Mithilfe einer parlamentarischen Initiative wollte Joachim Eder (fdp, ZG) eine Stärkung des persönlichen Datenschutzes in der Aufsicht über die Krankenversicherung erreichen, indem Daten nur noch in gruppierter Form, also ohne mögliche Rückschlüsse auf Individuen, an die Aufsichtsbehörden geliefert werden dürften. So fehle der EFIND-Datenerhebung, bei der die Krankenversicherer dem BAG weitreichende individuelle Informationen zu allen Versicherten liefern, eine formalgesetzliche Grundlage: Die Nutzung von individuellen Daten der Versicherten sei weder erlaubt noch für die Durchführung der Aufsicht über die Krankenversicherung vonnöten. Somit verletze eine Weitergabe die Grundsätze der Rechtmässigkeit und der Verhältnismässigkeit und damit auch das Datenschutzgesetz. Einzig für die Umsetzung des Risikoausgleichs seien Individualdaten nötig, folglich sollen die Versicherer ausschliesslich die für diesen Zweck relevanten Daten der gemeinsamen Einrichtung zur Verfügung stellen. Sowohl die SGK-SR als auch die SGK-NR nahmen die parlamentarische Initiative mit 8 zu 1 Stimmen (3 Enthaltungen) respektive mit 17 zu 1 Stimmen (bei 6 Enthaltungen) deutlich an. Nach ersten Anhörungen der betroffenen Akteure im Februar 2017 beschloss die SGK-SR, die Erarbeitung eines Erlassentwurfs einer Subkommission zu übertragen.

Aufgrund des Berichts ihrer Subkommission entschied die SGK-SR im November 2018, ein Vernehmlassungsverfahren zur Frage der Stärkung des persönlichen Datenschutzes in der Aufsicht über die Krankenversicherung durchzuführen. Zur Fortsetzung der begonnenen Arbeiten der Kommission beantragte sie dem Nationalrat zudem eine Fristverlängerung um zwei Jahre, welche dieser in der Wintersession 2018 genehmigte.

Das neue Bundesgesetz über die Datenweitergabe der Versicherer in der obligatorischen Krankenpflegeversicherung soll präzisieren, zu welchem Zweck und in welcher Form Krankenversicherungen Daten dem BAG übermitteln müssen. Generell sollen die Daten aggregiert weitergeben werden, lediglich dort, wo dies nicht ausreicht, sollen anonymisierte Individualdaten transferiert werden. Bisher erhielt das BAG anonymisierte Individualdaten über alle Versicherten in der OKP (Efind-Daten) sowie Daten über Prämien und Behandlungskosten (Efind2). Neu sollen aber auch Individualdaten über die Kosten pro Leistungsart und Leistungserbringenden (Efind3), Medikamente (Efind5) und MiGeL (Efind6) weitergeleitet werden können, wobei letztere zwei Datensätze ursprünglich nicht Teil dieser Vorlage waren. Eine Minderheit Stöckli (sp, BE) der SGK-SR hatte jedoch beantragt, sie ebenfalls aufzunehmen. Damit soll die Kostenentwicklung überwacht sowie Entscheidgrundlagen zu ihrer Eindämmung entwickelt, eine Wirkungsanalyse sowie Entscheidgrundlagen bezüglich des Gesetzes und des Gesetzesvollzugs erstellt und die Evaluation des Risikoausgleichs sowie die Erfüllung der Aufsichtsaufgaben nach dem KVAG ermöglicht werden. Zudem würde die bisher bestehende Verknüpfung von KVAG und KVG bezüglich der Datenlieferpflicht gelöst.

In der Vernehmlassung stiess die Vorlage auf grossen Anklang bei den Kantonen und der GDK. Einer Mehrheit von ihnen war es wichtig, dass das BAG über die notwendigen Daten verfügt; wo die aggregierte Form nicht ausreiche, müssten entsprechend Individualdaten geliefert werden. Nur so sei eine Überprüfung der Wirtschaftlichkeit und Qualität der Leistungen möglich. Geteilter Meinung waren die Parteien. Die SP zeigte sich gegenüber der Zielsetzung der Vorlage – der Herstellung von Verhältnismässigkeit bei der Datenweitergabe – skeptisch, da sie es für unerlässlich halte, dass der Bund über die notwendigen Daten verfüge. Die CVP begrüsste die Vorlage weitgehend, während FDP und SVP bezweifelten, dass dem Anliegen des Initiators mit dieser Vorlage genügend Rechnung getragen werde, da zu viele Ausnahmen für die Nutzung von Individualdaten gemacht worden seien. Diese Meinung teilten Curafutura und Santésuisse. Der SGB und das Centre Patronal sowie die Konsumtenverbände SKS und FRC begrüssten hingegen die Vorlage und betonten, es brauche diese Angaben zur Verhinderung der Kostensteigerung; die Daten sollten aber anonymisiert und in genügend grosser Anzahl übermittelt werden, um eine individuelle Zuordnung verhindern zu können.

