Safe Harbor war ein Abkommen zwischen der Europäischen Union (EU) und den Vereinigten Staaten von Amerika (USA), das 2000 eingeführt wurde, um die Übertragung personenbezogener Daten zwischen der EU und den USA zu erleichtern. Das Abkommen ermöglichte es US-amerikanischen Unternehmen, personenbezogene Daten von EU-Bürgern zu sammeln und zu verarbeiten, während sie gleichzeitig bestimmte Datenschutzbestimmungen einhielten.
US-amerikanische Unternehmen mussten sich im Rahmen des Safe-Harbor-Abkommens verpflichten, die Datenschutzbestimmungen der EU einzuhalten und eine angemessene Sicherheit für personenbezogene Daten zu gewährleisten. Sie mussten sich auch verpflichten, EU-Bürgern bestimmte Rechte einzuräumen, wie zum Beispiel das Recht auf Zugang, Berichtigung und Löschung ihrer Daten.
Das Safe-Harbor-Abkommen wurde jedoch im Oktober 2015 vom EuGH (Urt. v. 06.10.2015, Az. C-362/14 – „Schrems I“) für ungültig erklärt (Schrems I), da es den Schutz personenbezogener Daten von EU-Bürgern nicht ausreichend gewährleistete. Insbesondere kritisierte der EuGH, dass US-amerikanische Unternehmen aufgrund des Patriot Acts verpflichtet sein könnten, personenbezogene Daten an US-Behörden weiterzugeben, ohne dass EU-Bürger darüber informiert werden würden.
Nach der Aufhebung des Safe-Harbor-Abkommens mussten Unternehmen alternative rechtliche Mechanismen verwenden, um personenbezogene Daten zwischen der EU und den USA zu übertragen, wie zum Beispiel Standardvertragsklauseln oder Binding Corporate Rules.