chore/ai-guardrails-centralization

Signed-off-by: Stefan Mogeritsch <stefan.mo.co@gmail.com>

.ai/scripts/check-docs-drift.sh

@@ -0,0 +1,50 @@
+#!/usr/bin/env bash
+set -euo pipefail
+
+SCRIPT_DIR="$(cd -- "$(dirname "${BASH_SOURCE[0]}")" >/dev/null 2>&1 && pwd)"
+# shellcheck disable=SC1091
+source "$SCRIPT_DIR/lib/common.sh"
+
+REPO_ROOT="$(resolve_repo_root)"
+cd "$REPO_ROOT"
+
+# check-docs-drift.sh
+# Zweck: sehr schlanke Drift-Checks gegen die neue Doku-Struktur.
+# - Kein Guidelines-System mehr.
+# - Single Source of Truth: `docs/`
+
+err=0
+
+has() { grep -q "$2" "$1" || { echo "[DRIFT] '$2' fehlt in $1"; err=1; }; }
+miss() { grep -q "$2" "$1" && { echo "[DRIFT] Veralteter Begriff '$2' in $1"; err=1; }; }
+
+# Harte Altlast-Pfade dürfen nicht mehr vorkommen
+if git grep -n "docs/00_Domain/" -- docs >/dev/null 2>&1; then
+  echo "[DRIFT] Veralteter Pfad 'docs/00_Domain/' in docs/* gefunden"
+  err=1
+fi
+if git grep -n "docs/adr/" -- docs >/dev/null 2>&1; then
+  echo "[DRIFT] Veralteter Pfad 'docs/adr/' in docs/* gefunden"
+  err=1
+fi
+if git grep -n "docs/c4/" -- docs >/dev/null 2>&1; then
+  echo "[DRIFT] Veralteter Pfad 'docs/c4/' in docs/* gefunden"
+  err=1
+fi
+if git grep -n "docs/how-to/" -- docs >/dev/null 2>&1; then
+  echo "[DRIFT] Veralteter Pfad 'docs/how-to/' in docs/* gefunden"
+  err=1
+fi
+if git grep -n "docs/reference/" -- docs >/dev/null 2>&1; then
+  echo "[DRIFT] Veralteter Pfad 'docs/reference/' in docs/* gefunden"
+  err=1
+fi
+
+# Quelle der Wahrheit: Gateway-Technologie (sollte in Architektur/ADRs/C4 konsistent sein)
+has docs/01_Architecture/ARCHITECTURE.md "Spring Cloud Gateway"
+has docs/01_Architecture/adr/0007-api-gateway-pattern-de.md "Spring Cloud Gateway"
+miss docs/01_Architecture/adr/0007-api-gateway-pattern-de.md "Ktor"
+has docs/01_Architecture/c4/02-container-de.puml "Spring Cloud Gateway"
+miss docs/01_Architecture/c4/02-container-de.puml "Ktor"
+
+exit $err

.ai/scripts/lib/common.sh

@@ -0,0 +1,27 @@
+#!/usr/bin/env bash
+set -euo pipefail
+
+# Common helpers for AI guardrail scripts
+
+# Robustly resolve the repository root directory.
+# Strategy: prefer Git; fallback to marker search upwards; last resort: current dir.
+resolve_repo_root() {
+  local start
+  start="${1:-$(cd -- "$(dirname "${BASH_SOURCE[0]}")" >/dev/null 2>&1 && pwd)}"
+  if command -v git >/dev/null 2>&1; then
+    if git -C "$start" rev-parse --show-toplevel >/dev/null 2>&1; then
+      git -C "$start" rev-parse --show-toplevel
+      return 0
+    fi
+  fi
+  local dir
+  dir="$(cd "$start" && pwd)"
+  while [ "$dir" != "/" ]; do
+    if [ -f "$dir/gradlew" ] || [ -f "$dir/settings.gradle.kts" ] || [ -d "$dir/.git" ]; then
+      echo "$dir"
+      return 0
+    fi
+    dir="$(dirname "$dir")"
+  done
+  pwd
+}

.ai/scripts/render-plantuml.sh

@@ -0,0 +1,16 @@
+#!/usr/bin/env bash
+set -euo pipefail
+
+SCRIPT_DIR="$(cd -- "$(dirname "${BASH_SOURCE[0]}")" >/dev/null 2>&1 && pwd)"
+# shellcheck disable=SC1091
+source "$SCRIPT_DIR/lib/common.sh"
+
+REPO_ROOT="$(resolve_repo_root)"
+cd "$REPO_ROOT"
+
+mkdir -p build/diagrams
+shopt -s nullglob
+for f in docs/architecture/c4/*.puml; do
+  docker run --rm -v "$PWD":/data plantuml/plantuml -tsvg "/data/$f" -o "/data/build/diagrams"
+  echo "Rendered build/diagrams/$(basename "${f%.puml}").svg"
+done

