Die Pflicht zur Dokumentation von Verarbeitungstätigkeiten soll das Unternehmen dazu anhalten, sich über die eigenen Datenverarbeitungen bewusst zu werden. Außerdem ist das Verarbeitungsverzeichnis die erste Anlaufstelle für Datenschutzbehörden, die die Rechtmäßigkeit des Umgangs des Unternehmens mit personenbezogenen Daten überprüfen wollen.

Eine sehr wichtige Frage ist dabei zunächst, was unter einer Datenverarbeitung aus rechtlicher Sicht zu verstehen ist. Bei der Definition einer Datenverarbeitung einschließlich der Abgrenzung gegenüber anderen Datenverarbeitungen ist sodann der Zweck entscheidend: Wozu dient die jeweilige Verarbeitung? Dagegen ist die Art und Weise der Verarbeitung und nicht maßgeblich. Es soll auch nicht nach einzelnen Verarbeitungsschritten unterschieden werden, sondern nach dem übergeordneten Zweck.

Sowohl die so genannten für die Verarbeitung Verantwortlichen (diejenigen, die die Zwecke und Mittel einer Verarbeitungstätigkeit festlegen) als auch die so genannten Auftragsverarbeiter (diejenigen, die als Dienstleister fungieren und auf der Grundlage von Anweisungen der für die Verarbeitung Verantwortlichen handeln) müssen Aufzeichnungen über die Verarbeitungstätigkeiten erstellen, obwohl der Umfang der Dokumentationspunkte für die für die Verarbeitung Verantwortlichen viel breiter ist. Auftragsverarbeiter müssen die für die Verarbeitung Verantwortlichen bei der Erfüllung der erweiterten Dokumentationspflichten des für die Verarbeitung Verantwortlichen unterstützen.

Das Gesetz legt nicht im Einzelnen fest, nach welcher Methode die Verarbeitungstätigkeiten zu dokumentieren sind. Daher ist es Sache des Unternehmens, ein geeignetes Dokumentationsmittel zu suchen. Während sich in größeren Unternehmen die Dokumentation mithilfe eines Datenschutzmanagementsystems anbietet, genügt in Unternehmen mit wenigen Datenverarbeitungen auch der Rückgriff auf eine Excel- oder Wodvorlage.