Wenn wir schon beim konkreten Thema sind. Double-Opt ist doch auch bei Registrierungen für Accounts notwendig. Ergo betrifft alles was so gesprochen und diskutiert wird auch dort die "Aktivierungsmail"? ergo muss man auch da IP-Adresse etc.. Mitprotokollieren zu auf Nummer sicher zu gehen?
Ja. Natürlich muss man das loggen! Wie willst Du sonst nachweisen, dass der künftige Empfänger zugestimmt hat? Also nicht nur die gängigen Daten aus dem Access-Log, sondern auch die ins Formular eingegeben Daten (am besten $_POST, $_GET, $_SESSION, $_COOKIE, $_SERVER komplett!) und auch das eindeutige Merkmal (an dem das Double-Opt-In erkannt wird) und die Version der Software.
Ich sehe darüber hinaus sogar die Notwendigkeit die (alte) Software bei Updates zu archivieren und zu protokollieren, welche der gesicherten Versionen von und bis wann im Einsatz war. Nur so lässt sich ggf. durch einen Gutachter beweisen, dass das mit dem Dpuble-Opt-In seine Richtigkeit hat.