.ai/scripts/validate-links.sh

@@ -0,0 +1,127 @@
+#!/usr/bin/env bash
+set -euo pipefail
+
+SCRIPT_DIR="$(cd -- "$(dirname "${BASH_SOURCE[0]}")" >/dev/null 2>&1 && pwd)"
+# shellcheck disable=SC1091
+source "$SCRIPT_DIR/lib/common.sh"
+
+REPO_ROOT="$(resolve_repo_root)"
+cd "$REPO_ROOT"
+
+QUICK_MODE=false
+
+while [[ $# -gt 0 ]]; do
+  case $1 in
+    --quick)
+      QUICK_MODE=true
+      shift
+      ;;
+    --help|-h)
+      cat << 'EOF'
+Docs Link-Validierung
+
+USAGE:
+  ./.ai/scripts/validate-links.sh [--quick]
+
+BESCHREIBUNG:
+  Prüft Markdown-Links in `docs/**/*.md` auf gebrochene relative Pfade.
+  Ignoriert externe Links (http/https/mailto) sowie reine Anchors (#...).
+
+OPTIONEN:
+  --quick  Führt nur eine Teilmenge der Prüfungen durch (aktuell nicht implementiert).
+EOF
+      exit 0
+      ;;
+    *)
+      echo "[ERROR] Unbekannter Parameter: $1" >&2
+      exit 2
+      ;;
+  esac
+done
+
+python3 - <<'PY'
+import re
+import sys
+from pathlib import Path
+from urllib.parse import unquote
+
+root = Path.cwd()
+docs_dir = root / "docs"
+
+if not docs_dir.is_dir():
+    print(f"[ERROR] docs-Verzeichnis nicht gefunden: {docs_dir}", file=sys.stderr)
+    sys.exit(2)
+
+# Veraltete Pfad-Prüfungen wurden entfernt; Fokus auf Link-Integrität.
+FORBIDDEN_SUBSTRINGS = []
+
+md_files = sorted(docs_dir.rglob("*.md"))
+
+link_pattern = re.compile(r"\]\(([^)]+)\)")
+
+errors = 0
+
+def is_external(target: str) -> bool:
+    t = target.lower()
+    return t.startswith("http://") or t.startswith("https://") or t.startswith("mailto:")
+
+def strip_fragment_and_query(target: str) -> str:
+    target = target.split("#", 1)[0]
+    target = target.split("?", 1)[0]
+    return target
+
+for f in md_files:
+    text = f.read_text(encoding="utf-8", errors="replace")
+
+    for forbidden in FORBIDDEN_SUBSTRINGS:
+        if forbidden in text:
+            print(f"[ERROR] Veralteter Pfad '{forbidden}' in {f}")
+            errors += 1
+
+    for match in link_pattern.finditer(text):
+        target = match.group(1).strip()
+
+        if not target:
+            continue
+        if is_external(target):
+            continue
+        if target.startswith("#"):
+            continue
+
+        if target.startswith("<") and target.endswith(">"):
+            target = target[1:-1]
+
+        target = unquote(strip_fragment_and_query(target))
+
+        if target.startswith("/"):
+            continue
+
+        if ":" in target.split("/", 1)[0]:
+            # z.B. "vscode:..."
+            continue
+
+        resolved = (f.parent / target).resolve()
+
+        try:
+            resolved.relative_to(root.resolve())
+        except ValueError:
+            print(f"[ERROR] Link zeigt außerhalb des Repos: {f} -> {target}")
+            errors += 1
+            continue
+
+        if resolved.is_dir():
+            if not (resolved / "README.md").is_file():
+                print(f"[ERROR] Verlinktes Verzeichnis ohne README.md: {f} -> {target}")
+                errors += 1
+            continue
+
+        if not resolved.exists():
+            print(f"[ERROR] Broken link: {f} -> {target}")
+            errors += 1
+
+if errors:
+    print(f"[ERROR] Link-Validierung fehlgeschlagen: {errors} Fehler")
+    sys.exit(1)
+
+print(f"[OK] Link-Validierung erfolgreich: {len(md_files)} Markdown-Dateien geprüft")
+PY

.dockerignore

@@ -193,7 +193,7 @@ secrets/
 # ===================================================================
 TODO*.md
 NOTES*.md
-**/.junie/
+.junie/
 
 # ===================================================================
 # Keep essential files (override exclusions)

.gitea/workflows/desktop-tests.yml

@@ -18,7 +18,7 @@ jobs:
   desktop-tests:
     # Komplett deaktivierbar über Repo-Variable: Settings → Variables → DESKTOP_CI_ENABLED=true
     # Zusätzlich: Für Plan‑B‑Builds überspringen, wenn Commit-Message [planb] enthält
-    if: ${{ vars.DESKTOP_CI_ENABLED == 'true' && !contains(github.event.head_commit.message, '[planb]') }}
+    if: ${{ vars.DESKTOP_CI_ENABLED == 'true' && !contains(gitea.event.head_commit.message, '[planb]') }}
     name: Compose Desktop — Tests (headless) & Build
     runs-on: ubuntu-latest
 

.gitea/workflows/docker-publish.yaml

@@ -1,5 +1,5 @@
 name: Build and Publish Docker Images
-run-name: Build & Publish by @${{ github.actor }}
+run-name: Build & Publish by @${{ gitea.actor }}
 
 on:
   push:
@@ -117,8 +117,8 @@ jobs:
           images: ${{ env.REGISTRY_INTERNAL }}/${{ env.IMAGE_PREFIX }}/${{ matrix.image }}
           tags: |
             type=ref,event=tag
-            type=raw,value=latest,enable=${{ github.ref == 'refs/heads/main' }}
-            type=sha,format=long,enable=${{ github.ref == 'refs/heads/main' }}
+            type=raw,value=latest,enable=${{ gitea.ref == 'refs/heads/main' }}
+            type=sha,format=long,enable=${{ gitea.ref == 'refs/heads/main' }}
 
       - name: Build and push Docker image
         uses: docker/build-push-action@v6
@@ -132,5 +132,5 @@ jobs:
           provenance: false
           sbom: false
           build-args: |
-            BUILD_DATE=${{ github.event.head_commit.timestamp || 'unknown' }}
-            VERSION=${{ github.sha }}
+            BUILD_DATE=${{ gitea.event.head_commit.timestamp || 'unknown' }}
+            VERSION=${{ gitea.sha }}

.gitea/workflows/feature-build.yml

@@ -39,7 +39,7 @@ jobs:
             chmod +x install-conveyor.sh
             ./install-conveyor.sh
           fi
-          echo "$HOME/.conveyor/bin" >> $GITHUB_PATH
+          echo "$HOME/.conveyor/bin" >> $GITEA_PATH
 
       - name: Windows .msi mit Conveyor bauen
         run: |

.gitea/workflows/pr-guard.yaml

@@ -5,7 +5,7 @@ on:
 jobs:
   no-hardcoded-versions:
     # Für Plan-B-Builds überspringen: Commit-Message enthält [planb]
-    if: ${{ !contains(github.event.head_commit.message, '[planb]') }}
+    if: ${{ !contains(gitea.event.head_commit.message, '[planb]') }}
     runs-on: ubuntu-latest
     steps:
       - uses: actions/checkout@v4

.gitea/workflows/release.yml

@@ -23,7 +23,7 @@ jobs:
   tag-release:
     name: 🏷️ Git-Tag setzen
     # Für Plan-B-Builds überspringen: Commit-Message enthält [planb]
-    if: ${{ !contains(github.event.head_commit.message, '[planb]') }}
+    if: ${{ !contains(gitea.event.head_commit.message, '[planb]') }}
     runs-on: ubuntu-latest
     outputs:
       version: ${{ steps.read-version.outputs.version }}
@@ -64,7 +64,7 @@ jobs:
           fi
 
