IP-Adressen sind personenbezogene Daten. Dies ergibt sich aus Erwägungsgrund 30 DSGVO, der Online-Kennungen wie IP-Adressen ausdrücklich nennt, und wurde vom EuGH bestätigt (C-582/14, Breyer).
Zuläßigkeit: Die Speicherung von IP-Adressen ist unter bestimmten Voraußetzungen zuläßig:
IT-Sicherheit: Die kurzfristige Speicherung in Server-Logfiles zur Gewährleistung der IT-Sicherheit (Erkennung und Abwehr von Angriffen) kann auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) gestützt werden. Erwägungsgrund 49 DSGVO nennt IT-Sicherheit ausdrücklich als berechtigtes Interesse. Die Speicherdauer muss auf das erforderliche Minimum begrenzt werden - in der Regel wenige Tage bis maximal wenige Wochen.
Technische Notwendigkeit: Die Verarbeitung der IP-Adresse während einer Sitzung ist technisch notwendig für die Nachrichtenübertragung und somit nach Paragraph 25 Abs. 2 Nr. 1 TDDDG ohne Einwilligung zuläßig.
Analyse und Tracking: Die dauerhafte Speicherung oder Auswertung von IP-Adressen zu Analysezwecken (z.B. Erstellung von Nutzungsprofilen) erfordert eine Einwilligung nach Paragraph 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO.
Datenminimierung: Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) verlangen, dass IP-Adressen nicht länger als nötig gespeichert werden. Wo möglich, sollte eine IP-Anonymisierung oder -Kürzung eingesetzt werden.