Für die Verfolgung schwerer Straftaten ist die Überwachung des Fernmeldeverkehrs unabkömmlich. Um die Überwachungen im Rahmen eines Strafverfahrens zu verbessern, ist eine Revision des zehnjährigen Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) notwendig. Der Bundesrat hat deshalb im Mai 2010 einen entsprechenden Entwurf in die Vernehmlassung geschickt. Die starke Ablehnung in der Vernehmlassung war Ausgangspunkt für die Einreichung dreier gleichlautender Motionen (10.3831, 10.3876 und 10.3877), die in vier Punkten erstens eine präzisere Beschreibung der Aufgaben des Dienstes Überwachung Post- und Fernmeldeverkehr (ÜPF), zweitens das Weglassen der Aspekte der Strafverfolgung, drittens die Unterstellung der technischen Infrastruktur des Dienstes unter das Bundesgesetz über die polizeilichen Informationssysteme des Bundes und viertens höhere Entschädigung der Fernmeldedienstanbieter forderten. Der Nationalrat nahm in der Frühjahrssession 2012 die ersten beiden Punkte der Motionen an. Im Ständerat kamen folglich nur noch diese beiden Fragen zur Sprache. Auch in der kleinen Kammer wurde ihnen Folge gegeben.

Um die Ermittlung im Strafverfahren auch bei technologischem Fortschritt in den Kommunikationstechnologien sicherzustellen, beauftragte der Bundesrat das EJPD mit der Totalrevision des Bundesgesetzes über die Überwachung des Post- und Fernmeldeverkehrs (BÜPF). Das Gesetz regelt die Überwachung von Personen, gegen die ein dringender Verdacht auf Begehung einer schweren Straftat besteht. In diesen Fällen sollte neu unter strengen Voraussetzungen der Einsatz von sogenannten Staatstrojanern erlaubt sein. Laut Botschaft gehe es jedoch ausschliesslich um die Überwachung verschlüsselter Internetkommunikation und nicht um das Ausspionieren privater Räume via Webkameras und Mikrofone. Ausserhalb des Strafverfahrens soll nur dann eine Überwachung durchgeführt werden, wenn eine vermisste Person gesucht oder nach einer geflohenen Person gefahndet werden soll. Die Rechtskommission des Ständerates hat 2013 mit der Diskussion der Vorlage begonnen.

Als Erstrat behandelte der Ständerat den Entwurf einer Totalrevision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF). Die Gesetzesänderung sollte vor allem sicherstellen, dass der verschlüsselte Fernmeldeverkehr auch bei künftigen technologischen Entwicklungen im Rahmen der Strafverfolgung weiterhin überwacht und nicht für kriminelle Taten missbraucht werden kann. So sollte eine gesetzliche Grundlage geschaffen werden für Überwachungen mit sogenannten Staatstrojanern (Government Software/GovWare), deren Einsatz im Rahmen eines Strafverfahrens möglich ist, wenn er von der Staatsanwaltschaft beantragt und vom zuständigen Zwangsmassnahmengericht genehmigt wurde. Bisher ist eine Überwachung nur bei der Notsuche nach einer vermissten Person erlaubt. Neu sollten auch Anbieter von Post- und Fernmeldediensten zur Mitwirkung an Überwachungen verpflichtet werden können. Als Gegenzug erhielten sie eine Entschädigung. Es war denn auch dieser Punkt, der im Ständerat mehr zu reden gab als der Einsatz der Staatstrojaner und deren Vereinbarkeit mit den Grundrechten. Mit 27 zu 13 Stimmen bei einer Enthaltung entschied sich dennoch eine Ratsmehrheit dafür, die Anbieter zu entschädigen. Eine weitere Abweichung vom bundesrätlichen Entwurf ergab sich bei der Aufbewahrungsdauer der Randdaten. Während der Bundesrat die Frist allgemein von sechs auf zwölf Monate verlängern wollte, sprach sich der Ständerat nur beim Fernmeldeverkehr, nicht aber beim Postverkehr, dafür aus. Der Ständerat nahm den abgeänderten Entwurf mit 30 zu 2 Stimmen bei 4 Enthaltungen an. Im Juli formierte sich ein Bündnis von linken Gruppierungen – darunter die Juso, die Grünen, die jungen Grünen, die Piratenpartei und die Nichtregierungsorganisation „Digitale Gesellschaft“ – und Telekommunikationsanbietern, welches gegen die Büpf-Revision das Referendum erwog.