       - name: Git-Tag erstellen & pushen
-        if: steps.check-tag.outputs.already_tagged == 'false' && github.event.inputs.dry_run != 'true'
+        if: steps.check-tag.outputs.already_tagged == 'false' && gitea.event.inputs.dry_run != 'true'
         run: |
           TAG="${{ steps.read-version.outputs.tag }}"
           VERSION="${{ steps.read-version.outputs.version }}"
@@ -80,7 +80,7 @@ jobs:
   package-linux:
     name: 📦 Linux .deb Packaging
     # Nur ausführen, wenn Desktop-CI explizit aktiviert ist UND kein Plan‑B Commit
-    if: ${{ vars.DESKTOP_CI_ENABLED == 'true' && !contains(github.event.head_commit.message, '[planb]') }}
+    if: ${{ vars.DESKTOP_CI_ENABLED == 'true' && !contains(gitea.event.head_commit.message, '[planb]') }}
     runs-on: ubuntu-latest
     needs: tag-release
 
@@ -88,11 +88,11 @@ jobs:
       - name: Checkout
         uses: actions/checkout@v4
 
-      - name: Setup JDK 21 (Temurin)
+      - name: Setup JDK 25 (Temurin)
         uses: actions/setup-java@v4
         with:
           distribution: temurin
-          java-version: '21'
+          java-version: '25'
 
       - name: Gradle cache
         uses: actions/cache@v4
@@ -128,7 +128,7 @@ jobs:
   package-windows:
     name: 📦 Windows .msi Packaging
     # Nur ausführen, wenn Desktop-CI explizit aktiviert ist UND kein Plan‑B Commit
-    if: ${{ vars.DESKTOP_CI_ENABLED == 'true' && !contains(github.event.head_commit.message, '[planb]') }}
+    if: ${{ vars.DESKTOP_CI_ENABLED == 'true' && !contains(gitea.event.head_commit.message, '[planb]') }}
     runs-on: windows-latest
     needs: tag-release
 
@@ -136,11 +136,11 @@ jobs:
       - name: Checkout
         uses: actions/checkout@v4
 
-      - name: Setup JDK 21 (Temurin)
+      - name: Setup JDK 25 (Temurin)
         uses: actions/setup-java@v4
         with:
           distribution: temurin
-          java-version: '21'
+          java-version: '25'
 
       - name: Gradle cache
         uses: actions/cache@v4
@@ -179,11 +179,11 @@ jobs:
     steps:
       - name: Summary ausgeben
         run: |
-          echo "## 🚀 Release ${{ needs.tag-release.outputs.version }}" >> $GITHUB_STEP_SUMMARY
-          echo "" >> $GITHUB_STEP_SUMMARY
-          echo "| Artefakt | Status |" >> $GITHUB_STEP_SUMMARY
-          echo "|----------|--------|" >> $GITHUB_STEP_SUMMARY
-          echo "| Linux .deb | ${{ needs.package-linux.result }} |" >> $GITHUB_STEP_SUMMARY
-          echo "| Windows .msi | ${{ needs.package-windows.result }} |" >> $GITHUB_STEP_SUMMARY
-          echo "" >> $GITHUB_STEP_SUMMARY
-          echo "**Git-Tag:** \`${{ needs.tag-release.outputs.tag }}\`" >> $GITHUB_STEP_SUMMARY
+          echo "## 🚀 Release ${{ needs.tag-release.outputs.version }}" >> $GITEA_STEP_SUMMARY
+          echo "" >> $GITEA_STEP_SUMMARY
+          echo "| Artefakt | Status |" >> $GITEA_STEP_SUMMARY
+          echo "|----------|--------|" >> $GITEA_STEP_SUMMARY
+          echo "| Linux .deb | ${{ needs.package-linux.result }} |" >> $GITEA_STEP_SUMMARY
+          echo "| Windows .msi | ${{ needs.package-windows.result }} |" >> $GITEA_STEP_SUMMARY
+          echo "" >> $GITEA_STEP_SUMMARY
+          echo "**Git-Tag:** \`${{ needs.tag-release.outputs.tag }}\`" >> $GITEA_STEP_SUMMARY

.junie/scripts/check-docs-drift.sh

@@ -1,43 +1,7 @@
 #!/usr/bin/env bash
 set -euo pipefail
 
-# check-docs-drift.sh
-# Zweck: sehr schlanke Drift-Checks gegen die neue Doku-Struktur.
-# - Kein Guidelines-System mehr.
-# - Single Source of Truth: `docs/`
-
-err=0
-
-has() { grep -q "$2" "$1" || { echo "[DRIFT] '$2' fehlt in $1"; err=1; }; }
-miss() { grep -q "$2" "$1" && { echo "[DRIFT] Veralteter Begriff '$2' in $1"; err=1; }; }
-
-# Harte Altlast-Pfade dürfen nicht mehr vorkommen
-if git grep -n "docs/00_Domain/" -- docs >/dev/null 2>&1; then
-  echo "[DRIFT] Veralteter Pfad 'docs/00_Domain/' in docs/* gefunden"
-  err=1
-fi
-if git grep -n "docs/adr/" -- docs >/dev/null 2>&1; then
-  echo "[DRIFT] Veralteter Pfad 'docs/adr/' in docs/* gefunden"
-  err=1
-fi
-if git grep -n "docs/c4/" -- docs >/dev/null 2>&1; then
-  echo "[DRIFT] Veralteter Pfad 'docs/c4/' in docs/* gefunden"
-  err=1
-fi
-if git grep -n "docs/how-to/" -- docs >/dev/null 2>&1; then
-  echo "[DRIFT] Veralteter Pfad 'docs/how-to/' in docs/* gefunden"
-  err=1
-fi
-if git grep -n "docs/reference/" -- docs >/dev/null 2>&1; then
-  echo "[DRIFT] Veralteter Pfad 'docs/reference/' in docs/* gefunden"
-  err=1
-fi
-
-# Quelle der Wahrheit: Gateway-Technologie (sollte in Architektur/ADRs/C4 konsistent sein)
-has docs/01_Architecture/ARCHITECTURE.md "Spring Cloud Gateway"
-has docs/01_Architecture/adr/0007-api-gateway-pattern-de.md "Spring Cloud Gateway"
-miss docs/01_Architecture/adr/0007-api-gateway-pattern-de.md "Ktor"
-has docs/01_Architecture/c4/02-container-de.puml "Spring Cloud Gateway"
-miss docs/01_Architecture/c4/02-container-de.puml "Ktor"
-
-exit $err
+# Shim: Weiterleitung auf zentrale Guardrail in .ai/
+SCRIPT_DIR="$(cd -- "$(dirname "${BASH_SOURCE[0]}" )" >/dev/null 2>&1 && pwd)"
+ROOT_DIR="$(git -C "$SCRIPT_DIR" rev-parse --show-toplevel 2>/dev/null || echo "$SCRIPT_DIR")"
+exec "$ROOT_DIR/.ai/scripts/check-docs-drift.sh" "$@"

