Pentest 70.2 (LOW): 500 statt 415 bei verbotenem MIME

Globaler Error-Handler (index.ts:461) matcht /sind erlaubt|nicht
erlaubt/i auf 415. Die 70.1-Reject-Message "... WebP erlaubt" (ohne
"sind") rutschte durch und landete bei 500 + Error-Log-Spam.

Fix: "... WebP-Dateien sind erlaubt" macht den Regex happy. Andere
Routes nutzen alle schon dieselbe Phrase.

docs/todo.md

@@ -97,6 +97,17 @@ isolierte Instanz (keine Multi-Tenancy im Code), Provisioning + Abrechnung
 
 ## ✅ Erledigt
 
+- [x] **🔒 Pentest 70.2 (LOW): falscher 500 statt 415 bei verbotenem MIME-Type**
+  - Globaler Error-Handler in `index.ts:461` matcht
+    `/sind erlaubt|nicht erlaubt/i` und mappt auf 415. Meine 70.1-
+    Message „… WebP erlaubt" (ohne „sind") rutschte durch und landete
+    bei 500 + Error-Log-Spam.
+  - Fix: 1 Zeile in `contract.routes.ts` – `… WebP-Dateien sind
+    erlaubt` macht den Regex glücklich. Andere Routes
+    (`upload.routes.ts`, `gdpr.routes.ts`, `pdfTemplate.routes.ts`,
+    `factoryDefaults.routes.ts`, `appSetting.routes.ts`) nutzen alle
+    schon „sind erlaubt".
+
 - [x] **🔒 Pentest 70.1 (INFO): GIF/WebP-Inkonsistenz in contract.routes Multer-Filter**
   - `contract.routes.ts` Vertragsdokumente: Multer-fileFilter blockte
     `image/gif` und `image/webp`, obwohl `validateUploadedFile` beide