Im Zuge der Totalrevision des BÜPF hatte sich der Nationalrat in der Sommersession 2015 als Zweitrat mit dem Interessenskonflikt zwischen einer wirksamen Strafverfolgung und dem Persönlichkeits- bzw. Datenschutz zu befassen. Die zwei Hauptanliegen der Vorlage sind erstens die Ausweitung der Vorratsdatenspeicherung und zweitens die Schaffung einer gesetzlichen Grundlage für den Einsatz von Staatstrojanern (GovWare). Im Vorjahr hatte der Ständerat als Erstrat nicht viel am Entwurf des Bundesrates geändert. In der grossen Kammer stiess die Vorlage jedoch auf mehr Widerstand. Nach einer emotionalen Eintretensdebatte lehnte der Nationalrat einen Minderheitsantrag der RK-NR auf Rückweisung des Geschäfts an den Bundesrat mit 128 zu 50 Stimmen bei 7 Enthaltungen ab. Die Minderheit um Daniel Vischer (gp, ZH) wollte den Bundesrat damit beauftragen, eine Vorlage ganz ohne Vorratsdatenspeicherung vorzulegen und den Einsatz von Staatstrojanern auf schwere Gewaltverbrechen zu beschränken. In der Detailberatung zeigte sich, dass die Vorlage schon in der Kommission umstritten gewesen war, musste die grosse Kammer doch über mehr als 40 Minderheitsanträge abstimmen. In einem ersten Beratungsblock befasste sich der Nationalrat mit den Randdaten und brachte in diesem Bereich zwei Änderungen an: Erstens müssen Anbieter von Postdiensten die Randdaten während eines Jahres aufbewahren anstatt wie vom Ständerat beschlossen nur während sechs Monaten und zweitens müssen Anbieter von Fernmeldediensten ihre gespeicherten Daten in der Schweiz aufbewahren. Im zweiten Block befasste sich die grosse Kammer mit Staatstrojanern und fügte einen neuen Artikel in die Strafprozessordnung und den Militärstrafprozess ein, welcher effiziente Massnahmen gegen den Missbrauch von GovWare bieten soll, indem die festgeschriebenen Voraussetzungen sicherstellen, dass die Programme nur das gesetzlich Zulässige tun können. Ausserdem soll die Beschaffung und Freigabe solcher Programme zentral geregelt und einem Dienst des Bundes übertragen werden. Zum Schluss der Beratung diskutierte der Nationalrat in einem dritten Block die allgemeinen Bestimmungen des Gesetzes. Hier wurde mit Stichentscheid des Präsidenten Rossini (sp, VS) ein Minderheitsantrag gutgeheissen, mit dem das Vorgehen geregelt wird, wenn Sicherheitslücken in Überwachungssystemen festgestellt werden: Der Bundesrat muss den EDÖB sowie die Öffentlichkeit darüber informieren und bei erheblichen Sicherheitslücken den Betrieb des betroffenen Systems bis zur Behebung des Mangels einstellen. In der Gesamtabstimmung stimmte die grosse Kammer der Vorlage mit 110 zu 65 Stimmen bei 9 Enthaltungen zu. Unterstützt wurde das Geschäft vor allem von der politischen Mitte, während es die geschlossene grüne Fraktion sowie die Mehrheiten der SP- und SVP-Fraktionen ablehnten. Sie monierten vor allem einen zu starken Eingriff in die Persönlichkeitsrechte und den Datenschutz.

