BG Beter Geregeld ICT
AVG & privacy · 2 min leestijd · 20 Dezember 2025

IP-Adressen protokollieren unter DSGVO: Pseudonym, personenbezogene Daten – was ist erlaubt?

Eine IP-Adresse gilt unter der DSGVO als personenbezogenes Datum. Security-Logs benötigen sie oft wochenlang oder monatelang. Wie lässt sich das mit den Grundsätzen zur Datenspeicherung vereinbaren?

Eine IP-Adresse wird unter der DSGVO als personenbezogenes Datum eingestuft. Security-Logs, die IP-Adressen erfassen, fallen unter die Verarbeitung personenbezogener Daten.

\n\n

Zulässige Rechtsgrundlagen

\n
    \n
  • Berechtigtes Interesse: IT-Sicherheit, Betrugsprävention, Fehleranalyse. Am häufigsten genutzt.
    • \n
  • Rechtliche Verpflichtung: bei spezifischen gesetzlichen Anforderungen (z. B. Finanzaufsicht).
    • \n
  • Einwilligung: für Security-Logs in der Regel nicht erforderlich.
    • \n
\n\n

Speicherfristen

\n
    \n
  • Web-Access-Logs: standardmäßig 30 Tage, bis zu 90 Tage für forensische Zwecke.
    • \n
  • Auth-Logs (Anmeldeversuche): 90 Tage – 1 Jahr.
    • \n
  • Firewall-Logs: 30–90 Tage.
    • \n
  • Audit-Logs für Compliance: 3 Jahre (ISO-Anforderung).
    • \n
\n

Längere Aufbewahrung = ausführlichere Begründung im Verarbeitungsverzeichnis sowie eine Risikoanalyse, warum dies erforderlich ist.

\n\n

Pseudonymisierung

\n

Lässt sich das letzte Oktett anonymisieren (192.168.1.x → 192.168.1.0/24)? Für Analysezwecke ausreichend. Für die IT-Sicherheit meist nicht — dort muss eine konkrete IP-Adresse gezielt zugeordnet werden können.

\n\n

Betroffenenrechte

\n

Jemand fragt: „Welche Logs haben Sie von mir?" — Sie müssen sowohl nach der IP-Adresse als auch nach der Konto-ID suchen können. Halten Sie in Ihrem System fest, wie Sie das umsetzen.

\n\n

Siehe auch: DSGVO-Übersicht, Speicherfristen.

Onderwerpen

#security #avg #ip-adres #logs

Volledige gids: Cumplimiento GDPR para pymes: el mínimo práctico

Dit artikel is onderdeel van onze uitgebreide AVG & privacy-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

AVG & privacy

DSGVO-Compliance für KMU: das praktische Minimum

DSGVO kostet nicht €10.000 und erfordert keinen DSB bis zu einer bestimmten Unternehmensgröße. Das ist, was jedes KMU mindestens vorweisen sollte — basierend auf dem, was die Aufsichtsbehörden tatsächlich prüfen.

2 min
AVG & privacy

Aufbewahrungsfristen nach Datenkategorie im KMU

Wie lange darf man Kundendaten, Bewerbungsunterlagen, Rechnungen oder CCTV-Aufnahmen aufbewahren? Die wichtigsten Kategorien auf einen Blick – mit Quellenangabe je Frist.

2 min
AVG & privacy

Marketing-Einwilligung: E-Mail, WhatsApp, Retargeting — was ist noch erlaubt?

Ihr Newsletter, Ihre Angebots-Mails, Ihre Retargeting-Pixel — all das braucht eine Einwilligungsgrundlage. Hier die konkreten Regeln pro Kanal.

2 min
AVG & privacy

Betroffenenrechte: Auskunft, Berichtigung, Löschung — ein praxistaugliches Verfahren

Ein Kunde möchte seine Daten einsehen oder löschen lassen. Sie haben 30 Tage. Hier das Verfahren, das funktioniert — ohne dass eine Anfrage eine halbe Woche verschlingt.

2 min
AVG & privacy

Sub-Auftragsverarbeiter außerhalb der EU: Was das Schrems-II-Urteil noch immer fordert

Nutzt du AWS, Google oder Microsoft? Dann fließen Teile deiner Daten durch die USA. Seit Schrems II ist das nicht mehr ohne Weiteres erlaubt. Hier erfährst du, was jetzt funktioniert.

2 min
AVG & privacy

DPIA — Data Protection Impact Assessment: wann ja, wann nicht?

Eine DPIA klingt nach etwas für große Konzerne. Für KMU ist sie selten nötig — aber in bestimmten Situationen unumgänglich. Hier der Entscheidungsbaum.

2 min
← Alle artikelen in "AVG & privacy"