Im August 2019 nahm der Bundesrat Stellung zur Vorlage, die die Kommission nach der Vernehmlassung ohne materielle Änderungen präsentiert hatte. Er begrüsste die Bemühungen der Kommission zur Klärung der gesetzlichen Grundlagen, zumal auch die Expertengruppe zur Kostendämpfung im Gesundheitswesen Daten im Bereich der OKP für eine effektive Steuerung durch den Bund als notwendig erachtet habe. Er lobte, dass der Entwurf durch die Präzisierung der Aufgaben, für welche die Versicherungen Daten liefern müssen, und durch die Trennung von KVG und KVAG thematisch kohärenter werde. Die von der Kommissionsmehrheit aufgenommenen Punkte erachte er dabei als «absolutes Minimum» und beantragte folglich Zustimmung zum Entwurf. Da ohne die Daten zu Medikamenten und MiGeL aber zahlreiche wichtige Fragen nicht beantwortet werden könnten, sprach er sich überdies für den Minderheitsantrag aus. Der Entwurf beschneide aber die Rechte des Bundes gemäss der KVV im Bereich der Daten zu Tarmed, erklärte er, weshalb er sich vorbehielt, diesbezüglich noch einmal ans Parlament zu gelangen.

In der Herbstsession 2019 beschäftigte sich der Ständerat mit dem Bundesgesetz über die Datenweitergabe der Versicherer in der obligatorischen Krankenpflegeversicherung. Für die Kommission fasste Erich Ettlin (cvp, OW) die Erarbeitung des Geschäfts und dessen Inhalt zusammen. Erstens solle die Erhebung der Daten zur Aufsicht über die Versicherungen im KVAG, diejenige zu den Aufgaben nach KVG jedoch im KVG geregelt werden. Zweitens sollten die Daten wann immer möglich aggregiert erhoben werden. In gesetzlich geregelten Ausnahmefällen solle die Erhebung von Individualdaten möglich sein. Eine Problematik, die trotz dieser Regelung weiter bestehe, betreffe jedoch die Re-Identifizierung von Personen, erklärte Ettlin weiter: Gemäss EDÖB könne eine solche aufgrund des Detaillierungsgrades, der Einzigartigkeit, der Akkumulation und der Verknüpfung der Efind-Daten nicht ausgeschlossen werden. Das BAG stehe diesbezüglich aber in engem Kontakt zum EDÖB und sei dabei, dieses Risiko zu minimieren. Bei der Detailberatung erklärte der Kommissionssprecher, die Kommissionsmehrheit halte es für sinnvoller, zuerst die Ergebnisse der mittels Postulat verlangten Datenstrategie abzuwarten und zu schauen, ob die Daten, welche die Minderheit ebenfalls in Individualform weitergeben möchte, nicht bereits vorhanden seien. Dieser Argumentation konnte Minderheitensprecher Hans Stöckli (sp, BE) nichts abgewinnen. Die Daten für Efind5 und Efind6, also die Daten zu den Medikamenten und der MiGeL, seien vorhanden; er verstehe darum nicht, welcher Grund wirklich hinter dieser Argumentation zur Datenstrategie stecke. Zudem könne dasselbe Argument auch für die Datenbereiche, welche die Mehrheit als Individualdaten liefern wolle, angeführt werden. Diese zusätzlichen Daten seien dringend nötig, wie ihm der Kanton Bern verdeutlicht habe. Mit 23 zu 15 Stimmen sprach sich der Ständerat jedoch gegen seinen Minderheitsantrag aus. Einstimmig nahm der Rat in der Folge den Entwurf der Kommission an.