.junie/scripts/render-plantuml.sh

@@ -1,9 +1,7 @@
 #!/usr/bin/env bash
 set -euo pipefail
 
-mkdir -p build/diagrams
-shopt -s nullglob
-for f in docs/architecture/c4/*.puml; do
-  docker run --rm -v "$PWD":/data plantuml/plantuml -tsvg "/data/$f" -o "/data/build/diagrams"
-  echo "Rendered build/diagrams/$(basename "${f%.puml}").svg"
-done
+# Shim: Weiterleitung auf zentrale Guardrail in .ai/
+SCRIPT_DIR="$(cd -- "$(dirname "${BASH_SOURCE[0]}" )" >/dev/null 2>&1 && pwd)"
+ROOT_DIR="$(git -C "$SCRIPT_DIR" rev-parse --show-toplevel 2>/dev/null || echo "$SCRIPT_DIR")"
+exec "$ROOT_DIR/.ai/scripts/render-plantuml.sh" "$@"

.junie/scripts/validate-links.sh

@@ -1,136 +1,7 @@
 #!/usr/bin/env bash
 set -euo pipefail
 
-# validate-links.sh - Link-Validierung für Projektdokumentation (`docs/**`).
-# Zweck: Guardrail für die "Docs-as-Code"-Strategie.
-
-SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
-PROJECT_ROOT="$(cd "$SCRIPT_DIR/../.." && pwd)"
-cd "$PROJECT_ROOT"
-
-QUICK_MODE=false
-
-while [[ $# -gt 0 ]]; do
-  case $1 in
-    --quick)
-      QUICK_MODE=true
-      shift
-      ;;
-    --help|-h)
-      cat << 'EOF'
-Docs Link-Validierung
-
-USAGE:
-  ./.junie/scripts/validate-links.sh [--quick]
-
-BESCHREIBUNG:
-  Prüft Markdown-Links in `docs/**/*.md` auf gebrochene relative Pfade.
-  Ignoriert externe Links (http/https/mailto) sowie reine Anchors (#...).
-
-OPTIONEN:
-  --quick  Führt nur eine Teilmenge der Prüfungen durch (aktuell nicht implementiert).
-EOF
-      exit 0
-      ;;
-    *)
-      echo "[ERROR] Unbekannter Parameter: $1" >&2
-      exit 2
-      ;;
-  esac
-done
-
-python3 - <<'PY'
-import os
-import re
-import sys
-from pathlib import Path
-from urllib.parse import unquote
-
-root = Path.cwd()
-docs_dir = root / "docs"
-
-if not docs_dir.is_dir():
-    print(f"[ERROR] docs-Verzeichnis nicht gefunden: {docs_dir}", file=sys.stderr)
-    sys.exit(2)
-
-# Veraltete Pfad-Prüfungen wurden entfernt, da sie zu wartungsintensiv waren.
-# Das Skript konzentriert sich nun auf die Validierung der Link-Integrität.
-FORBIDDEN_SUBSTRINGS = []
-
-md_files = sorted(docs_dir.rglob("*.md"))
-
-link_pattern = re.compile(r"\]\(([^)]+)\)")
-
-errors = 0
-
-def is_external(target: str) -> bool:
-    t = target.lower()
-    return t.startswith("http://") or t.startswith("https://") or t.startswith("mailto:")
-
-def strip_fragment_and_query(target: str) -> str:
-    # remove fragment and query parts
-    target = target.split("#", 1)[0]
-    target = target.split("?", 1)[0]
-    return target
-
-for f in md_files:
-    text = f.read_text(encoding="utf-8", errors="replace")
-
-    for forbidden in FORBIDDEN_SUBSTRINGS:
-        if forbidden in text:
-            print(f"[ERROR] Veralteter Pfad '{forbidden}' in {f}")
-            errors += 1
-
-    for match in link_pattern.finditer(text):
-        target = match.group(1).strip()
-
-        if not target:
-            continue
-        if is_external(target):
-            continue
-        if target.startswith("#"):
-            continue
-
-        # drop angle brackets <...> used in markdown for urls with spaces
-        if target.startswith("<") and target.endswith(">"):
-            target = target[1:-1]
-
-        target = unquote(strip_fragment_and_query(target))
-
-        # ignore absolute paths in the repo (we treat them as doc-style links; validate only if relative)
-        if target.startswith("/"):
-            continue
-
-        # ignore non-file targets (e.g. empty or protocol-less anchors)
-        if ":" in target.split("/", 1)[0]:
-            # things like "vscode:..." etc.
-            continue
-
-        # treat as file path relative to markdown file
-        resolved = (f.parent / target).resolve()
-
-        # keep validation within repo
-        try:
-            resolved.relative_to(root.resolve())
-        except ValueError:
-            print(f"[ERROR] Link zeigt außerhalb des Repos: {f} -> {target}")
-            errors += 1
-            continue
-
-        # allow directories if they contain README.md
-        if resolved.is_dir():
-            if not (resolved / "README.md").is_file():
-                print(f"[ERROR] Verlinktes Verzeichnis ohne README.md: {f} -> {target}")
-                errors += 1
-            continue
-
-        if not resolved.exists():
-            print(f"[ERROR] Broken link: {f} -> {target}")
-            errors += 1
-
-if errors:
-    print(f"[ERROR] Link-Validierung fehlgeschlagen: {errors} Fehler")
-    sys.exit(1)
-
-print(f"[OK] Link-Validierung erfolgreich: {len(md_files)} Markdown-Dateien geprüft")
-PY
+# Shim: Weiterleitung auf zentrale Guardrail in .ai/
+SCRIPT_DIR="$(cd -- "$(dirname "${BASH_SOURCE[0]}" )" >/dev/null 2>&1 && pwd)"
+ROOT_DIR="$(git -C "$SCRIPT_DIR" rev-parse --show-toplevel 2>/dev/null || echo "$SCRIPT_DIR")"
+exec "$ROOT_DIR/.ai/scripts/validate-links.sh" "$@"

