Whistleblowingsysteme werden als Teil des Risikomanagements in Unternehmen eingesetzt. Einige Gesellschaften sind aufgrund gesetzlicher Regelungen sogar verpflichtet, ein anonymes Hinweisgebersystem einzuführen. Prominentes Beispiel einer solchen Forderung ist der Sarbanes-Oxley Act, der für alle an den US-Börsen gelisteten Unternehmen und deren Tochtergesellschaften auch in Europa gilt.

Die Art. 29 Datenschutzgruppe als unabhängiges Beratungsgremium der Europäischen Union hat in einer Stellungnahme auf Grundlage der Datenschutzrichtlinie 95/46/EG Anforderungen an die Einführung von anonymen Whistleblowingsystemen formuliert, bei deren Erfüllung Unternehmen sowohl SOX als auch europäischen Datenschutzbestimmungen genüge tun.

Auch das deutsche Bundesdatenschutzgesetz (BDSG) enthält Regelungen für den Einsatz eines Hinweisgebersystems.

Zulässigkeit von Verfahren zur Meldung von Missständen
Die Nutzung eines Hinweisgebersystems ist zur Erfüllung einer rechtlichen Verpflichtung (Artikel 7 Buchstabe c) zulässig (vgl. § 28 Abs. 1 S. 1 BDSG), z. B. als internes Kontrollverfahren für den Bankensektor oder nach dem OECD-Übereinkommen zur Bekämpfung der Bestechung ausländischer Beamter. SOX ist jedoch kein Gesetz im Sinne von § 28 Abs. 1 S. 1 BDSG.

Gemäß Artikel 7 Buchstabe f kann ein Meldeverfahren zudem zur Verwirklichung eines berechtigten Interesses dienen, also um die angemessene Funktionsweise der Organisationen sicherzustellen. Im BDSG ist die Zulässigkeit entsprechend geregelt: Gemäß § 28 Abs. 1 S. 1 Nr. 1 und 2 BDSG ist die Erhebung und Nutzung personenbezogener Daten zulässig, wenn sie der Wahrung berechtigter Interessen des Betroffenen oder einem Vertragszweck dient. Das zu erfassende Verhalten muss jedoch einen deutlichen Arbeitsbezug aufweisen (Eingrenzung der Themen). Gesetzeseinhaltung von Mitarbeitern und deren Überwachung dienen dem arbeitsvertraglichen Zweck, nämlich dem geordneten und wirtschaftlich erfolgreichen Ablauf des Wertschöpfungsprozesses.

Eingrenzung der Themen
Die Überprüfung der Compliance mit bestehenden Gesetzen rechtfertigt die Erhebung personenbezogener Daten. Jedoch sollen nur Hinweise zu Straftaten und Pflichtverletzungen, insbesondere zu Missständen in den Bereichen Rechnungslegung, interne Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung und Bekämpfung von Korruption und von Banken- und Finanzkriminalität erlaubt werden. Dieser Anspruch wird durch Themenlisten und Filterfunktionen erreicht.

Schutz des Hinweisgebers
Um den Zweck zu erfüllen, für den ein System zur Meldung von Missständen eingerichtet wurde und Personen zu ermutigen, das System zu nutzen und Tatsachen zu melden, die Fehlverhalten oder illegale Aktivitäten des Unternehmens aufzeigen können, ist es wesentlich, dass die meldende Person angemessen geschützt wird, indem die Anonymität garantiert wird und Dritte daran gehindert werden, ihre Identität in Erfahrung zu bringen.

Anonymität als Option
Vertraulichkeit erfüllt das Anonymitätserfordernis des SOX nicht, Gewährung der Anonymität des Hinweisgebers ist daher unumgänglich. Jedoch sollte neben einer anonymen Meldung auch die Nennung des Namens möglich sein.

Zugriffsicherheit der Daten
Nach Artikel 17 der Richtlinie 95/46/EG muss das Unternehmen oder die Organisation, das/die für ein System zur Meldung von Missständen verantwortlich ist, die geeigneten technischen und organisatorischen Maßnahmen treffen, die für die Gewährleistung der Sicherheit der Daten bei ihrer Erhebung, Verbreitung oder Speicherung erforderlich sind. Ziel ist, die Daten gegen zufällige oder unrechtmäßige Zerstörung oder den zufälligen Verlust und die unberechtigte Weitergabe oder den unberechtigten Zugang zu schützen. Es muss gewährleistet sein, dass Meldungen nicht leichtfertig von Dritten gelesen werden können, z. B. durch Verschlüsselung der Daten.

Minimierung des Missbrauchs (Denunziantentum)
Ungerechtfertigte Beschuldigungen sollen möglichst unterbunden oder zeitnah erkannt werden. Eine Plausibilitätsprüfung kann z. B. durch Rückfragen an den Hinweisgeber erreicht werden.

Interne Entgegennahme und Bearbeitung der Daten
Zugriffsbeschränkung für Bearbeiter
Die Daten sollen einem möglichst kleinen Personenkreis zugänglich sein und möglichst im Unternehmen verbleiben, damit keine Datenübermittlung vorliegt. Daher sollte der Zugriff individuell berechtigt und nicht auf externe Call-Center ausgelagert werden, insbesondere nicht in Drittstaaten, die kein angemessenes Datenschutzniveau garantieren (inkl. USA). Das System zur Meldung von Missständen sollte streng von anderen Abteilungen des Unternehmens getrennt werden, beispielsweise der Personalabteilung.

Unabhängige Datenbevorratung; Trennung von Personalakte
Die Daten sollen in einer speziellen Falldatenbank aufbewahrt werden, wobei keine Verknüpfung mit der Personalabteilung /-datenbank vorliegen darf.

Unwiderrufliches Löschen der Meldungen bei Einstellung oder Abschluss
Nach Einstellung oder Abschluss der Ermittlungen müssen die Daten unverzüglich und in der Regel innerhalb von innerhalb von zwei Monaten irreversibel gelöscht werden (vgl. § 35 Abs. 2 Nr. 3 BDSG).

Bereitstellung klarer und vollständiger Informationen über das System
Der für die Verarbeitung Verantwortliche ist gemäß Artikel 10 der Datenschutzrichtlinie verpflichtet, die Betroffenen von der Existenz, dem Zweck und der Funktionsweise des Systems, den Empfängern der Meldungen und den Zugangs-, Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten zu unterrichten.

Mitteilungspflicht
Nach Artikel 11 der Richtlinie 95/46/EG sind die betroffenen Personen zu unterrichten, wenn personenbezogene Daten bei Dritten erhoben werden (vgl. § 33 Abs. 1 S. 1 BDSG). Die Benachrichtigungspflicht entfällt jedoch, wenn die Benachrichtigung die Geschäftszwecke der verantwortlichen Stelle gefährden würde (§ 33 Abs. 2 Nr. 7 BDSG). Der Geschäftszweck ist hier die Aufklärung des Straftatverdachts, deren Gefährdung durch die Benachrichtigung zu bejahen ist.