docs: User-DSGVO-/Entwickler-Zugriff-Fix in Erledigt-Liste

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

docs/todo.md

@@ -97,6 +97,13 @@ isolierte Instanz (keine Multi-Tenancy im Code), Provisioning + Abrechnung
 
 ## ✅ Erledigt
 
+- [x] **🐛 Benutzer-Verwaltung: DSGVO- + Entwickler-Zugriff zuweisbar**
+  - Mass-Assignment-Whitelist (`pickUserUpdate`) hat `hasGdprAccess` /
+    `hasDeveloperAccess` rausgefiltert → Service erhielt sie nie → Rollen
+    DSGVO/Developer waren in der UI nicht zuweisbar (Checkbox ohne Wirkung).
+  - Beide Felder zur Whitelist hinzugefügt + Audit-Log liest die Pre-Werte
+    jetzt aus den geladenen Rollen (kein False-Positive-Change mehr).
+
 - [x] **🔒 HTTPS-only-Header per Flag (`HTTPS_ENABLED`)**
   - HSTS + `upgrade-insecure-requests` (CSP) sperrten den Browser bei
     direktem `http://ip:port`-Zugriff aus (`ERR_SSL_PROTOCOL_ERROR`).