Seit dem 25.05.2018 gilt in allen Mitgliedstaaten der EU ein neues Datenschutzrecht. An die vormalige Stelle der auf einer EU-Richtlinie beruhenden nationalen Datenschutzgesetze tritt die gem. Art. 288 Abs. 2 AEUV unmittelbar anwendbare und in allen ihren Teilen verbindliche Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung - DSGVO).1) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl EU L 119 v. 04.05.2016, 1; L 314 v. 22.11.2016, 72); Selmayr/Ehmann, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Einf. Rdnr. 3. Mit ihr geht ein grundlegender Strukturwandel einher, denn seither ist die DSGVO das vorrangig zu beachtende Datenschutzgesetz in allen Mitgliedstaaten. Den Mitgliedstaaten verbleibt ein eigener legislativer Spielraum lediglich dort, wo die DSGVO Regelungsaufträge erteilt oder Regelungsoptionen eröffnet. Im Rahmen der Wahrnehmung einer öffentlichen Aufgabe (Art. 6 Abs. Buchst. e) ) bzw. der Verarbeitung im Gesundheitssystem (Art. Abs. Buchst. h) ) bestimmen bzw. ermöglichen die Öffnungsklauseln des Art. Abs. Buchst. b) und Art. Abs. den nationalen Gesetzgebern, die Verarbeitung von Sozialdaten auch gesetzlich weiter auszugestalten. Solche gesetzlichen Befugnisnormen finden sich in den §§ ff. und in den einzelnen Büchern des Sozialgesetzbuchs.