Überholte Entscheidung der EU-Kommission vom 26. Juli 2000, wonach europäische Unternehmen personenbezogene Daten in Übereinstimmung mit der Datenschutzrichtlinie 95/46/EG an akkreditierte Unternehmen in die USA exportieren durften. Ausgangspunkte waren Art. 25 und 26 der Europäischen Datenschutzrichtlinie. Demnach ist ein Datentransfer in Drittstaaten verboten, falls dort kein angemessenes Datenschutzniveau herrscht. Dies traf auf die USA zu. Die an Safe Harbor teilnehmenden Unternehmen zertifizierten sich selbst, verpflichteten sich zur Einhaltung europäischer Standards und meldeten dies gegenüber der Federal Trade Commission (FTC) an. Typischer Anwendungsfall: Wer einen amerikanischen ESP nutzt, führt E-Mail-Adressen europäischer Bürger in die USA aus. Der Europäische Gerichtshof erklärte die Safe Harbor-Regelung am 6. Oktober 2015 für nichtig (Rechtssache C-362/14). Gegenwärtig wird die Nachfolgeregelung ausgehandelt, das EU-US Privacy Shield.