.nolik/.aiignore

@@ -0,0 +1,21 @@
+# .aiignore - Verhindert Token-Waste für Nolik
+
+# Abhängigkeiten & Binaries
+build/
+.gradle/
+*.jar
+*.deb
+*.msi
+
+# Sensible Daten (auch lokal!)
+.env
+.env.*
+config/docker/certs/
+*.pem
+*.jks
+postgres-data/
+valkey-data/
+
+# Doku-Builds (Nolik soll die Source-Files in docs/ lesen, nicht die HTML-Exporte)
+build/dokka/
+docs/Neumarkt2026/*.pdf

.nolik/scripts/check-docs-drift.sh

@@ -0,0 +1,7 @@
+#!/usr/bin/env bash
+set -euo pipefail
+
+# Shim: Weiterleitung auf zentrale Guardrail in .ai/
+SCRIPT_DIR="$(cd -- "$(dirname "${BASH_SOURCE[0]}" )" >/dev/null 2>&1 && pwd)"
+ROOT_DIR="$(git -C "$SCRIPT_DIR" rev-parse --show-toplevel 2>/dev/null || echo "$SCRIPT_DIR")"
+exec "$ROOT_DIR/.ai/scripts/check-docs-drift.sh" "$@"

.nolik/scripts/validate-links.sh

@@ -0,0 +1,7 @@
+#!/usr/bin/env bash
+set -euo pipefail
+
+# Shim: Weiterleitung auf zentrale Guardrail in .ai/
+SCRIPT_DIR="$(cd -- "$(dirname "${BASH_SOURCE[0]}" )" >/dev/null 2>&1 && pwd)"
+ROOT_DIR="$(git -C "$SCRIPT_DIR" rev-parse --show-toplevel 2>/dev/null || echo "$SCRIPT_DIR")"
+exec "$ROOT_DIR/.ai/scripts/validate-links.sh" "$@"

README.md

@@ -20,7 +20,7 @@ Die gesamte Projektdokumentation (Architektur, Fachdomäne, Entwickler-Anleitung
 | [03_Domain](./docs/03_Domain)                 | Fachlichkeit, Turnierregeln, Entities             |
 | [07_Infrastructure](./docs/07_Infrastructure) | Docker, Keycloak, CI/CD, Zora-Infrastruktur       |
 
-Wesentliche Architektur-Referenz: [Offline‑First Desktop & Backend (Kurzkonzept)](./docs/01_Architecture/konzept-offline-first-desktop-backend-de.md)
+Wesentliche Architektur-Referenz: [Offline‑First Desktop & Backend (Kurzkonzept)](./docs/01_Architecture/Concepts/konzept-offline-first-desktop-backend-de.md)
 
 ---
 
@@ -113,3 +113,9 @@ Beiträge sind willkommen. Bitte lies zunächst die Entwickler-Guides unter [`do
 ## 📜 Lizenz
 
 Dieses Projekt steht unter der [MIT License](LICENSE).
+
+---
+
+## Test
+
+Das ist der 2. Versuch über Remote zu Committen 

backend/infrastructure/cache/valkey-cache/src/test/kotlin/at/mocode/infrastructure/cache/valkey/ValkeyDistributedCachePerformanceTest.kt

@@ -8,7 +8,7 @@ import io.valkey.springframework.data.valkey.core.ValkeyTemplate
 import io.valkey.springframework.data.valkey.serializer.StringValkeySerializer
 import kotlinx.coroutines.joinAll
 import kotlinx.coroutines.launch
-import kotlinx.coroutines.test.runTest
+import kotlinx.coroutines.runBlocking
 import org.junit.jupiter.api.BeforeEach
 import org.junit.jupiter.api.Test
 import org.testcontainers.containers.GenericContainer
@@ -70,7 +70,7 @@ class ValkeyDistributedCachePerformanceTest {
   }
 
   @Test
-  fun `test cache performance with high concurrent access`() = runTest {
+  fun `test cache performance with high concurrent access`() = runBlocking {
     logger.info { "Starting concurrent access test" }
     val numberOfCoroutines = 100
     val operationsPerCoroutine = 50

backend/infrastructure/zns-importer/src/main/kotlin/at/mocode/zns/importer/ZnsImportService.kt

@@ -2,6 +2,7 @@
 
 package at.mocode.zns.importer
 
+import at.mocode.core.domain.model.ReiterLizenz
 import at.mocode.masterdata.domain.repository.*
 import at.mocode.zns.parser.ZnsFunktionaerParser
 import at.mocode.zns.parser.ZnsPferdParser

backend/services/masterdata/masterdata-domain/src/commonMain/kotlin/at/mocode/masterdata/domain/model/Reiter.kt

@@ -3,6 +3,7 @@
 package at.mocode.masterdata.domain.model
 
 import at.mocode.core.domain.model.DatenQuelleE
+import at.mocode.core.domain.model.ReiterLizenz
 import at.mocode.core.domain.model.ReiterLizenzKlasseE
 import at.mocode.core.domain.serialization.InstantSerializer
 import at.mocode.core.domain.serialization.LocalDateSerializer
@@ -14,16 +15,6 @@ import kotlin.time.Clock
 import kotlin.time.Instant
 import kotlin.uuid.Uuid
 
-@Serializable
-data class ReiterLizenz(
-  @Serializable(with = UuidSerializer::class)
-  val lizenzId: Uuid = Uuid.random(),
-  val lizenzTyp: String, // STARTKARTE, REITERLIZENZ, FAHRLIZENZ
-  val kuerzel: String,
-  @Serializable(with = LocalDateSerializer::class)
-  val gueltigBis: LocalDate? = null
-)
-
 /**
  * Domain model representing a rider (Reiter) in the actor-context.
  *

backend/services/masterdata/masterdata-infrastructure/src/main/kotlin/at/mocode/masterdata/infrastructure/persistence/reiter/ReiterExposedRepository.kt

