Safe Harbor war die erste Entscheidung der EU-Kommission aus dem Jahr 2000, die es EU-Unternehmen ermöglichte, personenbezogene Daten aus einem Land der Europäischen Union in die USA zu übertragen, und zwar unter Einhaltung der EU-Datenschutzvorschriften: ein Transferinstrument. Ein solches Instrument wurde für notwendig erachtet, da es nicht zulässig ist, personenbezogene Daten in Drittländer zu übermitteln, deren Datenschutzniveau nicht mit dem der EU vergleichbar ist. Die USA sind ein solches Land. Gleichzeitig war - und ist - ein völliger Stillstand der Datenübermittlung zwischen solchen miteinander verflochtenen Volkswirtschaften nicht wünschenswert.
Zu diesem Zweck hat die EU Datenübermittlungen an US-Unternehmen zugelassen, die sich zur Einhaltung der Safe-Harbor-Grundsätze verpflichtet haben:
- Benachrichtigung - die betroffenen Personen müssen über die Verarbeitung ihrer Daten informiert werden.
- Wahlmöglichkeit - Betroffene müssen die Möglichkeit haben, die Verarbeitung abzulehnen.
- Weiterübermittlung - die Weiterübermittlung personenbezogener Daten ist nur an Empfänger zulässig, die angemessene Datenschutzgrundsätze einhalten.
- Sicherheit - es müssen angemessene Anstrengungen unternommen werden, um den Verlust von personenbezogenen Daten zu verhindern.
- Datenintegrität - personenbezogene Daten müssen für den zugrunde liegenden Zweck der Verarbeitung relevant und zuverlässig sein.
- Zugang - Betroffene müssen die Möglichkeit haben, auf ihre personenbezogenen Daten zuzugreifen und sie zu berichtigen.
- Durchsetzung - den Betroffenen müssen wirksame Mittel zur Durchsetzung dieser Regeln zur Verfügung stehen.
Safe Harbor wurde vom Europäischen Gerichtshof (EuGH) in seinem Urteil in der Rechtssache Schrems I für ungültig erklärt.