Der primäre Zweck der Dokumentation der Verarbeitungstätigkeiten folgt aus ErwG. 82, wonach das Verzeichnis dem „Nachweis der Einhaltung der DSGVO“ dient.

Darüber hinaus ist das Verzeichnis auch noch in anderer Hinsicht ein wichtiges Element zur Einhaltung weiterer Datenschutzvorschriften:

• Erfüllung der Informationspflichten gemäss Art. 13 und 14 DSGVO: Zahlreiche Informationen, die Sie den betroffenen Personen zur Verfügung stellen müssen, können Sie aus dem Verzeichnis übernehmen (etwa den Zweck der Verarbeitung oder die Rechtsgrundlagen).
• Gewährleistung der Betroffenenrechte gemäss Art. 13 bis 22 DSGVO: Wenn Sie wissen, welche personenbezogenen Daten in Ihrer Organisation zu welchem Zweck, auf welcher Rechtsgrundlage und für welche Dauer verarbeitet werden, können Sie Anfragen von betroffenen Personen effizienter bearbeiten.​​​​​​​
• Sicherheitsmassnahmen: Eine Bestandsaufnahme Ihrer Verarbeitungstätigkeiten erleichtert es, geeignete technische und organisatorische Massnahmen zu treffen, um ein adäquates Sicherheitsniveau gewährleisten zu können.​​​​​​​
• Datenschutz-Folgenabschätzung nach Art. 35 DSGVO: Das Verzeichnis kann zur Prüfung dafür dienen, ob eine Datenschutz-Folgenabschätzung erfolgen muss.​​​​​​​
• Hilfestellung für den Datenschutzbeauftragten: Das Verzeichnis ist eine ideale Grundlage für den Datenschutzbeauftragten, um seine Aufgaben gemäss Art. 39 DSGVO erfüllen zu können.

Gemäss Art. 30 Abs. 1 DSGVO hat das Verzeichnis des Verantwortlichen die folgenden Elemente zu enthalten:

• Name und Kontaktdaten des Verantwortlichen;
• gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten, wenn ein solcher gemäss Art. 37 DSGVO bestellt ist;
• gegebenenfalls Name und Kontaktdaten eines gemeinsamen Verantwortlichen gemäss Art. 26 DSGVO;
• gegebenfalls Name und Kontaktdaten eines Vertreters eines ausserhalb der EU/EWR ansässigen Verantwortlichen (Art. 4 Nr. 17, Art. 27 DSGVO);
• die Zwecke der Verarbeitung¹  (z.B. Lohn- oder Gehaltsabrechnung, Arbeitszeiterfassung, Bewerbungsverfahren, Videoüberwachung, Kunden-, Lieferantenverwaltung, Mitglieder- oder Sponsorenverwaltung etc.);
• die Kategorien von betroffenen Personen wie z.B. Mitarbeitende, Kunden oder Lieferanten, Klienten, Patienten oder Mitglieder;
• die Kategorien der verarbeiteten personenbezogenen Daten wie z.B. Kontaktdaten, Bankdaten, Steuernummern, Mitarbeiter-Stammdaten, Bewerbungsunterlagen (mit Kontaktdaten, Qualifikationsdaten, Tätigkeiten), Gesundheitsdaten;
• die Kategorien von Empfängern personenbezogener Daten², das heisst Organisationen oder Personen, mit denen  personenbezogene Daten geteilt werden wie z.B. Behörden, Versicherungen, Banken, Auftragsverarbeiter oder Reiseveranstalter
• gegebenenfalls Name von Drittstaaten oder internationalen Organisationen, an die personenbezogene Daten übermittelt werden, sofern sich diese ausserhalb der EU/EWR befinden, einschliesslich der Dokumentierung geeigneter Garantien;
• die Aufbewahrungsfristen für die verschiedenen Kategorien personenbezogener Daten³;
• eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmassnahmen zum Schutz der personenbezogenen Daten wie z.B. Verschlüsselung, Pseudonymisierung, Gewährleistung der Integrität und Vertraulichkeit der Systeme oder Zugangskontrollen⁴.

Gemäss Art. 30 Abs. 2 DSGVO hat das Verzeichnis des Auftragsverarbeiters die folgenden Elemente zu enthalten:

• Name und Kontaktdaten des Auftragsverarbeiters;
• Gegebenenfalls Name und Kontaktdaten des Datenschutzbeauftragten, wenn ein solcher gemäss Art. 37 DSGVO bestellt ist;
• gegebenenfalls Name und Kontaktdaten eines Vertreters eines ausserhalb der EU/EWR ansässigen Auftragsverarbeiters;
• Name und Kontaktdaten jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist;
• gegebenenfalls Name und Kontaktdaten eines Vertreters des Verantwortlichen;
• Beschreibung der Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden wie z.B. Lohn- und Gehaltsabrechnung, Finanzbuchhaltung, E-Mail-Datenbank, Werbeadressenverarbeitung, Archivierung von Datenbeständen oder Löschung sowie Entsorgung von Datenträgern;
• Gegebenenfalls den Namen von Drittstaaten oder internationalen Organisationen, an die personenbezogene Daten übermittelt werden, einschliesslich der Dokumentierung geeigneter Garantien;
• eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmassnahmen zum Schutz der personenbezogenen Daten wie z.B. Verschlüsselung, Pseudonymisierung, Gewährleistung der Integrität und Vertraulichkeit der Systeme oder Zugangskontrollen¹.

Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern müssen kein Verzeichnis von Ver-arbeitungstätigkeiten führen, es sei denn, der Verantwortliche bzw. Auftragsverarbeiter führt Verarbeitungen personenbezogener Daten durch,

• die ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (dazu gehören regelmässig Fälle von Scoring und Überwachungsmassnahmen); oder

• die nicht nur gelegentlich erfolgen (die Verarbeitung von Kunden- oder Beschäftigtendaten gilt als regelmässig); oder

• die besondere Datenkategorien gemäss Art. 9 Abs. 1 DSGVO (Daten zu Herkunft, religiöser Überzeugung oder Gesundheitsdaten etc.) oder strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO betreffen.

Folglich müssen Verantwortliche und Auftragsverarbeiter nur jene Datenverarbeitungen in das Verzeichnis aufnehmen, die unter die oben genannten drei Varianten fallen.

Dennoch empfiehlt die Datenschutzstelle, das Verzeichnis so umfassend wie möglich zu erstellen, da es ein nützliches Element für das weitere Vorgehen bei der Erfüllung anderer Verpflichtungen darstellen kann.