Ich vermute einmal, Sie meinen den Auftragsverarbeitungsvertrag, welchen Sie vereinbaren müssen, um Serienmails über SoSci Survey zu versenden, ist das korrekt?
Vorab (hier nochmal zum Nachlesen): Den Auftragsverarbeitungsvertrag (AVV) benötigen Sie, damit Sie überhaupt E-Mail-Adressen (=personenbezogene Daten) an SoSci Survey üebrmitteln dürfen. Hätten Sie dafür keinen AVV nach Art. 26 EU-DSGVO, würden Sie sich strafbar machen. Und die DSGVO ist bei Strafen nicht gerade zimperlich - wenn man nur ein paar tausend Euro zahlen muss, ist man gut davon gekommen.
So, aber nun zu den 120 € pro Stunde - übrigens zzgl. USt. Dazu steht im AVV unter Punkt 13:
13.1. Der Auftragnehmer erbringt die Umsetzung der durch die Nutzungsvereinbarungen festgelegten Weisungen und sorgt für die Einhaltung der allgemeinen und technischen und organisatorischen Maßnahmen, ohne dem Auftraggeber dafür Kosten nach diesem Vertrag zu berechnen. ...
Die SoSci Survey GmbH liefert also schonmal eine Menge Service rund um den Datenschutz (und natürlich in Hinblick auf IT-Infrastruktur, Software und Beratung) ohne dafür auch nur einen Cent in Rechnung zu stellen, aber es geht ja weiter:
13.2. Dagegen fallen Kosten für die Umsetzung von Einzelweisungen und sonstiger Verlangen, welche über den Regelbetrieb hinausgehen beziehungsweise nicht Gegenstand des Hauptvertrags sind, dem Auftraggeber zur Last. ...
Das ist es, worauf sich der folgende Absatz bezieht:
13.3. Auf Verlangen wird der Auftragnehmer dem Auftraggeber vorab eine Kostenschätzung geben. Zu den Kosten gehört auch eine angemessene Vergütung des Arbeitsaufwands. Der Stundensatz beträgt 120 € zzgl. USt. ...
Was bedeutet das konkret?
Sollten Sie spezielle Wünsche haben, was die Umsetzung der DSGVO angeht, dann gibt es das nicht umsonst. Wenn Sie also möchten, dass wir einen Datensatz manuell aus der Datenbank löschen, dann bedeutet das zusätzlichen Aufwand, den wir Ihnen in Rechnung stellen. Das kann zum Beispial auch dann passieren, wenn Sie Ihre Befragten nicht korrekt oder missverständlich informieren und plötzlich schreiben uns 100 Betroffene per E-Mail und rufen uns an, dass wir ihre Daten löschen sollen. Dann müssten wir 100-mal Sie als Verantwortliche:n informieren.
Sollten Sie mit den personenbezogenen Daten nicht sorgfälig umgehen und darauf entsteht ein Datenschutz-Vorfall, dann werden wir dadurch früher oder später auch zusätzliche Arbeit haben. Etwas dann, wenn die Datenschutz-Behörde bei uns vor der Türe steht und Details zu dem Vorfall wissen möchte, die wir dann aus den Logfiles und der Datenbank ermitteln müssen. Auch dies ist nicht Teil des Regelbetriebs (zum Glück ist das seit Inkrafttreten der DSGVO 2018 noch nich passiert) und auch dann werden wir Ihnen den zusäzlichen Aufwand in Rechnung stellen.
Kurzum: Nehmen Sie die DSGVO bitte ernst und gehen Sie sorgfältig mit den damit verbundenen Verpflichtungen (z.B. Informationspflichten) und den Daten um, dann ist das Risiko sehr gering, dass wir die Kosten tatsächlich in Rechnung stellen müssen. Wir haben nämlich kein Interesse an zusätzlicher, vermeidbarer Arbeit. Diese Zeit stecken wir viel lieber in die Weiterentwicklung von SoSci Survey :)