In der Wintersession desselben Jahres begann der Ständerat mit der Differenzbereinigung und folgte in allen Punkten den Anträgen seiner Rechtskommission. So strich er die vom Nationalrat aufgenommenen Bestimmungen über das Vorgehen bei Sicherheitslücken wieder aus dem Gesetz mit der Begründung, dass Fragen der Informatiksicherheit ins Datenschutzrecht gehörten und hier fehl am Platz seien. In Bezug auf die Aufbewahrungsdauer von Randdaten vollzog die kleine Kammer eine Kehrtwende und beschloss nun, die Fristen sowohl für den Post- als auch für den Fernmeldeverkehr bei sechs Monaten zu belassen. In erster Lesung hatte sie die Verlängerung auf zwölf Monate beim Fernmeldeverkehr noch gutgeheissen. Als einen Grund für diese Umkehr nannte Kommissionssprecher Stefan Engler (cvp, GR) das drohende Referendum: Die Vorratsdatenspeicherung sei per se schon umstritten, weshalb die Erhöhung auf zwölf Monate womöglich die Chancen eines allfälligen Referendums verbessern und damit die gesamte Vorlage gefährden könnte, was auf keinen Fall im Interesse der Strafverfolgungsbehörden liege. Bundesrätin Simonetta Sommaruga begrüsste diesen Kompromiss und betonte, die Frist sei sekundär, solange die Vorlage als Ganzes vorangebracht werde und man endlich die Möglichkeit erhalte, verschlüsselte Kommunikation mittels Staatstrojaner zu überwachen. Mit 20 zu 17 Stimmen bei 2 Enthaltungen strich der Ständerat die Pflicht, die gespeicherten Daten in der Schweiz aufzubewahren, wieder aus dem Entwurf. Die Minderheit, welche die Bestimmung beibehalten wollte, versprach sich davon mehr Datensicherheit, doch die Mehrheit erachtete den Absatz als nicht notwendig, da Schweizer Unternehmen ohnehin dem schweizerischen Datenschutzrecht unterstehen, unabhängig davon, wo sie die Daten lagern. Die Beschaffung und Zertifizierung von GovWare durch eine zentrale Bundesstelle wurde in der Kantonskammer ebenfalls fallengelassen, weil dadurch zu sehr in die kantonale Hoheit über die Strafverfolgung eingegriffen würde. In allen anderen Punkten schloss sich der Ständerat der Fassung des Nationalrates an. Über die verbleibenden Differenzen wird die grosse Kammer im kommenden Jahr beraten.

In der Differenzbereinigung des BÜPF lag der Ball zu Beginn der Frühjahrssession 2016 beim Nationalrat. Unter den verbleibenden Streitpunkten waren die Frage, ob ein bestimmtes Vorgehen bei der Feststellung von Sicherheitslücken in Überwachungssystemen im Gesetz geregelt werden soll, und jene, ob GovWare durch eine zentrale Bundesstelle beschafft und zertifiziert werden soll, am wenigsten kontrovers. Beide Regelungen waren ursprünglich vom Nationalrat in die Vorlage aufgenommen worden. Nachdem sie im Ständerat allerdings nicht auf Gegenliebe gestossen waren, liess der Nationalrat die Bestimmungen fallen und schloss sich in diesen Punkten auf Antrag seiner Kommission diskussionslos dem Beschluss des Ständerates an. Dagegen sorgten die Aufbewahrungsfrist für Randdaten des Post- und Fernmeldeverkehrs sowie die Frage, ob solche Daten zwingend in der Schweiz gelagert werden müssen, für weit mehr Zündstoff. Während die Mehrheit der RK-NR in der Fristfrage einlenken und die Aufbewahrungsfrist für Randdaten bei sechs Monaten belassen wollte, setzte sich eine Kommissionsminderheit um Andrea Geissbühler (svp, BE) für das Festhalten am letzten nationalrätlichen Beschluss ein. Die hier vorgesehene zwölfmonatige Frist, wie sie auch im ursprünglichen Entwurf des Bundesrates vorgesehen war, sei für die erfolgreiche Arbeit der