Ich kann hier nur eine juristischen Laien-Meinung mitteilen, für eine verbindliche Auskunft müssen Sie sich bitte an den Datenschutzbeauftragten Ihrer Hochschule werden.
Wenn Sie die Adressdaten (E-Mail-Adressen) in SoSci Survey hochladen, übermitteln Sie personenbezogene Daten an SoSci Survey. Ein AVV ist also auf alle Fälle erforderlich.
Wenn Sie den Datenschutz-Modus pseudonym verwenden, dann speichert SoSci Survey intern die Zuordnung zwischen Adresseinträgen und Interview-Datensätzen. Dies ist technisch erforderlich, damit jeder Datensatz dieselbe Personenkennung bzw. dasselbe Pseudonym (SERIAL) erhalten kann und Sie am Ende die Datensätze einander zuordnen können.
Im Datenschutz-Modus pseudonym tritt SoSci Survey als Treuhänder auf und verwahrt diese Zuordnung zwischen Adressen und Datensätzen für Sie, gibt diese aber nicht heraus. Das bedeutet, Sie können mit anonymen Datensätzen arbeiten.
Die DSGVO und die zugehörige Rechtsprechung behandelt pseudonyme Daten aber ähnlich (nicht ganz gleich) wie personenbezogene Daten. Das bedeutet, Sie müssen z.B: denselben Informationspflichten nachkommen wie bei personenbezogenen Daten und auch sicherstellen, dass Sie eine Rechtsgrundlage für die Erhebung und Verarbeitung der Daten haben.
Was die Wahl des Servers angeht: Nur der Pro-Server s2survey.net wurde explizit für die Verarbeitung personenbezogener Daten eingerichtet. Dort werden Sicherheitskopien bereits nach 1 Monat gelöscht, auf www.soscisurvey.de erst nach 12 Monaten (was leider mehrfach pro Jahr auch benötigt wird, weil Projektleiter:innen ihre Daten löschen oder vor der Archivierung nicht herunterladen). Dies dürfte mit den Betroffenenrechten nach DSGVO, insbesondere mit dem Recht auf Datenlöschung nicht vereinbar sein.
Was auch auf www.soscisurvey.de nach 1 Monat gelöscht wid, sind die Sicherheitskopien von Adressdaten und getrennt erhobenen Kontaktdaten. Das bedeutet - wir sprechen hier von dem Fall, dass Sie einen Fall aus Ihrem Datensatz aufgrund der Betroffenenrechte gelöscht haben - dass diese Daten anonym und auch über die Sicherheitskopien nicht mehr personenbeziehbar sind, selbst wenn die Daten selbst noch nicht aus den Sicherheitskopien gelöscht wurden.
Dennoch sehen manche Datenschutzbeauftragte es als kritisch, ob dies nun dem Sinn der DSGVO entspricht oder nicht. Aus diesem Grunde vereinbaren wir einen AVV, welcher über die Verarbeitung von Adressdaten hinausgeht, nur für den Pro-Server s2survey.net.
Wenn Sie also die pseudonymen Daten, welche Sie in Ihrer Befragung erheben als personenbezogene Daten im Sinne der DSGVO betrachten (was die DSGVO nahelegt), dann müssten Sie auch für diese Datenkategorien einen AVV vereinbaren, und dann bräuchten Sie den "großen" AVV, den Sie nur für den Pro-Server vereinbaren können.
Aber Sie sehen, die Konstellation mit pseudonymen Daten und Sicherheitskopien ist ein wenig komplizierter. Deshalb muss ich nochmal auf den Datenschutzbeauftragten Ihrer Einrichtung verweisen, um das korrekte vorgehen mit diesem zu klären.