ICE erhält beispiellosen Zugriff auf Medicaid-Daten

Beamte der Einwanderungs- und Zollbehörde erhalten Zugriff auf die persönlichen Daten von fast 80 Millionen Menschen, die Medicaid beziehen, um „Informationen über die Identifizierung und den Aufenthaltsort von Ausländern in den Vereinigten Staaten“ zu erhalten, wie aus einer Vereinbarung zum Informationsaustausch hervorgeht, die WIRED einsehen konnte.

Die Vereinbarung mit dem Titel „Informationsaustauschvereinbarung zwischen den Centers for Medicare and Medicaid Services und dem Department of Homeland Security (DHS) zur Offenlegung von Identitäts- und Standortinformationen von Ausländern“ wurde am Dienstag von CMS-Beamten unterzeichnet und zuerst von AP News gemeldet.

Gemäß der Vereinbarung erhalten ICE-Beamte Zugangsdaten für eine Datenbank der Centers for Medicare and Medicaid Services (CMS), die sensible medizinische Informationen enthält, darunter detaillierte Aufzeichnungen zu Diagnosen und Behandlungen. Die Vereinbarung besagt, dass ICE dadurch Zugriff auf persönliche Informationen wie Wohnadressen, Telefonnummern, IP-Adressen, Bankdaten und Sozialversicherungsnummern erhält. (Später in der Vereinbarung wird der Zugriffsrecht von ICE anders definiert: Es werden lediglich „Medicaid-Empfänger“ sowie deren Geschlecht, ethnische Zugehörigkeit und Rasse genannt, IP- oder Bankdaten hingegen nicht.) Die Vereinbarung ist auf zwei Monate angelegt. Obwohl das Dokument auf den 9. Juli datiert ist, tritt es erst mit der Unterzeichnung durch beide Parteien in Kraft, was einer 60-tägigen Frist vom 15. Juli bis zum 15. September entspricht.

Dieser Schritt erfolgt, während die Regierung von Präsident Donald Trump ihre Maßnahmen gegen die Einwanderung weiter ausweitet. Laut ICE will die Regierung täglich 3.000 Menschen abschieben – viermal so viele wie im Haushaltsjahr 2024. Die Pläne dafür beinhalten offenbar die Erfassung von Daten aus allen Bereichen der Regierung. WIRED berichtete zuvor, dass das sogenannte Department of Government Efficiency (DOGE) und das DHS an einer Masterdatenbank arbeiten, die Daten des DHS und anderer Behörden zusammenführt, um Einwanderer zu überwachen und abzuschieben.

Medicaid, die von den Bundesstaaten und dem Bund finanzierte Krankenversicherung für die Ärmsten des Landes, steht größtenteils nur einigen Nicht-Staatsbürgern zur Verfügung , darunter Flüchtlingen und Asylsuchenden, Opfern von Menschenhandel und Personen mit ständigem Wohnsitz. Einige Bundesstaaten, wie beispielsweise New York, bieten Kindern und Schwangeren unabhängig von ihrem Einwanderungsstatus Medicaid-Versicherung an. Die Bundesstaaten melden ihre Medicaid-Ausgaben und -Daten an die Bundesregierung, die ihnen einen Teil der Kosten erstattet.

„Das wurde während meiner fünfjährigen Tätigkeit im DHS, wo ich in der Einwanderungsbehörde tätig war, nie in Betracht gezogen“, sagt John Sandweg, kommissarischer Direktor des ICE während der Amtszeit von Präsident Barack Obama. „Man muss sich vor einem möglichen Abschreckungseffekt in Acht nehmen: Menschen, die möglicherweise Sozialleistungen beantragen und Anspruch darauf haben – oder die medizinische Notfallversorgung benötigen –, tun dies nicht, weil sie befürchten, dass die Informationen, die sie im Krankenhaus preisgeben, sie zum Ziel von Einwanderungsmaßnahmen machen könnten.“

Dies sei derzeit nicht die Sorge der Regierung, erklärten Sprecher gegenüber WIRED. „Unter der Führung von Dr. [Mehmet] Oz geht das CMS aggressiv gegen Bundesstaaten vor, die möglicherweise Bundesmittel aus Medicaid missbrauchen, um die Versorgung illegaler Einwanderer zu subventionieren“, erklärte Andrew Nixon, Kommunikationsdirektor des Gesundheitsministeriums (HHS), gegenüber WIRED. „Diese Kontrollbemühungen – unterstützt durch den rechtmäßigen behördenübergreifenden Datenaustausch mit dem DHS – konzentrieren sich darauf, Verschwendung, Betrug und systematischen Missbrauch aufzudecken. Wir schützen nicht nur Steuergelder, sondern stellen auch die Glaubwürdigkeit eines der wichtigsten Programme Amerikas wieder her. Das amerikanische Volk verdient Rechenschaft. Das HHS leistet ihr diese Verantwortung.“