Strafverfolgungsbehörden wichtig, so das Hauptargument für die Fristverlängerung. Die Gegner führten dagegen vor allem den Persönlichkeitsschutz ins Feld. Seit der Verabschiedung der bundesrätlichen Botschaft sei in dieser Frage etwas Entscheidendes passiert, führte Bundesrätin Sommaruga im Nationalrat aus, nämlich die Ungültigkeitserklärung der europäischen Richtlinie über die Vorratsdatenspeicherung durch den EuGH, worauf viele europäische Staaten die Vorratsdatenspeicherung ganz ausgesetzt oder die entsprechenden Fristen verkürzt hätten. Obwohl das Urteil für die Schweiz nicht bindend ist, sei der Bundesrat zum Schluss gekommen, die Vorteile einer Fristerhöhung könnten die dadurch ausgelöste politische Unruhe nicht aufwiegen, weshalb der Bundesrat nun beantrage, die Frist vorerst bei sechs Monaten zu belassen. Eine Ratsmehrheit von rund zehn Stimmen stimmte schliesslich bei allen Anträgen betreffend die Aufbewahrungsfrist von Randdaten des Post- und Fernmeldeverkehrs gemäss der Kommissionsmehrheit und dem Bundesrat, womit die Frist auf sechs Monate festgesetzt wurde. Zum Schluss der Beratung wurde in der grossen Kammer darüber gestritten, ob Anbietern von Fernmeldediensten im Gesetz explizit vorgeschrieben werden soll, die Randdaten des Fernmeldeverkehrs in der Schweiz aufzubewahren. Auch diese Bestimmung war vom Nationalrat in den Entwurf eingefügt und anschliessend vom Ständerat wieder gestrichen worden. Die Kommissionsmehrheit beantragte dem Rat Festhalten, während eine Minderheit dafür plädierte, dem Beschluss des Ständerates zu folgen und den Aufbewahrungsort der Daten nicht im Gesetz festzuschreiben. Der Minderheitssprecher Karl Vogler (csp, OW) bezeichnete diese Vorschrift als unnötig, da jedes Unternehmen, das in der Schweiz seine Dienste anbiete, das schweizerische Recht und damit auch das schweizerische Datenschutzrecht beachten müsse und eine solche Regelung daher nichts an der Verantwortlichkeit der Anbieter ändere. Aus Gründen der Wettbewerbsfähigkeit gehe es auch darum, keine „obligatorisch-protektionistische Swissness-Vorschrift“ für die Schweizer Telekombranche zu schaffen. Pointierte Schützenhilfe bot u.a. der Sprecher der Grünliberalen Fraktion, Thomas Weibel (glp, ZH), indem er der Mehrheit „die realitätsfremde Erwartung, dass Bits und Bytes die Schweiz nicht verlassen können“ attestierte. Weitere Bedenken bestanden überdies darin, dass die zuständigen Behörden den tatsächlichen Speicherort der Daten gar nicht kontrollieren könnten sowie in der Verhältnismässigkeit; es gebe noch weitere, je nach Ansicht sogar noch sensiblere Daten – zum Beispiel Sozialversicherungs- oder Krankenversicherungsdaten –, die auch nicht in der Schweiz gespeichert sein müssten. Während sich die Ratsmitte mit Ausnahme von drei Abweichlern aus den CVP- und FDP-Fraktionen von diesen Argumenten überzeugt zeigte, stimmten sowohl der linke als auch der rechte Pol dem Mehrheitsantrag zu. Mit 114 zu 72 Stimmen bei drei Enthaltungen hielt die grosse Kammer somit an der Pflicht, Fernmeldedaten in der Schweiz aufzubewahren, fest.

Mit dieser verbleibenden Differenz und einigen unumstrittenen redaktionellen Anpassungen ging die Vorlage zurück an den Ständerat. Dort sprach sich nur eine Minderheit von 17 Stimmen für die vom Nationalrat beschlossene Verpflichtung aus. Die deutliche Ratsmehrheit von 25 Stimmen folgte dem Antrag ihrer Kommissionsmehrheit und lehnte die – in den Worten von Kommissionssprecher Stefan Engler (cvp, GR) „Scheinsicherheit“ schaffende – Bestimmung ab.