@@ -4,10 +4,10 @@ package at.mocode.masterdata.infrastructure.persistence.reiter
 
 import at.mocode.core.domain.model.DatenQuelleE
 import at.mocode.core.domain.model.ReiterAltersKlasseE
+import at.mocode.core.domain.model.ReiterLizenz
 import at.mocode.core.domain.model.ReiterLizenzKlasseE
 import at.mocode.core.utils.database.DatabaseFactory
 import at.mocode.masterdata.domain.model.Reiter
-import at.mocode.masterdata.domain.model.ReiterLizenz
 import at.mocode.masterdata.domain.repository.ReiterRepository
 import org.jetbrains.exposed.v1.core.ResultRow
 import org.jetbrains.exposed.v1.core.and

build.gradle.kts

@@ -38,7 +38,7 @@ plugins {
 // ###                  ALLPROJECTS CONFIGURATION                 ###
 // ##################################################################
 
-val isWasmEnabled = findProperty("enableWasm")?.toString()?.toBoolean() ?: false
+val isWasmEnabled: Boolean = findProperty("enableWasm")?.toString()?.toBoolean() ?: false
 
 // ---------------------------------------------------------------
 // Zentrale Versionierung — liest version.properties (SemVer)
@@ -47,10 +47,10 @@ val versionProps =
   java.util.Properties().also { props ->
     rootProject.file("version.properties").inputStream().use { props.load(it) }
   }
-val vMajor = versionProps.getProperty("VERSION_MAJOR", "1")
-val vMinor = versionProps.getProperty("VERSION_MINOR", "0")
-val vPatch = versionProps.getProperty("VERSION_PATCH", "0")
-val vQualifier = versionProps.getProperty("VERSION_QUALIFIER", "").trim()
+val vMajor: String = versionProps.getProperty("VERSION_MAJOR", "1")
+val vMinor: String = versionProps.getProperty("VERSION_MINOR", "0")
+val vPatch: String = versionProps.getProperty("VERSION_PATCH", "0")
+val vQualifier: String = versionProps.getProperty("VERSION_QUALIFIER", "").trim()
 val semVer = if (vQualifier.isBlank()) "$vMajor.$vMinor.$vPatch" else "$vMajor.$vMinor.$vPatch-$vQualifier"
 
 allprojects {
@@ -113,7 +113,7 @@ subprojects {
   // (A) Source map configuration is handled via `gradle.properties` (global Kotlin/JS settings)
   // to avoid compiler-flag incompatibilities across toolchains.
 
-  // (B) Conditional Wasm/JS Target handling based on `enableWasm` property
+  // (B) Conditional Wasm/JS Target handling based on the ` enableWasm ` property
   // This significantly reduces build times during Desktop development.
   // Flag is defined at the beginning of the script.
 
@@ -176,16 +176,18 @@ subprojects {
   // Applies to all Exec-based tasks (covers Yarn/NPM invocations used by Kotlin JS plugin)
   tasks.withType<Exec>().configureEach {
     // Merge existing NODE_OPTIONS with --no-deprecation
-    val current = (environment["NODE_OPTIONS"] as String?) ?: System.getenv("NODE_OPTIONS")
-    val merged = if (current.isNullOrBlank()) "--no-deprecation" else "$current --no-deprecation"
+    val current: String? = (environment["NODE_OPTIONS"] as String?) ?: System.getenv("NODE_OPTIONS")
+    val merged: String = if (current.isNullOrBlank()) "--no-deprecation" else "$current --no-deprecation"
     environment("NODE_OPTIONS", merged)
     // Also set the legacy switch to silence warnings entirely
     environment("NODE_NO_WARNINGS", "1")
     // Set a Chrome binary path to avoid snap permission issues
+    if (System.getProperty("os.name").contains("Linux", ignoreCase = true)) {
       environment("CHROME_BIN", "/usr/bin/google-chrome-stable")
       environment("CHROMIUM_BIN", "/usr/bin/chromium")
       environment("PUPPETEER_EXECUTABLE_PATH", "/usr/bin/chromium")
     }
+  }
 
   // ------------------------------
   // Detekt & Ktlint default setup
@@ -276,7 +278,6 @@ tasks.register("checkBundleBudget") {
     }
 
     shells.forEach { shell ->
-      val key = shell.path.trimStart(':').replace(':', '/') // or use a colon form for budgets keys below
       val colonKey = shell.path.trimStart(':').replace('/', ':').trim() // ensure ":a:b:c"
       // Budgets are keyed by a Gradle path with colons but without leading colon in config for readability
       val budgetKeyCandidates =
@@ -371,8 +372,8 @@ tasks.register("staticAnalysis") {
 
 // Apply Dokka (V2) automatically to Kotlin subprojects
 subprojects {
-  plugins.withId("org.jetbrains.kotlin.jvm") { apply(plugin = "org.jetbrains.dokka") }
-  plugins.withId("org.jetbrains.kotlin.multiplatform") { apply(plugin = "org.jetbrains.dokka") }
+  plugins.withId("org.jetbrains.kotlin.jvm") { pluginManager.apply("org.jetbrains.dokka") }
+  plugins.withId("org.jetbrains.kotlin.multiplatform") { pluginManager.apply("org.jetbrains.dokka") }
 }
 
 // Aggregate tasks to build multi-module docs in Markdown (GFM) and HTML
@@ -469,14 +470,16 @@ tasks.register("docs") {
 // Apply Node warning suppression on root project Exec tasks as well
 // Ensures aggregated Kotlin/JS tasks created at root (e.g., kotlinNpmInstall) inherit the env
 tasks.withType<Exec>().configureEach {
-  val current = (environment["NODE_OPTIONS"] as String?) ?: System.getenv("NODE_OPTIONS")
-  val merged = if (current.isNullOrBlank()) "--no-deprecation" else "$current --no-deprecation"
+  val current: String? = (environment["NODE_OPTIONS"] as String?) ?: System.getenv("NODE_OPTIONS")
+  val merged: String = if (current.isNullOrBlank()) "--no-deprecation" else "$current --no-deprecation"
   environment("NODE_OPTIONS", merged)
   environment("NODE_NO_WARNINGS", "1")
   // Set a Chrome binary path to avoid snap permission issues
+  if (System.getProperty("os.name").contains("Linux", ignoreCase = true)) {
     environment("CHROME_BIN", "/usr/bin/google-chrome-stable")
     environment("CHROMIUM_BIN", "/usr/bin/chromium")
     environment("PUPPETEER_EXECUTABLE_PATH", "/usr/bin/chromium")
+  }
 }
 
