Binding Corporate Rules (BCR; deutsch: verbindliche interne Datenschutzvorschriften) sind in Art. 47 DSGVO geregelt. Es handelt sich dabei um Datenschutzrichtlinien, die von Unternehmen mit Sitz in der EU bei der Übermittlung personenbezogener Daten außerhalb der EU innerhalb einer Unternehmensgruppe oder eines Unternehmens eingehalten werden müssen. Solche Regeln müssen alle allgemeinen Datenschutzprinzipien und durchsetzbare Rechte umfassen, um angemessene Garantien für Datentransfers zu gewährleisten. Sie müssen rechtsverbindlich sein und von jedem betroffenen Mitglied der Gruppe durchgesetzt werden.
Unternehmen müssen BCR bei der federführenden Ausichtsbehörde in der EU zur Genehmigung vorlegen. Die Behörde wird die BCR gemäß dem in Art. 63 DSGVO festgelegten Kohärenzverfahrens genehmigen. An diesem Verfahren können mehrere Aufsichtsbehörden beteiligt sein, da die Gruppe, die die Genehmigung ihrer BCR beantragt, Unternehmen in mehr als einem Mitgliedstaat haben kann. Die zuständige Behörde übermittelt ihren Entscheidungsentwurf an den Europäischen Datenschutzrausschuss (EDSA), der eine Stellungnahme zu den BCR abgibt. Wenn die BCR in Übereinstimmung mit der Stellungnahme des EDSA fertiggestellt sind, genehmigt die zuständige Behörde die BCR. Genehmigungen von Aufsichtsbehörden auf der Grundlage der Richtlinie 95/46/EG bleiben so lange gültig, bis sie von diesen Aufsichtsbehörden gegebenenfalls geändert, ersetzt oder aufgehoben werden.