Vor dem nächsten Zug des Nationalrates kehrten sich die Mehrheitsverhältnisse in der vorberatenden RK-NR um. Es war nun die Mehrheit, welche sich gegen die zwingende Datenspeicherung in der Schweiz aussprach, und die Minderheit, die nach wie vor das Festhalten an der Bestimmung beantragte. Minderheitssprecher Franz Grüter (svp, LU) liess verlauten, sein Referendumskomitee stehe bereits in den Startlöchern und erhalte sicherlich Schub, wenn die Vorratsdatenspeicherung im Ausland erlaubt werde. Bundesrätin Sommaruga zeigte sich erstaunt über die Bedeutung, die dieser Frage plötzlich beigemessen werde; man habe „das Gefühl, es würde hier fast um Leben und Tod gehen.“ Auf beiden Seiten wurden dieselben Argumente wie in der letzten Diskussion wieder aufgewärmt und dieselbe Allianz aus Grünen, SP und SVP setzte sich mit 84 zu 73 Stimmen durch, wobei sich 35 Ratsmitglieder der Stimme enthielten, 31 davon allein aus der SP-Fraktion. Damit ging die Vorlage an die Einigungskonferenz.

Mit denkbar knapper Mehrheit, mit 13 zu 12 Stimmen, entschied die Einigungskonferenz, der Variante des Ständerates zu folgen und die umstrittene Bestimmung zu streichen. Der Ständerat, dem auch kein anderslautender Antrag vorlag, stimmte dem Antrag der Einigungskonferenz stillschweigend zu. Im Nationalrat hingegen lag ein Antrag Grüter auf Ablehnung des Antrages der Einigungskonferenz vor und die Debatte entwickelte sich zu einer Grundsatzdiskussion über die Gesetzesvorlage als Ganzes. Mit 151 zu 28 Stimmen bei 13 Enthaltungen sprach sich schliesslich auch die grosse Kammer deutlich für den Antrag der Einigungskonferenz aus und rettete das Projekt vor dem Scheitern. Von den vormals vehementen Verfechtern der nun fallen gelassenen Verpflichtung, Randdaten des Fernmeldeverkehrs zwingend und ausschliesslich in der Schweiz zu speichern, stimmte nun die grosse Mehrheit in den Reihen der SP- und SVP-Fraktionen dem Gesetz zu. Allein die Grüne Fraktion stellte sich bis zuletzt geschlossen dagegen. In der Schlussabstimmung am 18. März 2016 wurde das BÜPF im Nationalrat mit 160 zu 23 Stimmen bei 12 Enthaltungen und im Ständerat mit 41 zu 4 Stimmen angenommen.

In der Woche nach der Schlussabstimmung in den eidgenössischen Räten über das revidierte BÜPF stellte sich – wie von SVP-Nationalrat und Komitee-Chef Franz Grüter (svp, LU) bereits seit längerem angekündigt – das Referendumskomitee „Stop BÜPF“ vor. Ihm gehörten neben der Piratenpartei, der Alternativen Liste und der Partei der Arbeit auch die Jungfreisinnigen, die Jungen Grünliberalen, die Junge SVP sowie die Juso an. Dazu kamen sieben zivilgesellschaftliche Organisationen, namentlich die Digitale Gesellschaft, der Verein Grundrechte, Operation Libero, die Internet Society Schweiz, der Chaos Computer Club Schweiz, die Stiftung pEp und Wilhelm Tux. Diese ungewöhnliche Allianz von Jungparteien von links bis rechts deutete darauf hin, dass in dieser Frage weniger ein parteiideologischer als vielmehr ein Generationenkonflikt vorlag. Mitte April präsentierte das Komitee seine Argumente. Im Zentrum der Kritik stand einerseits die als „unverhältnismässig“ angesehene Vorratsdatenspeicherung, bei der zwar die Frist zur Aufbewahrung der Daten nicht verlängert, aber der Kreis der Anbieter, die Daten für die Behörden bereithalten müssen, ausgeweitet