diff --git a/backend/todo.md b/docs/todo.md
similarity index 98%
rename from backend/todo.md
rename to docs/todo.md
index e10e178f..9460ff0d 100644
--- a/backend/todo.md
+++ b/docs/todo.md
@@ -5,7 +5,7 @@
 ## 🔜 Offen
 
 ### Manuelle Tests (vor Release durchklicken)
-Checklisten für Security + Email-Log-System stehen in **[docs/TESTING.md](../docs/TESTING.md)**.
+Checklisten für Security + Email-Log-System stehen in **[TESTING.md](./TESTING.md)**.
 Einmal komplett durchlaufen vor v1.0.0-Release.
 
 ### 🚀 SaaS-Ausbau: Instance-per-Customer + Admin-Portal + GoCardless
@@ -118,9 +118,9 @@ isolierte Instanz (keine Multi-Tenancy im Code), Provisioning + Abrechnung
 
 - [x] **🛡️ Security-Hardening vor Production-Deployment (8 Runden)**
   - Vollständige Story inkl. aller Live-Test-Tabellen + Trade-offs:
-    **[docs/SECURITY-HARDENING.md](../docs/SECURITY-HARDENING.md)**
+    **[SECURITY-HARDENING.md](./SECURITY-HARDENING.md)**
   - Erste 2 Runden zusätzlich ausführlich in
-    [docs/SECURITY-REVIEW.md](../docs/SECURITY-REVIEW.md)
+    [SECURITY-REVIEW.md](./SECURITY-REVIEW.md)
   - Highlights:
     - Runde 1–3: CORS, Helmet, JWT-Fallback, IDOR-Welle 1, XSS, Mass
       Assignment, Zip-Slip, Path-Traversal, JWT-Algorithm, Rate-Limiter