Am 25. März 2020 beschloss der Bundestag das Gesetz zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite. Es war am Vortag von den Regierungsfraktionen eingebracht worden, durchlief an einem Tag alle drei Lesungen im Bundestag und ist am 28. März 2020 in Kraft getreten? Viel Zeit für Beratungen blieb da nicht. Dieses Eilverfahren spiegelte den Inhalt des Gesetzes: in Sache - wenn auch nicht im technischen Sinne - eine Notstandsgesetzgebung. Bewältigung der Corona-Krise. Im Wesentlichen enthielt sie Änderungen des IfSG. In ihrem Gepäck befand sich aber auch eine unscheinbare Regelung, die mit der Corona-Krise unmittelbar nichts zu tun hat, nämlich die Einfügung eines neuen § 287a in das SGB V. Angesichts der enormen Komprimierung des Gesetzgebungsverfahrens ist es nicht erstaunlich, dass diese Regelung im Verfahren und seit kaum Beachtung gefunden hat. Sie betrifft ganz unabhängig von der Corona-Krise - länderübergreifende Vorhaben der Versorgungs- und Gesundheitsforscht d.h.: Verbund- oder Kooperationsprojekte der Versorgungs- und Gesundheitsforschung, die in mehreren Bundesländern angesiedelt sind. Gegenstand der neuen Vorschrift ist die datenschutzrechtliche Dimension solcher Projekte. § 287a SGB V kombiniert dazu zwei unterschiedliche Regelungsbausteine. Satz 1 enthält für derartige Projekte einen Verweis auf § 27 BDSG. Sätze 2 und 3 sehen ein koordiniertes Aufsichtsverfahren durch eine federführende Behörde Unter beiden Gesichtspunkten wirft die neue Regelung eine ganze Reihe rechtliche Fragen auf, die sich von der Gesetzgebungssystematik über die verfassungsrechtlichen Kompetenzgrundlagen bis zum konkreten Gehalt der Norm ziehen. Ihnen soll im Folgenden nachgegangen werden.