Dies erscheint mir verwirrend, da üblicherweise zur Verhinderung von Angriffen immer IP-Adressen kurzzeitig mitgespeichert werden.
"Speichern" ist ein Begriff, den Techniker und Datenschützer ein wenig unterschiedlich sehen. Wenn man jede Form der Verarbeitung einschließt (die i.d.R. eine Zwischenspeicherung in RAM- und Cache-Speichern sowie in Switches beinhaltet), dann werden IP-Adressen alleine zur Ermöglichung jeglichen Datenflusses im Internet an allen Ecken und Enden gespeichert. Ohne IP-Adresse wüsste der Webserver gar nicht, wohin er die Fragebogen-Seite (also deren HTML-Code) eigentlich schicken soll. Deshalb IP = Internet Protocol.
Diese Verarbeitung ist aber i.d.R. durch die Gesetze zur Telekommunikation abgedeckt.
Was aus Datenschutz-Sicht dann noch relevant bleibt sind Logfiles. Und hier macht SoSci Survey folgendes:
1) Für Aufrufe an existierende URLs werden keine IP-Adressen gespeichert.
2) Wenn ein Script versucht, nicht-existrierende Adressen aufzurufen - was Script dann tun, wenn sie nach möglicherweise verwundbarer Software auf dem Server suchen - dann wird die IP-Adresse aufgezeichnet und nach ein paar Aufrufen wird die IP-Adresse gesperrt.
Eine ähnliche Aufzeichung und Sperrung gilt auch, wenn jemand eine falsche SERIAL zum Zugriff auf einen Fragebogen verwendet oder einen ungültigen personalisierten (Serienmail-)Link oder einen ungültigen API-Link.