Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, kurz: BCR) gemäß Art. 46 Abs. 2 lit. b, Art. 47 DS-GVO können vor allem bei international tätigen Konzernen mit Datentransfers in Drittländer empfehlenswert sein. Dabei legt das Unternehmen Regelungen für den Umgang mit personenbezogenen Daten in Drittländern fest. Die BCR müssen einen Schutz bieten, der im Wesentlichen der Datenschutz-Grundverordnung entspricht. Der Mindestinhalt ist in Art. 47 Abs. 2 DS-GVO festgelegt. In seinem Schrems II-Urteil vom 16.07.2020 betont der EuGH, dass die gemäß Art. 46 DS-GVO verwendeten geeigneten Garantien ein Schutzniveau der Freiheiten und Grundrechte gewährleisten müssen, das dem in der EU durch die DS-GVO im Lichte der EU-Grundrechtecharta garantieren Niveau der Sache nach gleichwertig ist (Rn. 92, 94 EuGH-Urteil). Dieser Maßstab ist daher auch bei der Formulierung von BCR anzulegen.

Zudem müssen die BCR für alle betreffenden Mitglieder der Unternehmensgruppe rechtlich bindend sein und den betroffenen Personen durchsetzbare Rechte gewähren (Art. 47 Abs. 1 lit. a und b DS-GVO). Die Genehmigung der BCR erfolgt gemäß dem Kohärenzverfahren durch die zuständige Aufsichtsbehörde (Art. 47 Abs. 1 DS-GVO). Die konkreten Datenübermittlungen auf Grundlage der BCR sind dann im Einzelnen nicht mehr genehmigungspflichtig.