Bei massenhaften Login-Versuchen sollte es sich um äußere Angriffe handeln. Maßnahmen zum Schutz sind gemäß § 19 Abs. 4 TTDSG zulässig. Neben dem berechtigten Interesse kommt als Rechtsgrundlage dann ggf. Art. 6 Abs. 1 lit. c) DSGVO in Betracht.
Die IP-Adresse gehört gemäß § 22 Abs. 1 TTDSG zu den Bestandsdaten i.S.d. § 2 Abs. 2 Nr. 2 TTDSG. Diese zu verarbeiten, ist ggf. für die Erbringung des Telemediendienstes (hier SaaS) erforderlich. Als Rechtsgrundlage gilt ggf. der Vertrag i.S.d. Art. 6 Abs. 1 lit b) DSGVO. Das Widerspruchsrecht käme dann nicht zum Ansatz.