Safe Harbor bezieht sich auf eine Entscheidung der Europäischen Kommission aus dem Jahr 2000, mit der eine Reihe von Standards für die Übermittlung privater Daten aus der EU in die USA festgelegt werden sollte. Es ist seit 2015 nicht mehr gültig, da festgestellt wurde, dass die USA kein angemessenes Datenschutzniveau bieten können.
"Safe Harbor" bezieht sich auf die Entscheidung der Europäischen Kommission aus dem Jahr 2000 in Bezug auf die Übermittlung privater Daten aus der EU in die USA. Dies steht in direktem Zusammenhang mit den vom US-Handelsministerium am 21. Juli 2000 veröffentlichten "Safe Harbor Privacy Principles" und der Datenschutzrichtlinie von 1995 (umgesetzt 1998). Die Richtlinie war das erste Dokument, das auf die Verpflichtung hinwies, dass personenbezogene Daten von EU-Bürgern nur dann in Nicht-EU-Länder übermittelt werden dürfen, wenn diese Länder einen "angemessenen Schutz der Privatsphäre" bieten können.
Zweck dieses bilateralen Abkommens war es, den Handel zwischen der EU und den USA zu erleichtern und gleichzeitig sicherzustellen, dass die privaten Daten der Bürger (Kunden) im Rahmen der internationalen Übermittlung geschützt werden. Um auch nach der Richtlinie von 1998 einen effizienten Datentransfer von der EU in die USA zu ermöglichen, haben die beiden Parteien dieses Protokoll ausgearbeitet, das einen Rahmen dafür bietet, wie US-Unternehmen ein "angemessenes Datenschutzniveau" gewährleisten können.
Dies geschah mit dem Ziel, den versehentlichen Verlust personenbezogener Daten zu verhindern, hatte aber später erhebliche Auswirkungen auf die nationalen Sicherheitsgesetze in den USA. Im Jahr 2015 wurde das Abkommen nach dem Fall Schrems I als obsolet betrachtet, als ein österreichischer Staatsbürger argumentierte, dass Facebook keinen angemessenen Schutz seiner personenbezogenen Daten in den USA bieten könne.
Daraufhin schlossen die USA und die EU ein weiteres Abkommen, das EU-US Privacy Shield, das ebenfalls 2020 für ungültig erklärt wurde.