diff --git a/docs/todo.md b/docs/todo.md
index a948dfc5..59bacd3a 100644
--- a/docs/todo.md
+++ b/docs/todo.md
@@ -97,6 +97,13 @@ isolierte Instanz (keine Multi-Tenancy im Code), Provisioning + Abrechnung
 
 ## ✅ Erledigt
 
+- [x] **🐛 Benutzer-Verwaltung: DSGVO- + Entwickler-Zugriff zuweisbar**
+  - Mass-Assignment-Whitelist (`pickUserUpdate`) hat `hasGdprAccess` /
+    `hasDeveloperAccess` rausgefiltert → Service erhielt sie nie → Rollen
+    DSGVO/Developer waren in der UI nicht zuweisbar (Checkbox ohne Wirkung).
+  - Beide Felder zur Whitelist hinzugefügt + Audit-Log liest die Pre-Werte
+    jetzt aus den geladenen Rollen (kein False-Positive-Change mehr).
+
 - [x] **🔒 HTTPS-only-Header per Flag (`HTTPS_ENABLED`)**
   - HSTS + `upgrade-insecure-requests` (CSP) sperrten den Browser bei
     direktem `http://ip:port`-Zugriff aus (`ERR_SSL_PROTOCOL_ERROR`).