Hatte bei der Beratung des Bundesgesetzes über die Datenweitergabe der Versicherungen in der obligatorischen Krankenpflegeversicherung im Ständerat nur ein Änderungsantrag vorgelegen, standen in der Nationalratsdebatte in der Herbstsession 2020 deutlich mehr Aspekte der Vorlage zur Debatte. Die Mehrheit der SGK-NR wollte die Datenweitergabe der Krankenversicherungen an das BAG um eine Verpflichtung des Bundesamtes ergänzen, vorgängig den Zweck der Datenlieferung zu nennen. Zudem sollte die Datenlieferung nur einmal jährlich stattfinden. Eine Minderheit Heim (sp, SO) wehrte sich gegen beide Änderungen: Das BAG und die Versicherungen sollten die Häufigkeit und den Termin der Lieferung gemeinsam aushandeln können, argumentierte Barbara Gysi (sp, SG) für die Minderheit, da Bea Heim bei den Nationalratswahlen 2019 nicht mehr angetreten war. Der Zweck der Datenlieferung sei überdies im Gesetz bereits festgehalten, was die entsprechende Bestimmung überflüssig mache. Mit 107 zu 85 Stimmen bevorzugte der Rat dennoch die Kommissionsversion. Eine Minderheit Brand (svp, GR) forderte weiter, generell nur Aggregatdaten weiterzugeben und die Lieferung von Individualdaten nur ausnahmsweise, unter Wahrung der Verhältnismässigkeit und nach Anhörung der Versicherungen sowie auf Entscheid des Bundesrates zuzulassen. Der Bundesrat wäre zudem verpflichtet, vorher zu überprüfen, ob bereits Datenbestände Dritter bestünden. Zudem sollten keine Daten zur Evaluation des Risikoausgleichs und zur Überprüfung der Wirtschaftlichkeit und Qualität der Leistungen bei den Arzneimitteln und MiGeL geliefert werden. Bei der Datenbeschaffung solle «möglichst grosse Zurückhaltung geübt werden», begründete Thomas de Courten (svp, BL) diesen Antrag. Mit 104 zu 87 Stimmen (bei 1 Enthaltung) folgte der Rat diesbezüglich der Minderheit. Hatten die SGK-SR und der Ständerat die Kompetenz zur Bestimmung, welche individuellen Daten geliefert werden sollen, dem Bundesrat übertragen wollen, schlug nun eine weitere Minderheit Brand vor, die zu liefernden Individualdaten im Gesetz abschliessend zu definieren. Diesen Vorschlag lehnte der Nationalrat jedoch mit 115 zu 82 Stimmen ab. Unumstritten war hingegen der Vorschlag der Kommission, die anonymisierten Daten auch der Forschung und der Öffentlichkeit zur Verfügung zu stellen.

In der Wintersession 2020 eröffnete der Ständerat das Differenzbereinigungsverfahren zum Bundesgesetz über die Datenweitergabe der Versicherungen in der obligatorischen Krankenpflegeversicherung. Die SGK-SR beantragte, die vom Nationalrat gegenüber dem ursprünglichen ständerätlichen Entwurf geschaffenen Änderungen abzulehnen, etwa bei der Frage, ob das Bundesamt den Zweck einer Datenlieferung vorgängig bekanntgeben müsse – die Definition der zulässigen Zwecke der Datenlieferungen sei ja eben genau das Ziel der Vorlage, erklärte Erich Ettlin (cvp, OW) als Kommissionssprecher und unter Nennung seiner Interessenbindung als Verwaltungsrat der CSS-Versicherung. In der Folge lehnte die kleine Kammer den entsprechenden Passus des Zweitrats stillschweigend ab. Zudem sprach sich der Ständerat gegen eine Ergänzung des Nationalrats aus, wonach die Daten nur jährlich geliefert werden sollen; zwar sei eine jährliche Datenlieferung geplant, in Ausnahmesituationen wie einer Pandemie solle sie jedoch häufiger möglich sein. Bezüglich der Lieferung von Aggregat- oder Individualdaten bestanden unterschiedliche Konzepte zwischen National- und Ständerat. Der Ständerat sah vor, üblicherweise Aggregatdaten liefern zu lassen, aber in im Gesetz vorab definierten Ausnahmesituation auch die Lieferung von Individualdaten zu ermöglichen. Der Nationalrat entschied sich hingegen für ein anderes Konzept, indem er die Aufzählung der Ausnahmesituationen des Ständerats als Liste derjenigen Situationen definierte, in welchen Aggregatdaten zu liefern seien, wie Ettlin erklärte. Gemäss dem Nationalrat sollten somit die Situationen, in denen überhaupt Daten geliefert werden, gegenüber dem ständerätlichen Vorschlag deutlich eingegrenzt werden; die Lieferung von Individualdaten sollte zudem nur noch in Ausnahmesituationen durch Anweisung des Bundesrates, sofern gleichzeitig verschiedenen Kritierien erfüllt würden, aber nicht mehr in vordefinierten Situationen, möglich sein. Diesen Konzeptwechsel lehnte der Ständerat ebenfalls ab.
Umstritten war im Rat einzig die Frage, ob aggregierte Daten auch zur Beurteilung und Überprüfung der Wirtschaftlichkeit und der Qualität der Leistungen im Bereich der Arzneimittel und den MiGeL verwendet werden sollten. Auf diesen Punkt hatte der Ständerat in der ersten Behandlungsrunde trotz eines entsprechenden Antrags des Bundesrates verzichtet, was der Nationalrat in der Folge bestätigt hatte; die Frage war somit eigentlich bereits vom Tisch. Welche zusätzlichen Daten weitergegeben werden sollen, solle der Postulatsbericht zu einer «kohärenten Datenstrategie für das Gesundheitswesen» (Po. 18.4102) zeigen, betonte Ettlin. Eine Minderheit Stöckli (sp, BE) wollte die entsprechenden Punkte ebenfalls in die Liste der zu liefernden Daten aufnehmen, da hier die Kostenexplosion besonders gross sei. «Es gilt als gut gehütetes Geheimnis, weshalb ausgerechnet in diesen beiden Bereichen die vorhandenen Daten nicht weitergeleitet werden sollen», betonte er. Auch Gesundheitsminister Berset bat um die Lieferung dieser Daten; ansonsten könnten die Empfehlungen bezüglich MiGeL mangels Daten nicht erfüllt werden. Dennoch lehnte der Ständerat den Minderheitsantrag mit 26 zu 13 Stimmen ab.

