Die wichtigsten geplanten Änderungen sind

• Künftig werden nur noch die Daten natürlicher Personen erfasst, nicht mehr die von juristischen Personen.
• Genetische und biometrische Daten werden in die Definition der sensiblen Daten aufgenommen.
• Die Grundsätze „Privacy by Design“ und „Privacy by Default“ werden eingeführt. Wie der Name schon sagt, bedeutet der Grundsatz „Privacy by Design“ (Schutz der Daten von der Konzeption an), dass die Entwickler den Schutz und die Achtung der Privatsphäre der Nutzer in die Struktur des Produkts oder des Dienstes, der personenbezogene Daten erfassen soll, integrieren. Der Grundsatz „Privacy by Default“ (Datenschutz durch Voreinstellung) hingegen gewährleistet ein Höchstmass an Sicherheit ab dem Zeitpunkt, zu dem das Produkt oder der Dienst in Verkehr gebracht wird, indem automatisch, d. h. ohne Zutun des Benutzers, alle erforderlichen Massnahmen zum Schutz der Daten und zur Beschränkung ihrer Nutzung aktiviert werden. Mit anderen Worten: Jede Software, jedes Material und jeder Dienst muss so konfiguriert sein, dass die Daten geschützt werden und die Privatsphäre der Nutzer gewahrt bleibt.
• Folgenabschätzungen müssen durchgeführt werden, wenn ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht.
• Das Recht auf Information wird ausgeweitet: Die Erhebung aller Personendaten – und nicht mehr nur der so genannten sensiblen Daten – muss zur vorherigen Information der betroffenen Person führen.
• Ein Register der Verarbeitungstätigkeiten wird obligatorisch.
• Im Falle einer Verletzung der Datensicherheit ist eine rasche Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (IDT) erforderlich.
• Der Begriff der Profilerstellung (d.h. die automatisierte Verarbeitung personenbezogener Daten) wird Teil des Gesetzes.