diff --git a/backend/prisma/cleanup-xss-and-mass-assignment.ts b/backend/prisma/cleanup-xss-and-mass-assignment.ts
index f4ce5631..4d72f997 100644
--- a/backend/prisma/cleanup-xss-and-mass-assignment.ts
+++ b/backend/prisma/cleanup-xss-and-mass-assignment.ts
@@ -76,11 +76,12 @@ async function cleanupAppSettings() {
 }
 
 // Pattern, die auf typische Pentest-/Test-Daten hindeuten. Bewusst eng
-// gefasst, damit legitime Kunden mit "hacker" o.ä. im Nachnamen NICHT
-// als Pentest-Marker durchgehen ("stefanhacker@gmx.de" ist echt).
+// gefasst – legitime Kunden mit "Hacker" als Nachnamen sollen nicht
+// fälschlich getroffen werden (gibt's reichlich, gerade hier).
+// Konkret weggelassen: `^hacker@` würde Verwandte/Kunden mit
+// `hacker@familie-hacker.de` o.ä. fängen.
 const PENTEST_MARKERS = [
   /@evil\./i,
-  /^hacker@/i,        // Email beginnt mit "hacker@" – nicht im Mittelteil
   /^attacker@/i,
   /^pentest@/i,
   /<script\b/i,        // unverwechselbarer XSS-Marker