In der Frühjahrssession 2021 bereinigte der Nationalrat die letzten Differenzen im Bundesgesetz über die Datenweitergabe der Versicherungen in der obligatorischen Krankenpflegeversicherung. Offen geblieben war noch die grundsätzliche Frage, wie viele Informationen die Verwaltung erhalten soll. Hier standen sich zwei Modelle der beiden Parlamentskammern gegenüber: Der Nationalrat wollte die Daten immer aggregiert weitergegeben und somit nur ausnahmsweise, für klar definierte Zwecke und unter Erfüllung von bestimmten Kriterien auch die Weitergabe von anonymisierten Individualdaten erlauben. Nicht möglich wäre damit die Weitergabe von Individualdaten in vordefinierten Situationen. Dies wollte jedoch der Ständerat ermöglichen: Zwar sollten die Daten primär und wo immer möglich aggregiert weitergegeben werden, jedoch sollten in vorgängig aufgelisteten Fällen auch anonymisierte Individualdaten erhältlich sein. Die Mehrheit der SGK-NR wollte hier am Konzept des Nationalrats festhalten, während eine Minderheit Mäder (glp, ZH) dem Ständerat beipflichten wollte. Die Mehrheit fürchtete sich vor allem davor, dass aufgrund dieser sensiblen Gesundheitsdaten Rückschlüsse auf einzelne Personen gezogen werden könnten. Diese Gefahr erachtete Minderheitensprecher Mäder als klein, zumal jeweils nur einzelne Datensätze geliefert würden und nicht mehrere Datensätze aus unterschiedlichen Quellen, was eine Rückverfolgung der Individuen begünstigen würde. Der Nationalrat folgte diesbezüglich mit 101 zu 83 Stimmen (bei 8 Enthaltungen) der Kommissionsminderheit und bereinigte somit diese zentrale Differenz im Sinne des Ständerats. Gleichzeitig strich er damit auch die vom Nationalrat vorgeschlagenen verbindlichen Bedingungen, die für eine Weitergabe der Individualdaten zwingend erfüllt sein müssen.
Uneinig waren sich National- und Ständerat auch bei der Frage der jährlichen Datenlieferung. Hier beabsichtigte die Kommissionsmehrheit, dem Ständerat zuzustimmen. Der Nationalrat hatte die Datenlieferung auf einmal jährlich begrenzt und eine Pflicht für das zuständige Bundesamt, vorgängig den Zweck einer Datenlieferung bekanntzugeben, geschaffen. Der Ständerat hatte hingegen argumentierte, dass neben einer geplanten jährlichen Datenlieferungen in Ausnahmefällen auch häufigere Lieferungen möglich sein sollten. Eine Minderheit Sauter (fdp, ZH) wollte zwar auf die Beschränkung auf jährliche Datenlieferungen verzichten, die Notwendigkeit zur Angabe des Zwecks jedoch beibehalten. Man dürfe diese Daten nicht aufgrund «irgendwelche[r] Informationsbedürfnisse» verlangen, es brauche einen «wissenschaftliche[n] und ausgewiesene[n] Zweck». Philippe Nantermod (fdp, VS) verwies hingegen für die Kommission auf die grosse Relevanz dieser Daten für die Verwaltung. Mit 110 zu 82 Stimmen folgte der Nationalrat der Kommissionsmehrheit und somit dem Ständerat und bereinigte damit auch diesen letzten offenen Punkt des Gesetzes.
Ende Session nahmen dann National- und Ständerat das Bundesgesetz über die Datenweitergabe der Versicherer in der obligatorischen Krankenpflegeversicherung mit 140 zu 55 Stimmen und 42 zu 0 Stimmen (bei 2 Enthaltungen) an. Die Gegenstimmen im Nationalrat stammten von der SVP-Fraktion und einem Mitglied der FDP-Fraktion.