizerischer Unternehmen vor den WTO-Regeln nur gerechtfertigt werden könnte, wenn diese der Verhinderung oder Minimierung eines solchen Risikos diene. Mit 98 zu 66 Stimmen bei 4 Enthaltungen hielt der Nationalrat an seinem Beschluss fest.

Es war schliesslich der Ständerat, der einlenkte und dem Beschluss des Nationalrates stillschweigend zustimmte. Dies jedoch nicht, weil er von der nationalrätlichen Lösung überzeugt war, sondern weil der Zeitplan keinen weiteren Aufschub dieses Geschäfts duldete. Kommissionssprecher Föhn erläuterte, dass im Falle einer weiteren Behandlung dieses Geschäftes in der nächsten Session die fliessende Ablösung des Systems gefährdet werden könnte, was Kosten in Millionenhöhe verursachen würde. Ausserdem sei es „Hans was Heiri“, ob man diese Bestimmung aufnehme oder nicht, da die Beschaffung ohnehin WTO-konform erfolgen müsse. Andrea Caroni (fdp, AR) gab abschliessend noch zu Protokoll, dass man bei der künftigen Ratsplanung solche Eventualitäten vorsehen möge, damit auf politisch bessere Lösungen nicht verzichtet werden müsse, nur weil der Zeitplan nicht passe. Damit ist der Gesamtkredit von CHF 33 Mio. bewilligt und die erste Etappe von CHF 14,3 Mio. zur Konzeption und Realisierung der Systemplattform freigegeben. Die zweite Etappe von CHF 18,7 Mio. für den Kauf von Geräten, den Rollout und die Einführung wird der Bundesrat zu gegebener Zeit freigeben.

In der digital vernetzten Welt, in der wir leben, müsse auch die öffentliche Verwaltung die Chancen der Digitalisierung nutzen und Doppelspurigkeiten bei der Datenerhebung beseitigen, forderte die FDP-Fraktion in einer Motion. Unternehmen sollen von Statistik- und Kontrollaufwand entlastet werden, indem sie nicht die gleichen Informationen an verschiedene Behörden liefern müssen. Aus diesem Grund soll der Bundesrat dafür sorgen, dass die Koordination zwischen dem Bundesamt für Statistik und den anderen Bundesämtern sowie Kantons- und Gemeindebehörden verbessert wird. In seiner Stellungnahme erachtete der Bundesrat die Stossrichtung der Motion als mit den Zielen der Strategie Digitale Schweiz und der E-Government-Strategie vereinbar. Er teile das Anliegen, den Aufwand bei der Abwicklung von Behördengeschäften zu reduzieren, und beantragte die Motion folglich zur Annahme. Nachdem die Motion vom Nationalrat im März 2017 diskussionslos angenommen worden war, stimmte ihr im Sommer auch der Ständerat auf Antrag seiner einstimmigen WBK stillschweigend zu.

Mit der Annahme eines Postulates Reynard (sp, VS) beauftragte der Nationalrat den Bundesrat, Möglichkeiten zu prüfen, wie Daten zu Diskriminierungen aufgrund sexueller Orientierung oder Geschlechtsidentität erhoben werden könnten. Ein spezielles Augenmerk soll auch auf Mehrfachdiskriminierungen geworfen werden. Da Yves Nidegger (svp, GE) den Vorstoss bekämpfte, stellte sich die geschlossene SVP-Fraktion gegen das Anliegen und Roland Rino Büchel (svp, SG) brachte in der Diskussion ein Beispiel aus Schottland ein, das ihm Angst mache: In einer Primarschule gebe es nur noch eine Art Toiletten, weil die Kinder sich sonst entscheiden müssten, wohin sie gehen sollen. Daran anknüpfend richtete er die Frage an Bundesrätin Sommaruga, welche das Anliegen im Namen des Gesamtbundesrates unterstützte: „Können Sie bestätigen, dass wir uns nicht so wahnsinnig verhalten wie die Schotten?“ Es gehe ja nur darum, sich die Frage der Diskriminierung überhaupt einmal anzuschauen, und Hinschauen, das sei die Aufgabe des Bundesrates, führte Sommaruga aus. Mit 116 zu 73 Stimmen wurde das Postulat in der Sommersession 2017 überwiesen.