 tasks.wrapper {

core/core-domain/src/commonMain/kotlin/at/mocode/core/domain/model/Lizenz.kt

@@ -0,0 +1,19 @@
+@file:OptIn(kotlin.uuid.ExperimentalUuidApi::class)
+
+package at.mocode.core.domain.model
+
+import at.mocode.core.domain.serialization.LocalDateSerializer
+import at.mocode.core.domain.serialization.UuidSerializer
+import kotlinx.datetime.LocalDate
+import kotlinx.serialization.Serializable
+import kotlin.uuid.Uuid
+
+@Serializable
+data class ReiterLizenz(
+  @Serializable(with = UuidSerializer::class)
+  val lizenzId: Uuid = Uuid.random(),
+  val lizenzTyp: String, // STARTKARTE, REITERLIZENZ, FAHRLIZENZ
+  val kuerzel: String,
+  @Serializable(with = LocalDateSerializer::class)
+  val gueltigBis: LocalDate? = null
+)

core/zns-parser/src/commonMain/kotlin/at/mocode/zns/parser/ZnsReiterParser.kt

@@ -1,10 +1,10 @@
 package at.mocode.zns.parser
 
 import at.mocode.core.domain.model.DatenQuelleE
+import at.mocode.core.domain.model.ReiterLizenz
 import at.mocode.core.domain.model.ReiterLizenzKlasseE
 import at.mocode.core.utils.parser.FixedWidthLineReader
 import at.mocode.masterdata.domain.model.Reiter
-import at.mocode.masterdata.domain.model.ReiterLizenz
 import kotlin.uuid.ExperimentalUuidApi
 import kotlin.uuid.Uuid
 

