Zur Gliederung einer Verfahrensdokumentation gibt es keine datenschutzrechtlich verbindlichen Vorgaben.

In der Zielsetzung sollte es darum gehen, zu verstehen, wie das jeweilige Verfahren arbeitet.

Dazu gehört die technische Infrastruktur, auf der die Verfahren betrieben werden, einschließlich der verwendeten
Systemprogramme, der Bürosoftware, einschließlich individueller Anpassungen für das Verfahren (z.B. Makroprogrammierung)
der Büroanwendungen, löschungs Vorschriften. Weiter gehört einen Beschreibung der Fachprogramme für die Branchenanwendung dazu mit der Beschreibung
der Eingabedaten, der Verarbeitungsprozesse und der Ausgabedaten. Sofern Programme individuelle erstellt werden, gehört auch
eine Programmdokumentation dazu. Die Vorgehensweise der Wartung ist zu beschreiben.

In die Beschreibung gehören die Schnittstellen des Verfahrens zu anderen Verfahren, die Schnittstellen des verwendeten Systems nach
außen (z.B. Datev, Fernwartung) , die Zugriffsprofile der Benutzer, die Benennung von verantwortlichen für den Datenschutz, IT-Sicherheit,
Systemverwaltung usw. Es gehören dazu die Unterlagen zu den Verfahrenstests und die Freigabedokumentation, Hinweise zur Qualifikation
der mit dem Verfahren arbeitenden Mitarbeiter.

Es müssen die Maßnahmen beschrieben werden, die zur Sicherstellung der Sicherheit der Datenverarbeitung getroffen werden. Dies schließt auch
den Umgang mit Papier ein. (Aktenunterbringung, -entsorgung, -vernichtung). Zu bevorzugen ist dabei die Zusammenführung der Maßnahmen zu
einem Sicherheitskonzept, welches auf die Risiken eingeht, denen man mit der Maßnahmen begegnen will.