Die Motion der FDP-Fraktion „Gegen Doppelspurigkeiten im Datenschutz“ brachte, nachdem sie im Dezember 2016 vom Nationalrat stillschweigend angenommen worden war, auch im Ständerat keinen Diskussionsbedarf mit sich. Die SPK-SR erwägte in ihrer Vorberatung einzig, dass sie sich den Ausführungen des Bundesrates anschliesse und beantragte einstimmig die Annahme der Motion. In der Frühjahrssession 2017 hiess die Ständekammer den Vorstoss diskussionslos gut. Der Bundesrat muss nun mit der EU Sondierungsgespräche über Zuständigkeiten im Datenschutz aufnehmen.

Mit einer Motion forderte Claude Béglé (cvp, VD), dass bei der Revision des Datenschutzgesetzes zwei geltende Gesetzesbestimmungen beibehalten werden. Es handelt sich dabei einerseits um den Schutz von Personendaten juristischer Personen und andererseits um die Möglichkeit für Unternehmen, ihre Datensicherheit durch unabhängige Zertifizierungsstellen bewerten zu lassen. Béglés Ziel war, die Schweiz als universellen virtuellen Datentresor zu positionieren, um eine Führungsrolle in der weltweiten Datenspeicherung zu übernehmen. Durch die Gewährleistung eines hohen Datenschutzniveaus erhoffte sich der Motionär, dass ein „Ökosystem“ aus innovativen Unternehmen im Datenverarbeitungsbereich in der Schweiz entsteht. Der Bundesrat führte in seiner Stellungnahme zum ersten Punkt der Motion aus, dass er im revidierten Datenschutzgesetz gerade auf den Schutz von Personendaten juristischer Personen verzichten wolle. Damit werde der grenzüberschreitende Datenverkehr verbessert und zudem werde dem Stand des europäischen Datenschutzrechts – sowohl im Rahmen des Europarats als auch im Rahmen der EU – Rechnung getragen. Den zweiten Punkt beantragte der Bundesrat zur Annahme, da er nicht vorhabe, die Möglichkeit der Zertifizierung infrage zu stellen. Dementsprechend lehnte der Nationalrat im September 2016 den ersten Punkt der Motion ab und nahm die zweite Ziffer an. Im Februar 2017, als der Ständerat über den zweiten Punkt der Motion befinden sollte, war die Vernehmlassung zum revidierten Datenschutzgesetz bereits eröffnet worden. Die kleine Kammer lehnte das Anliegen demnach ab, da das Parlament im Zuge der Beratungen der DSG-Revision ohnehin die Möglichkeit haben werde, die Forderung zu prüfen.

Am 22. Februar 2017 eröffnete der Bundesrat die Vernehmlassung zu einem Bundesgesetz über anerkannte elektronische Identifizierungseinheiten (E-ID-Gesetz). Das Ziel dieses Gesetzgebungsprojektes ist es, Geschäfts- und Verwaltungsprozesse im Internet effizienter zu machen. Identifizierungsmittel im Sinne dieses Gesetzes sollen von geeigneten privaten oder öffentlichen, vom Bund anerkannten Dienstleistern herausgegeben werden können. Dabei könnte für den Bund auch die Möglichkeit geschaffen werden, bereits existierende Systeme wie etwa die Projekte von Post und SBB, von Banken und der Swisscom, anzuerkennen. Bezüglich der Sicherheitsanforderungen soll je nach Art des Geschäftsfalles zwischen den drei Sicherheitsniveaus «niedrig», «substanziell» und «hoch» unterschieden werden. Die Betreiber der Online-Dienste sollen jeweils selber entscheiden, welches Sicherheitsniveau für ihren Dienst erforderlich ist. Bei elektronischen Behördendienstleistungen sollen jeweils die einschlägigen gesetzlichen Grundlagen das erforderliche Niveau festlegen. Vorgesehen ist zudem, dass die staatlich anerkannten Anbieter die nötigen Personenidentifizierungsdaten aus den relevanten Datenbanken des Bundes erhalten. Für diese Übermittlung müssten die betroffenen Personen ihre ausdrückliche Zustimmung geben und eine Gebühr entrichten, welche zur Finanzierung der zwei neu zu schaffenden Bundesstellen – der Identitätsstelle und der Anerkennungsstelle – verwendet würde. Die Ausstellung einer solchen elektronischen Identität soll einerseits für Schweizer Bürgerinnen und Bürger und andererseits für Ausländerinnen und Ausländer mit einem gültigen Ausländerausweis möglich sein.

