Ein materieller Verstoß gegen die DSGVO ist im Gegensatz zum formellen Verstoß ein Verstoß gem. Art. 83 Abs. 5 gegen die grundsätzlichen Bestimmungen und Pflichten der DSGVO:
- die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;
- die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
- die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;
- alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden;
- Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1.
Als typische Beispiele für materielle Verstöße können die zweckungebundene Vorratsdatenspeicherung, die unbegrenzte Speicherung, die Übermittlung von Daten in sog. Drittstaaten ohne hinreichende Garantien sowie Verstöße gegen die Informations- und Auskunftspflichten angeführt werden.
Art. 83 Abs. 5 DSGVO sieht als Folge eines materiellen Verstoßes Geldbußen vor von bis zu 20 000 000 EUR oder bei Unternehmen von bis zu 4 % dessen gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist.