Daniel__

Das stimmt so, soweit ich weiß, nicht.
Wenn ein Datensicherungskonzept vorliegt, müssen die Daten aus dem Backup erst bei Wiederherstellung gelöscht werden. Die Änderung von bestehenden Backups ist aber nicht verhältnismäßig.
Ich lasse mich aber gerne eines besseren belehren. Hab nur halbwissen...

Recht auf Löschung heisst Recht auf Löschung. Wenn das nicht mit zu vereinbarenden Mitteln möglich ist muss das in der Datenschutzinfo zum Prozess beschrieben sein. Eine Rechtsprechung hierzu ist mir bisher nicht bekannt, die Unmöglichkeit bei bestimmten Backups sehe ich aber durchaus ein. Ich würde hier ergo mit einer Sperre des Datensatzes arbeiten, was auf dasselbe hinausläuft.
Frage ist sowieso ob gelöscht werden darf ?

Dann ist es immer noch kritisch wenn die Daten in einem RZ mit US-Fummelrechten liegen. Nur weil die Daten verschlüsselt sind, sind sie ja nicht weniger schützenswert. Und keiner kann garantieren, dass ein US Hersteller nicht doch einen CIA-Schlüssel eingebaut hat.
Da ist es aber egal ob der Medienbruch in die Wolke oder ins Bankschließfach um die Ecke erfolgt. Gut, außer man sitzt im Kreis Ahrweiler...
Aber bei Desaster Recovery aus dem Bankschließfach sind "nur" die Öffnungszeiten mein Problem, bei DR aus der Wolke benötige ich auch noch einen performanten Internetanschluss, oder viel Zeit.
Bei Backup wird es als unverhältnismäßig angesehen die Daten auch zu löschen. Im Restorefall dürfen die Daten nicht wieder mit hergestellt werden, bzw müssen anschließend sofort wieder gelöscht werden.
Aber hierzu kommt bestimmt gleich der Opa @charmanta mit seinem Rollator um die Ecke und erklärt mir warum ich falsch liege.
Cloudlösung ist mittlerweile eben auch "Stand der Technik", und ggf. macht es sogar wirklich Sinn einen Teil eurer Daten verschlüsselt in der DSGVO Konformen Cloud zu lagern. Das herauszufinden und der GF vorzustellen ist deine Aufgabe, auch die Bedenken gegenüber Cloud solltest du fachlich fundiert besprechen können.
Wenn die GF dann sagt "ja, hast recht aber wir wollen trotzdem nicht"... Was willst du dann machen?
"Aufgrund folgender Entscheidungsmatrix hat sich Produkt "Wolkenweich" als beste Lösung herauskristallisiert. Allerdings gefällt dem Geschäftsführer das UI nicht und er geht mit dem CEO von "Backop?lolnope" einmal die Woche golfen, weshalb er sich für das Produkt "MeIsNoBackup" dieses Anbieters entscheiden hat, das nur 50% des Featureumfangs von "Wolkenweich" hat und dreimal so hohe Lizenzkosten."
Du zeigst auf welches Produkt du als Fachkraft warum für das in diesem Umfeld am besten geeignet findest. Was der Kunde mit deiner Empfehlung macht ist seine Sache. Es wird immer wieder Projekte geben die "kraft Krawatte" komplett anders laufen als man sich das als ITler wünschen würde.

Mit 1. und 2. kann ich mit den Erläuterungen leben.
Bei 3: Heterogen bedeutet verschiedene Betriebssysteme, üblicherweise *ux/ix, Microsoft Varianten und gerne auch Mac OS.
Richtig cool wirds bei Betrachtung von BareMetal Recovery und/oder Backup lebender Datenbanken. Das geht mir noch ein bisschen zuwenig aus der Formulierung hervor, kann aber schon für eine Zulassung reichen. Wenn Du sicherer sein willst dann schreib noch ein bisschen mehr dazu mit rein

Ich würde die Cloudlösung trotzdem mit in den Vergleich nehmen, einfach der Vollständigkeit halber. Dass diese Lösung nachher spätestens "kraft Krawatte" ausscheidet ist für deine Empfehlung m.E. egal. Natürlich musst du bei einem Cloudbackup darauf achten dass die Regeln der DSGVO eingehalten werden, das musst du aber sowieso immer.
In dem Zusammenhang solltest du auch die Möglichkeit der Verschlüsselung in Betracht ziehen. Selbst wenn das Backup "inhaus" gemacht wird, die Bänder kommen ja zur Bank. Wenn die nun unverschlüsselt sind und auf dem Weg abhanden kommen hast du genauso ein Problem wie wenn jemand in dein (unverschlüsseltes) Cloudbackup schauen kann.
Backup ist nur dann wirtschaftlich, wenn man es mal braucht. Das ist wie mit einer Haftpflichtversicherung, man buttert ewig viel Kohle rein und zu 99% braucht man nie etwas von der Versicherung. Nur wenn man sie braucht, ist man heilfroh sie zu haben denn sie rettet einen im Zweifelsfall vor dem finanziellen Ruin.
Sieh es als Hinweis, dass ich, wäre ich Prüfer, bei einer Überarbeitung des Backups auch erwarten würde dass der Prüfling in der Lage ist den Sicherungsbedarf "seiner" Systeme individuell zu beurteilen und die ausgewählte Lösung für die verschiedenen Anforderungen auch gewappnet ist.
Ein DB Server, das ERP oder der Mailserver haben sicherlich ein anderes Sicherungsbedürfnis als ein Printserver oder ein DC...

Wirtschaftlichkeitsanalyse ist vielleicht etwas schwieriger wenn es noch nichts gibt, aber es gibt ja schon ein System dass für den Notfall absichert. Daher sehe ich es schon als möglich an hier eine Analyse zu fahren.
Wäre eine neue Lösung kostengünstiger? Wird weniger Aufwand benötigt? Sowas in die Richtung.

Ne das ist unter Berücksichtigung von TCO und TBO absolut ok.
Aber damit ist eine Entscheidung schon durch ?
Das wird aber sicher noch Alternativen geben ?
Ich kann auch das heterogene Netz nicht nachvollziehen?

Es kommt auf den Anwendungszweck an, wenn du viele Daten kostengünstig lokal speichern willst ist das eine sehr gute Variante. Für den Fall der Fälle kannst du auch recht einfach alles backupen und offline aufbewahren. Backup2disk ist dort eigentlich immer teurer. 
Die Frage ist immer was will man erreichen. Backup2Cloud ist auch nicht immer die Lösung.
Warum machst du mit der Begründung denn das Projekt? Der RoI kommt im Ernstfall, wenn das Backup gebraucht wird. Alleine wenn alles für eine Stunde steht dürftest du die Kosten für das Projekt wieder drinnen haben.

Wenn das Stand der Technik ist - fair enough. Kommt mir einfach etwas altbacken vor, ist aber auch nicht mein Gebiet.
 
Beispielsweise. Möglichkeiten gibt es eigentlich mehrere. 
Es lässt sich m.E. immer wirtschaftlich begründen, wieso man eine Lösung einsetzen möchte. Ansonsten würde man das Projekt nicht umsetzen.

Im Jahr 2021 auf Tape sichern finde ich zumindest erklärungswürdig. Ansonsten solltest du mehr Zeit für den Vergleich der Lösungen aufwenden. Kosten-Nutzen, Roi, usw würden mir auch noch fehlen. 

Ich würde mehr Zeit in die Analyse und weniger in die Umsetzung planen.
Die "normalen" Installationen sind im Regelfall ein Arbeitsaufwand von vielleicht 5 Minuten pro Installation. Den Dialog durchklicken ist Projektzeit, warten bis die Installation durchgelaufen ist allerdings nicht. Hier kannst du einiges an Zeit (in der Planung) sparen.
Warum? Kleiner Betrieb, reine Inhaus IT, ggf keine ausreichend dicke Leitung um ein vollständiges Backup "in die Cloud" zu blasen...
Wie realisiert man sonst den Medienbruch und das Lagern "außer Haus"?
Vor allem wenn Tapelibrary und ggf. Tapes schon vorhanden sind?
Für mich gehört Tape nach wie vor zu einer anständigen Sicherungsstrategie dazu. Zumindest für "Inhouse" Daten die auch inhouse gesichert werden.
Aus technischer Sicht solltest du RTO und RPO noch mit betrachten und nicht nur ein "einmal nachts, das reicht". Ich würde auch mindestens eine Cloudlösung mit in den Vergleich nehmen, auch wenn das nur Alibi ist.