Mit der Dokumentation von Verarbeitungstätigkeiten ist gemeint, dass das Unternehmen festhält, welche personenbezogenen Daten es zu welchem Zweck verarbeitet. Auch müssen bestimmte gesetzlich definierte Umstände der Verarbeitung dokumentiert werden, etwa die Speicherdauer und die für die Verarbeitung ergriffenen Schutzmaßnahmen.

Eine Kernfrage der Dokumentationspflicht ist, wann eine Datenverarbeitung vorliegt (dazu: sachlicher Anwendungsbereich).

Darüber hinaus stellt sich die Frage, wie genau eine Verarbeitung im rechtlichen Sinne zu dokumentieren ist. Der Verantwortliche sollte sich bei der Definition dabei nicht von der Verarbeitung selbst, sondern von deren Telos leiten lassen. Immer dort, wo ein Prozess mit eigenem Ziel vorliegt, besteht eine Datenverarbeitung. Der Zweck muss dabei hinreichend konkret formuliert sein. Auch ist ein Zweck nicht mit einer prozessualen Kategorie gleichzusetzen (etwa "Erstellen von..." oder "Einsatz von...").

Die maßgebene Vorschrift für die Dokumentation von Verarbeitungstätigkeiten ist Art. 30 DSGVO.

Im ersten Absatz werden die Datenkategorien genannt, die der Verantwortliche zu dokumentieren hat. Ist an der Dokumentation ein Auftragsverarbeiter beteiligt, muss dieser die in Absatz 2 benannten Datenkategorien dokumentieren.

Ein Unternehmen, das nicht nur als Verantwortlicher, sondern auch als Auftragsverarbeiter Daten verarbeitet, muss entsprechend zwei Arten von Dokumentationen führen.