„Präsident Trump versprach stets, Medicaid für Anspruchsberechtigte zu schützen. Um dieses Versprechen zu halten, nachdem Joe Biden unser Land mit zig Millionen illegalen Einwanderern überschwemmt hat, prüfen CMS und DHS eine Initiative, um sicherzustellen, dass illegale Einwanderer keine Medicaid-Leistungen erhalten, die für gesetzestreue Amerikaner bestimmt sind“, sagt die stellvertretende Ministerin des DHS, Tricia McLaughlin. (Biden ließ „zig Millionen“ Einwanderer nicht in die USA: Selbst die Heritage Foundation, die konservative Denkfabrik hinter Project 2025 , behauptete, dass bis Januar 2024 unter Biden 6,7 Millionen Menschen illegal ins Land eingereist seien.)

In der Vereinbarung heißt es, ihr Zweck bestehe nicht darin, Verschwendung, Betrug und Missbrauch aufzudecken oder zu prüfen, ob Einwanderer unzulässige Leistungen erhalten, sondern darin, dem ICE zu ermöglichen, „Informationen über die Identität und den Aufenthaltsort von Ausländern in den Vereinigten Staaten abzurufen“.

„Für mich zeigt das, dass die Angriffe weit über kriminelle Ausländer hinausgehen. Solche Daten betrachtet man nicht, wenn man nicht weit über verurteilte Straftäter hinausgeht“, sagt Sandweg.

In einem Abschnitt, der die Verantwortlichkeiten der einzelnen Parteien darlegt, heißt es in der Vereinbarung, dass CMS dafür verantwortlich ist, einer Reihe von ICE-Mitarbeitern über CMS-Anmeldedaten Zugriff auf T-MSIS (Transformed Medicaid Statistical Information System) zu gewähren. T-MSIS ist eine CMS-Datenbank , die Daten zu Medicaid und dem Children's Health Insurance Program (CHIP) aus allen Bundesstaaten und fast allen US-Territorien sowie aus Washington, D.C. sammelt. Das System enthält detaillierte Daten zu Erkrankungen, Symptomen, Behandlungen, stationären Aufnahmen und Ansprüchen sowie weitere sensible Informationen. Die Datenqualität der Datenbank variiert von Bundesstaat zu Bundesstaat. Das Dokument legt fest, dass ICE über das Integrated Data Repository „direkten Zugriff“ auf die T-MSIS-Datenbank erhält. Dieses wurde in einem kürzlich eingereichten Gerichtsverfahren als „Grundstein der Datenumgebung [von CMS]“ bezeichnet. „Es ermöglicht Benutzern, die Daten direkt zu analysieren, anstatt sich auf umfangreiche Rohdatenauszüge verlassen zu müssen.“

Zu den Aufgaben von ICE gehören wiederum die Beantragung von CMS-Anmeldedaten, die Teilnahme an der Schulung „Informationssystemsicherheit und Datenschutzbewusstsein“ sowie die Unterzeichnung eines Dokuments über CMS und die „Verhaltensregeln für die Nutzung von Informationen und IT-Ressourcen“ des Gesundheitsministeriums. Die Vereinbarung sieht außerdem vor, dass ICE diese Anmeldedaten zur Identifizierung und Ortung von „Ausländern in den Vereinigten Staaten“ verwenden wird.

Die Vereinbarung besagt auch, dass ihre Bedingungen „von autorisierten Beamten, Mitarbeitern und Auftragnehmern von CMS und ICE umgesetzt werden“. ICE unterhält derzeit Verträge mit mehreren Unternehmen, darunter Palantir, dem vom Milliardär Peter Thiel mitgegründeten Rüstungskonzern. Die Behörde zahlte dem Unternehmen kürzlich 30 Millionen Dollar für den Aufbau eines Systems namens ImmigrationOS zur Verfolgung von Einwanderern, die sich selbst aus den USA abschieben. Das Unternehmen ist auch am Aufbau einer „Mega-API“ beim IRS beteiligt. Im April gaben das DHS und die Internal Revenue Services eine Vereinbarung zum Austausch von IRS-Daten zur Durchsetzung der Einwanderungsbestimmungen bekannt.

