In dem Verzeichnis soll u.a. festgehalten werden, wie die personenbezogenen Daten verarbeitet werden – also zum Beispiel, ob besondere Kategorien von Daten (Gesundheitsdaten u.a.) verarbeitet werden, oder ob Daten an Externe übermittelt werden (zum Beispiel im Zusammenhang mit der Rechnungserstellung oder Nachverfolgung).

Das Verzeichnis gibt im Bedarfsfalle (zum Beispiel gegenüber den Aufsichtsbehörden) einen schnellen Überblick über die Verarbeitungstätigkeiten. 

Je nachdem, wie groß das Risiko ist, dass Personen durch eine Datenpanne zu Schaden kommen, ist der Aufwand für die Dokumentation unterschiedlich. Sollte ein hohes Risiko bestehen, muss zusätzlich eine „Datenschutz-Folgenabschätzung“ erstellt werden. Ein hohes Risiko liegt zum Beispiel in Betrieben vor, in denen „besonders schutzwürdige Daten“ (u.a. Gesundheitsdaten, Daten zu ethnischen Zugehörigkeit oder Religion) verarbeitet werden.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat Muster für ein Verzeichnis von Verarbeitungstätigkeiten (jeweils für Verantwortliche und für Auftragsverarbeiter) erstellt, die heruntergeladen werden können. Zudem hat die DSK ein Kurzpapier (KP 1, "Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO") zum Thema veröffentlicht.