Um den Datenschutz zu stärken und an veränderte technologische und gesellschaftliche Verhältnisse anzupassen, soll das Bundesgesetz über den Datenschutz (DSG) totalrevidiert werden. Das revidierte Gesetz soll insbesondere auch die grenzüberschreitende Datenübermittlung weiterhin sicherstellen, indem es die Grundlagen für eine Schweizer Ratifikation der Datenschutzkonvention des Europarates sowie für die Übernahme der EU-Richtlinie über den Datenschutz im Bereich der Strafverfolgung schafft. Ende 2016 schickte der Bundesrat einen entsprechenden Vorentwurf in die Vernehmlassung, welche bis zum 4. April 2017 läuft.

Die Fraktion der FDP befürchtete, dass es im Nachgang der Revision des Bundesgesetzes über den Datenschutz sowie des Inkrafttretens der EU-Datenschutzgrundverordnung zu Doppelspurigkeiten im Datenschutz kommen werde, weil die Datenschutzaufsichten der EU und der Schweiz nicht aufeinander abgestimmt seien. Wenn in der Schweiz niedergelassene Personen Daten von Personen bearbeiten, die sich in der EU befinden, fällt diese Datenbearbeitung auch in den Anwendungsbereich der EU-Verordnung. Dadurch unterstünden Schweizer Unternehmen mit Kunden im EU-Raum nicht mehr nur der Aufsicht des EDÖB, sondern auch jener aller betroffenen EU-Datenschutzbehörden, was gerade in puncto Meldepflichten einen erheblichen, unnötigen Mehraufwand mit sich bringe. In einer Motion forderte die FDP-Fraktion den Bundesrat auf, mit der EU Sondierungsgespräche zu führen mit dem Ziel, die Anwendung des jeweils geltenden Datenschutzrechts zu koordinieren. Der Bundesrat betonte in seiner Stellungnahme, dass eine effiziente Zusammenarbeit in diesem Bereich sowohl im Interesse der Schweizer Behörden als auch der Behörden der EU liegen müsse und signalisierte auch seine Bereitschaft zur Aufnahme solcher Sondierungsgespräche mit der EU. Im Nationalrat erfuhr der Vorstoss in der Wintersession 2016 stillschweigende Zustimmung.

Das BFS soll künftig den einheitlichen internationalen Identifikator für an den Finanzmärkten teilnehmende Einheiten LEI ("Legal Entity Identifier") vergeben können. Der Bundesrat verabschiedete im Dezember 2016 eine entsprechende Botschaft für eine Revision des Bundesgesetzes über die Unternehmens-Identifikationsnummer (UID). Dabei soll in einem ersten Schritt den Finanztransaktionen vornehmenden Rechtseinheiten analog zur UID ein einheitlicher Identifikator zugewiesen werden. Als weiteres Ziel wird eine konsolidierte Datenbank angestrebt, mit deren Hilfe die Finanzbeziehungen zwischen den Einheiten aufgezeigt und potenzielle Risiken analysiert werden können. Bis jetzt kommt der LEI in der Schweiz bei Meldepflichten im Derivatehandel gemäss dem am 1. Januar 2016 in Kraft getretenen FinfraG zum Einsatz. Schweizer Unternehmen mussten den Identifikator bisher jedoch im Ausland anfordern.

In der Herbstsession 2016 überwies der Nationalrat stillschweigend zwei Postulate Béglé (cvp, VD) zum Thema Datenschutz. Das erste (Po. 16.3384) fordert den Bundesrat auf, Wege zu suchen, um im revidierten Datenschutzgesetz eine geschützte, transparente und zielgerichete Datenerhebung, insbesondere bei medizinischen Daten, sicherzustellen. So könnte beispielsweise das Prinzip der „tatsächlichen Einwilligung“ für besonders schützenswerte Daten die heute gebräuchliche Alibi-Einwilligung ersetzen und damit Transparenz für die Patientinnen und Patienten schaffen. Das zweite Postulat (Po. 16.3386) gibt dem Bundesrat den Auftrag, Möglichkeiten zur Förderung der informationellen Selbstbestimmung aufzuzeigen. Durch einen Paradigmenwechsel von „big data“ zu „self-data“ sollen die Bürgerinnen und Bürger die Kontrolle über ihre persönlichen Daten wiedererlangen, indem sie auf ihre Daten frei zugreifen und diese nach eigenem Ermessen weiterverwenden dürfen.

