Es handelt sich nach Analyse von Transsicura um Auflistungen von zu löschenden Daten, in Form von Excel-Listen. Diese Datensätze enthalten die Attribute Vorname und Nachname, Geburtsdatum sowie den Grund für die Datenerfassung durch die damalige Securitrans, wie zum Beispiel Wegweisungen vom Bahnhofsgelände. 

Originaldaten unwiderruflich und vollständig gelöscht.

Sämtliche operative Originaldaten werden durch Transsicura auf IT-Systemen von Transsicura (SBB) gespeichert und waren und sind vom Cyberangriff auf die Firma Xplain im Mai 2023 nicht betroffen. 

Im Rahmen einer Lieferantenbeziehung erhielt die Firma Xplain jedoch im Dezember 2022 von Transsicura den Auftrag, über einen Wartungszugang auf die IT-Systeme von Transsicura zuzugreifen und sämtliche operativen Daten der Jahre 2018 und älter auf den IT-Systemen von Transsicura zu löschen. Diese Originaldaten wurden im Dezember 2022 gemäss Wartungsauftrag bei Transsicura vollständig und unwiderruflich gelöscht.

Im Rahmen des Löschauftrags erstellte der Softwarelieferant Xplain jedoch eine Art «Löschlisten» in Form von Excel-Listen und speicherte diese bei sich ab. Transsicura hatte davon keine Kenntnis und klärt diesen Sachverhalt aktuell im Rahmen der laufenden Untersuchungen mit dem Lieferanten Xplain. 

Xplain hat Transsicura die gestohlenen Dateien mit den Datenfragmenten zukommen lassen. Kundinnen und Kunden, welche in den Jahren 2018 oder früher in Kontakt mit der Firma Securitrans kamen und ihre Personalien angeben mussten, können sich deshalb direkt an info@transsicura.chLink öffnet in neuem Fenster. wenden, um zu erfahren, ob ihre Daten auch vom Datendiebstahl bei Xplain betroffen waren.

Transsicura prüft rechtliche Schritte.

Diese durch Xplain erstellten und gespeicherten Datenfragmente umfassen Personendaten aus den Jahren 2018 oder älter. Die Speicherung von Datenfragmenten zu löschender Originaldaten entspricht nicht den Vereinbarungen zwischen Transsicura und Xplain. Sollte sich im Rahmen der weiteren Datenanalyse der Verdacht erhärten, dass Daten von Transsicura durch Dritte unsachgemäss bearbeitet wurden, so prüft die Transsicura AG weitere rechtliche Schritte. Dies in Abstimmung mit den Behörden des Bundes. 

Da sämtliche Originaldaten bei Transsicura unwiderruflich gelöscht wurden, erweist sich eine direkte und proaktive Benachrichtigung von betroffenen Personen für Transsicura als unmöglich. Der Eidgenössische Datenschutzbeauftragte EDÖB wurde über den aktuellen Stand der laufenden Untersuchung informiert.