wurde. Andererseits störten sich die BÜPF-Gegner an den Staatstrojanern, die fortan in fremde Computersysteme eindringen und so verschlüsselte Kommunikation abhören können. Besonders stossend sei hierbei, dass die Staatstrojaner bestehende Sicherheitslücken ausnutzen sollen, wodurch ein „legaler Schwarzmarkt von Sicherheitslücken“ geschaffen werde, so Norbert Bollow, Präsident der Digitalen Gesellschaft. Zum Abhören verschlüsselter Kommunikation gebe es auch andere Mittel, betonte JGLP-Co-Präsident Pascal Vuichard und verwies auf die Firma Skype, welche auf Gerichtsbeschluss hin mit den Behörden kooperiere. Vonseiten der IT-Anbieter kritisierte Jean-Marc Hensch, Geschäftsführer des Branchenverbandes Swico, die „überrissenen Mitwirkungspflichten“, da auch kleinere Anbieter einen automatischen Zugriff der Behörden auf ihre Systeme einrichten müssten. Im Grundsatz war sich das Komitee einig, dass die Privatsphäre nicht auf Vorrat eingeschränkt werden solle – mit den Worten von Juso-Präsident Fabian Molina: „Im Zweifel für die Freiheit.“ Ebenfalls im April trat die SP nach einem entsprechenden, äusserst knappen Beschluss der Delegiertenversammlung dem Referendumskomitee bei, allerdings gegen den Widerstand ihres Parteipräsidenten Christian Levrat (sp, FR) und entgegen der Mehrheit der Bundeshausfraktion, die das BÜPF im Parlament gutgeheissen hatte.
Einen Monat vor Ablauf der Referendumsfrist am 7. Juli 2016 wurde bekannt, dass die Unterschriftensammlung bis anhin harzig verlaufen war und deshalb noch rund die Hälfte der benötigten 50'000 Unterschriften fehlten. Daraufhin erklärte Juso-Präsident Fabian Molina den Abbruch der offiziellen Unterschriftensammlung. Er zeigte sich enttäuscht über die schwache Sammelleistung der bürgerlichen Jungparteien und glaubte nicht mehr an den Erfolg des Referendums. Die Allianzpartner ihrerseits bezeichneten den Rückzug Molinas als feige und unzuverlässig und beklagten auch das mangelnde Engagement der Juso, welche das Unterschriften-Soll auch nicht erfüllt hätten. Dennoch wollten sie nicht aufgeben und setzten die Unterschriftensammlung auch ohne Beteiligung der Juso fort. Ende Juni sah es denn auch tatsächlich danach aus, dass sich der Einsatz im Schlussspurt gelohnt hätte: Das Komitee verkündete, 55'000 Unterschriften erhalten zu haben, die lediglich noch beglaubigt werden müssten. Nach dem Austritt der Juso habe sich ein „gewaltiger Alarmismus“ breitgemacht, der die Sammler zusätzlich anspornte, erklärte Hernani Marques vom Chaos Computer Club. Er zeigte sich zuversichtlich, dass mindestens 51'000 gültige Unterschriften beisammen seien und das Referendum damit zustande komme.
Wie sich am Tag des Ablaufs der Referendumsfrist herausstellte, hatte sich das Komitee jedoch verkalkuliert. Von den gut 55'000 gesammelten Unterschriften trafen nur rund 45'000 rechtzeitig beglaubigt ein, damit sie bei der Bundeskanzlei hätten eingereicht werden können. Damit war das Referendum im allerletzten Moment gescheitert. Für das Komitee sei es eine „gewaltige Enttäuschung“. Schuld daran seien aber weder die Sammlerinnen und Sammler noch die Gemeinden, sondern das Komitee selbst, das in der Anfangsphase zu viel Zeit verloren habe, gab es in einer Mitteilung bekannt. Damit wird das BÜPF wie von den eidgenössischen Räten verabschiedet in Kraft treten.