Voraussichtlich im Jahr 2020 soll nach einer Laufzeit von zehn Jahren die Systemplattform Biometriedatenerfassung erneuert werden. Die Biometriedatenerfassung kommt in den kantonalen Pass- und Migrationsämtern sowie den Schweizer Vertretungen im Ausland für den Schweizer Pass, die biometrischen Ausländerausweise, Reisedokumente für ausländische Personen und für Visa zur Anwendung. Mit seiner im September 2016 verabschiedeten Botschaft beantragt der Bundesrat einen Gesamtkredit von CHF 33 Mio. sowie die Freigabe von CHF 14,3 Mio. für die Realisierung der ersten Etappe, welche die Erneuerung der Biometrieerfassungsplattform beinhaltet. Die nächste Etappe zum Kauf der Systeme sowie deren Einführung bei EDA, EJPD und EFD wird der Bundesrat nach Vorliegen entprechender Ergebnisse bei den notwendigen Systemanpassungen und -erweiterungen freigeben.

Eine gesamtschweizerische Datenerhebung der Stimmbeteiligung nach soziodemographischen Aspekten wird es in nächster Zeit wohl nicht geben. Die entsprechende, ursprünglich von Aline Trede (gp, BE) eingereichte und von Balthasar Glättli (gp, ZH) übernommene Motion wurde abgeschrieben. Die Idee, eine Datenerhebung bei Abstimmungen einzuführen, war aufgrund der virulenten Diskussionen um die Altersverteilung bei der Abstimmung zur Masseneinwanderungsinitiative geboren worden. Nachbefragungen waren damals davon ausgegangen, dass junge Stimmbürgerinnen und Stimmbürger in grossem Umfang der Urne ferngeblieben waren. Aufgrund von Analysen anonymisierter Stimmzettel aus dem Kanton Genf und in der Stadt St. Gallen wurde diese Annahme allerdings hinterfragt. In der Zwischenzeit wurden mit diesen Stimmzetteln einige wissenschaftliche Analysen durchgeführt, die zu teilweise neuen Erkenntnissen führten. So zeigte sich etwa in Genf, aber auch in der Stadt St. Gallen, dass sich über eine längere Zeitspanne hinweg bis zu 75% aller Bürgerinnen und Bürger, zumindest selektiv, an Abstimmungen beteiligen.

Das Strafregistergesetz befand sich im Sommer 2016 in der Differenzbereinigung. Den Ständerat beschäftigten dabei hauptsächlich die Fragen, wie mit Einstellungsverfügungen umzugehen ist und welcher Deliktskatalog zu einem lebenslangen Eintrag im Strafregister führen soll. In Bezug auf die Einstellungsverfügungen beantragte die ständerätliche Rechtskommission, dem Nationalrat zu folgen und solche Verfügungen auch nicht in Ausnahmefällen ins Strafregister aufzunehmen. Damit gewichtete sie die Unschuldsvermutung höher als das Interesse der Strafverfolgungsbehörden an der Vorgeschichte eines Täters. Mit 40 zu einer Stimme schloss sich die kleine Kammer ihrer Kommission und dem Nationalrat an und schloss damit aus, dass in bestimmten Fällen Einstellungsverfügungen in VOSTRA erfasst werden. Bei den Delikten, die zu lebenslangen Strafregistereinträgen führen sollen, konnte sich nur eine Kommissionsminderheit für den vom Nationalrat definierten Katalog aus schweren Gewalt- und Sexualverbrechen begeistern. Die Kommissionsmehrheit wollte an der Version des Bundesrates festhalten und nur Urteile zu lebenslänglichen Haftstrafen bis zum Tod im Strafregister belassen. Der vom Nationalrat definierte Deliktkatalog enthalte Delikte unterschiedlicher Schwere und sei willkürlich zusammengestellt, argumentierte Bundesrätin Simonetta Sommaruga. Die Mehrheit des Rates liess sich jedoch davon überzeugen, dass schwere Gewaltdelikte aufgrund ihrer Schwere und Sexualdelikte aufgrund der Rückfallgefahr bis zum Tod der betreffenden Person für die Strafverfolgungsbehörden in VOSTRA einsehbar sein sollten. Mit 29 zu 14 Stimmen gewichtete die kleine Kammer das Interesse der Strafverfolgungsbehörden höher als das Recht auf Vergessen und räumte auch diese Differenz zum Nationalrat aus.
Der Nationalrat hatte in der Folge noch über einige redaktionelle Differenzen zu entscheiden, welche er stillschweigend annahm. In der Schlussabstimmung stimmte die grosse Kammer dem neuen Strafregistergesetz mit 127 zu 48 Stimmen zu; der Ständerat hiess die Vorlage mit 43 zu einer Stimme gut.