From 45f63d1c48b1bc4f5cdecd42e699db8b92f45882 Mon Sep 17 00:00:00 2001
From: duffyduck <info@hacker-net.de>
Date: Thu, 7 May 2026 18:27:18 +0200
Subject: [PATCH] docs: User-DSGVO-/Entwickler-Zugriff-Fix in Erledigt-Liste

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
---
 docs/todo.md | 7 +++++++
 1 file changed, 7 insertions(+)

diff --git a/docs/todo.md b/docs/todo.md
index a948dfc5..59bacd3a 100644
--- a/docs/todo.md
+++ b/docs/todo.md
@@ -97,6 +97,13 @@ isolierte Instanz (keine Multi-Tenancy im Code), Provisioning + Abrechnung
 
 ## ✅ Erledigt
 
+- [x] **🐛 Benutzer-Verwaltung: DSGVO- + Entwickler-Zugriff zuweisbar**
+  - Mass-Assignment-Whitelist (`pickUserUpdate`) hat `hasGdprAccess` /
+    `hasDeveloperAccess` rausgefiltert → Service erhielt sie nie → Rollen
+    DSGVO/Developer waren in der UI nicht zuweisbar (Checkbox ohne Wirkung).
+  - Beide Felder zur Whitelist hinzugefügt + Audit-Log liest die Pre-Werte
+    jetzt aus den geladenen Rollen (kein False-Positive-Change mehr).
+
 - [x] **🔒 HTTPS-only-Header per Flag (`HTTPS_ENABLED`)**
   - HSTS + `upgrade-insecure-requests` (CSP) sperrten den Browser bei
     direktem `http://ip:port`-Zugriff aus (`ERR_SSL_PROTOCOL_ERROR`).