Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, kurz: BCR) gemäß Art. 46 Abs. 2 lit. b, Art. 47 DS-GVO können vor allem bei international tätigen Konzernen mit internem Datenfluss (auch) in Drittländer empfehlenswert sein. Dabei legt das Unternehmen Regelungen für den Umgang mit personenbezogenen Daten auch in Drittländern fest. Die BCR müssen einen Schutz bieten, der im Wesentlichen der Datenschutz-Grundverordnung entspricht. Der Mindestinhalt ist in Art. 47 Abs. 2 DS-GVO festgelegt. Zudem müssen die BCR für alle betreffenden Mitglieder der Unternehmensgruppe rechtlich bindend sein und den betroffenen Personen durchsetzbare Rechte gewähren (Art. 47 Abs. 1 lit. a und b DS-GVO). Die Genehmigung der BCR erfolgt gemäß dem Kohärenzverfahren durch die zuständige Aufsichtsbehörde (Art. 47 Abs. 1 DS-GVO). Die konkreten Datenübermittlungen auf Grundlage der BCR sind dann im Einzelnen nicht mehr genehmigungspflichtig.