„Die Vereinbarung gewährt dem ICE vollen, direkten Zugriff auf unsere Medicaid-Daten – eines der wichtigsten Gesundheitsprogramme wird nun vollständig zu einer Datenbank für Strafverfolgungsbehörden umfunktioniert, wodurch unsere Daten direkt an das ICE weitergegeben werden“, sagt Cody Venzke, leitender Rechtsberater der National Political Advocacy Division der American Civil Liberties Union. „Die Vereinbarung behauptet, CMS dürfe gemäß dem Privacy Act unsere Daten weitergeben, um ‚eine andere Bundes- oder Landesbehörden zu unterstützen‘, aber das ist bestenfalls die halbe Wahrheit. Diese Weitergabe ist nur zulässig, wenn sie zur Genauigkeit von Medicare oder Medicaid beiträgt, ein staatliches Gesundheitsleistungsprogramm verwaltet oder ein mit Bundesmitteln finanziertes Gesundheitsleistungsprogramm umsetzt. Die vollständige Preisgabe unserer Privatsphäre zugunsten des ICE bewirkt nichts davon.“

Die Vereinbarung erlaubt es der ICE, alle Medicaid-Daten so lange aufzubewahren, wie die Behörde dies für notwendig erachtet. Das Dokument stellt klar, dass die Vereinbarung beliebig oft verlängert werden kann und dass die ICE die Daten auch weitergeben darf, sofern die Behörde die Empfänger schriftlich angibt. Venzke bezeichnet dies als „unglaublich schwachen Schutz“.

Behörden können Daten über ein sogenanntes Computer-Matching-Abkommen austauschen. Dabei handelt es sich um eine schriftliche Vereinbarung zwischen Behörden, die die Parameter für den Datenabgleich ihrer jeweiligen Systeme festlegt. Laut seiner Website verfügt das CMS derzeit über ein halbes Dutzend Computer-Matching-Abkommen mit anderen Bundesbehörden, darunter dem IRS, dem Department of Veterans' Affairs (VA) und der Social Security Administration.

In der Vereinbarung zwischen ICE und CMS wird jedoch ausdrücklich darauf hingewiesen, dass es sich nicht um eine Computer-Matching-Vereinbarung handelt.

Jonathan Kamens, ehemaliger Leiter der Informationssicherheit beim VA, erklärte gegenüber WIRED, dass ICE-Agenten möglicherweise keine Computerabgleichsvereinbarung benötigen, solange sie sich an die vom CMS geforderten Regeln und Prüfprozesse halten, um auf dessen Systeme zugreifen zu können. Jede Verwendung der von einer Behörde gesammelten Daten, die über die in ihrer System of Records Notice (SORN) festgelegten Bestimmungen hinausgeht, könnte jedoch einen Verstoß darstellen. „Die System of Records Notice für die CMS-Systeme müsste die von ICE vorgesehene Datennutzung erlauben, damit sie legal ist“, sagt er. „Es ist unwahrscheinlich, dass die Trump-Regierung die notwendigen Anstrengungen unternommen hat, die System of Record Notice zu aktualisieren, um diese Datennutzung zu ermöglichen.“

In der Vereinbarung wird behauptet, dass sie mit einem SORN von 2019 konform ist, das die Verwendung von T-MSIS-Daten „zur Unterstützung einer anderen Bundes- oder Landesbehörden“ erlaubt. Das SORN scheint nicht aktualisiert worden zu sein, um die neue Vereinbarung zwischen ICE und CMS aufzunehmen.

CMS ist nicht die einzige Behörde, bei der ICE-Agenten direkten Zugriff auf sensible Daten haben. Anfang des Jahres wurde bekannt , dass ICE-Agenten Zugangsdaten für die Datenbank des Office of Refugee Resettlement (ORR) erhielten, das ebenfalls dem HHS untersteht und unbegleitete Minderjährige erfasst. Ein ehemaliger HHS-Mitarbeiter erklärte gegenüber WIRED, dass mehr als 50 ICE-Mitarbeiter Zugriff auf die ORR-Datenbank hatten.

„Indem das Gesundheitsministerium einige unserer sensibelsten Gesundheitsdaten an die Einwanderungsbehörde (ICE) weitergegeben hat, hat es das Vertrauen von fast 80 Millionen Menschen grundlegend missbraucht“, sagt Elizabeth Laird, Direktorin für Gleichberechtigung in der Bürgertechnologie am Center for Democracy and Technology. „Über 90 Prozent des Sozialbetrugs werden von US-Bürgern begangen, was den falschen Vorwand unterstreicht, diese Informationen an die ICE weiterzugeben. Die Folgen dieser Entscheidung werden verheerend sein. Sie wird das Vertrauen in den Staat weiter schwächen, Menschen vor die Wahl zwischen lebensrettender Versorgung und der Weitergabe ihrer Daten an die Einwanderungsbehörden stellen und die Qualität und Effektivität staatlicher Dienstleistungen untergraben.“

Zoë Schiffer hat zur Berichterstattung beigetragen.