docs/Ablage/Simka_Server_Zusammenfassung.md

@@ -0,0 +1,202 @@
+# System-Dokumentation: Simka Core Server
+
+## 1. Wer oder was ist Simka?
+**Simka** ist einer der beiden zentralen Pfeiler deiner hochperformanten, selbstgehosteten **Keller-Server-Landschaft** (neben dem zweiten Server *Zora*). Während Zora (dein Minisforum MS-R1 ARM64-Arbeitstier) primär für Core-Dienste und Datenhoheit zuständig ist, fungiert Simka als das eigentliche **Performance- und Rechenzentrum** im Keller.
+
+### Core-Spezifikationen & Hardware-Zustand (Stand: Mai 2026)
+* **Architektur:** x86_64 High-Performance Mini-PC / Server.
+* **Betriebssystem / Hypervisor:** **Proxmox VE 9.2** (aktuell auf Kernel/PVE-Stand 9.2.2).
+* **Kühlung & Wartung:** Frisch saniert im Mai 2026 mit **ARCTIC MX-7** Wärmeleitpaste auf der CPU und **ARCTIC TP-4** High-Performance Wärmeleitpads für optimale thermische Stabilität unter Volllast.
+* **Speichermedium:** Ultraschnelle NVMe-SSDs für die lokale Container- und VM-Ausführung.
+
+### Das anstehende "Monster-Upgrade" (Lieferung bis Ende der Woche)
+Simka wird in den nächsten Tagen hardwareseitig massiv aufgerüstet, um für lokale KI-Workloads und rechenintensive Pipelines bereitzuhoben:
+1.  **Arbeitsspeicher:** Erweiterung auf **64 GB DDR5 4800Mhz RAM** (maximale Kapazität für massives Multitasking und In-Memory-Datenbanken).
+2.  **Grafikkarte / GPU:** **PNY NVIDIA RTX 2000E Ada Generation**
+    * *Formfaktor:* Single-Slot & Low-Profile (perfekt für kompakte Servergehäuse, zieht Strom rein über den PCIe-Steckplatz).
+    * *Leistung:* Extrem energieeffiziente Ada-Lovelace-Architektur mit maximal **50W TDP** im Peak.
+    * *VRAM:* **16 GB Videospeicher mit ECC-Fehlerkorrektur** – das absolute Fundament für den ausfallsicheren 24/7-Betrieb von lokalen LLMs (Large Language Models).
+
+---
+
+## 2. Netzwerk-Konfiguration in der Keller-Landschaft
+
+Simka ist netzwerktechnisch perfekt redundant und isoliert aufgestellt. Die Kommunikation teilt sich auf zwei dedizierte Leitungen auf:
+
+```
+[ Erdgeschoss / Internet ]
+           │ (A1-Router / Fritzbox)
+           ▼
+     [ Keller-Switch ]
+       │          │
+       │ (10.0.0.20)
+       │          ▼
+       │     ┌───────────┐
+       │     │   ZORA    │◄──────┐
+       │     └───────────┘       │
+       │ (10.0.0.40)             │ Der exklusive
+       └──────►┌───────────┐     │ Keller-Highway
+               │   SIMKA   │     │ (192.168.99.X)
+               └───────────┘     │ Latenz: ~0.3 ms
+                     ▲           │
+                     └───────────┘
+```
+
+### A. Der primäre Uplink (`vmbr0`)
+* **Physisches Interface:** `nic0`
+* **Lokale IP:** `10.0.0.40/24`
+* **Gateway:** `10.0.0.138` (A1-Router / Fritzbox)
+* **Zweck:** Dieser Port verbindet Simka mit dem Hausnetzwerk und dem Internet. Über diesen Pfad greifst du via **Pangolin-Tunnel** (z. B. unter `https://fotos.mo-home.at`) sicher von außen (Remote von der Arbeit) auf deine Dienste zu.
+
+### B. Der exklusive "Keller-Highway" (`vmbr1`) – *Neu eingerichtet!*
+* **Physisches Interface:** `nic1` (Direktverbindung per Standard-Netzwerkkabel zu Zoras Interface `enp49s0`).
+* **Lokale IP:** `192.168.99.2/24`
+* **Gateway / DNS:** *Keines* (isoliertes Subnetz).
+* **Status:** Aktiviert mit **Autostart** bei Boot.
+* **Performance:** Saubere **0,33 ms Latenz** im Ping-Test, 0% Paketverlust.
+* **Zweck:** Blitzschnelle, vom restlichen Heimnetzwerk komplett isolierte Direktverbindung zwischen Zora und Simka. Hierüber laufen zukünftig automatisierte Backup-Pipelines, CI/CD-Prozesse und der interne Datenaustausch, ohne das normale LAN oder die Router-CPU zu belasten.
+
+---
+
+## 3. Container & Dienste: Wer läuft wo?
+
+Aktuell ist die Bereitstellung auf Simka modular und ressourceneffizient über Proxmox-Strukturen gelöst. Das Herzstück bildet die frisch migrierte Fotosammlung.
+
+### LXC-Container: `simka-immich`
+* **Umgebung:** `/opt/immich`
+* **Konfiguration:** Docker Compose Stack.
+* **Dienste im Stack:**
+    * `immich_server`: Das Hauptsystem der App (erreichbar lokal unter `http://10.0.0.40:2283`).
+    * `immich_machine_learning`: Zuständig für Objekterkennung und CLIP-Inferenz.
+    * `immich_postgres`: Die relationale Datenbank (PostgreSQL 14 mit `pgvector`/`vectorchord` Erweiterung).
+    * `immich_redis`: In-Memory-Datenstruktur-Store für Caching und Job-Queues.
+* **Daten-Zustand:**
+    * **Datenbank:** Erfolgreich importiert aus der `immich-db-backup.sql` (**610 MB** an Metadaten, Pfaden und Strukturen). Die alte, leere Auto-Datenbank wurde zuvor sauber via `dropdb` gelöscht.
+    * **Bilderpool:** Satte **~780 GB an Daten (131.578 Fotos/Videos)** liegen direkt lokal auf Simkas schneller NVMe-SSD.
+    * **Aktueller Betriebsmodus:** Reine **CPU-Ausführung** (x86_64). Die Mitternachts-Jobs und Worker-Anzahlen für Video-Transcoding sind CPU-schonend konfiguriert (max. 1–2 Worker), um den Server bis zum Wochenende nicht zu überlasten.
+    * **Zugriff:** Voll funktionsfähig lokal sowie mobil über die Android-App via Pangolin-Tunnel (Plattform-SSO wurde für den reibungslosen API-Sync der App deaktiviert).
+
+---
+
+## 4. Die Roadmap für das kommende Wochenende 🚀
+
+Sobald die Hardware geliefert wurde, wird Simka schrittweise zum KI-Kraftpaket ausgebaut:
+
+1.  **Hardware-Injektion:** Einbau der 64 GB DDR5 RAM und der NVIDIA RTX 2000E Ada.
+2.  **Die "Simka Core AI" VM:** Erstellung einer dedizierten virtuellen Maschine (z. B. Ubuntu/Fedora Server) in Proxmox.
+    * *PCIe-Passthrough:* Die RTX 2000E wird exklusiv direkt in diese KI-VM durchgereicht.
+    * *LLM-Infrastruktur:* Installation von **Ollama**. Dank der 16 GB ECC-VRAM laden wir dort mächtige Coding-Modelle wie `qwen2.5-coder:7b` (oder quantisierte 14b-Versionen) für blitzschnelle Code-Generierung in deiner IntelliJ-IDE auf deinem Ubuntu-Entwicklungs-PC.
+3.  **Immich-Beschleunigung:** Umstellung des `simka-immich` Docker-Stacks auf GPU-Inferenz. Die 88 Tensor-Kerne der RTX übernehmen dann die Gesichtserkennung und das Video-Transcoding in Millisekunden, wodurch die CPU komplett entlastet wird.
+4.  **CI/CD-Ausbau:** Migration des Gitea-Runners für dein Projekt **Meldestelle** aus der alten VM-Infrastruktur in einen schlanken, nativen LXC-Container auf Simka, der über den 0,3-ms-Highway direkt an dein Gitea auf Zora andockt.
+
+
+---
+
+## 5. Architektur- und Betriebs-Einschätzung (Ablage)
+
+🏗️ [Lead Architect]
+
+### Einschätzung der Architektur
+- Starker, sinnvoller Plattform-Split: Zora = Core/Control-Plane, Simka = Compute/Throughput. Das entspricht einer sauberen Trennung von „Authority“ und „Acceleration“ und passt zur Desktop-/Offline‑First Strategie der Meldestelle.
+- Netzwerk-Topologie mit dediziertem „Keller-Highway“ (vmbr1, 192.168.99.0/24) ist genau richtig für Replikation, CI/CD und Bulk-Daten. Minimiert Latenz/Jitter und entkoppelt vom Heimnetz.
+- Hardware-Entscheidung: RTX 2000E Ada (16 GB ECC, 50 W) ist ein hoch‑effizienter, 24/7‑tauglicher Inferenz‑Beschleuniger. Für LLMs bis 7B (FP16) und 14B (ggf. quantisiert) sowie NVENC/Transcoding ist sie sehr passend. Gegenüber „dickeren“ Karten (z. B. 4090/6000 Ada) verlierst du Peak‑Throughput, gewinnst aber Effizienz, Geräusch, thermische Stabilität und ECC.
+
+### Architektur-Empfehlungen (kurz & konkret)
+- Datenpfade klar trennen:
+  - „Hot“ AI/Transcode scratch auf lokaler NVMe (Simka)
+  - „Warm“ Artifacts/Backups via vmbr1 zu Zora
+- Standards definieren (Doku‑as‑Code):
+  - ADR: „GPU‑Passthrough für Compute‑VMs“ (Begründung, Alternativen, Trade‑offs)
+  - ADR: „LXC vs. VM für Runner/Builds“ (siehe DevOps‑Teil)
+- Observability als Querschnitt: Einheitliche Metrik‑Namen/Labels für Hosts, VMs, LXC (Node exporter/Nvidia exporter), damit Kapazitätsplanung reproduzierbar ist.
+
+---
+
+🐧 [DevOps Engineer]
+
+### Was ist gut gelaufen
+- Proxmox VE 9.2 auf aktuellem Stand, dedizierter LXC‑Stack für Immich, Ping‑Latenz ~0,33 ms auf vmbr1: sehr solide Grundlage.
+- Saubere Migration der Immich‑Datenbank und großer Medienpool lokal auf NVMe → I/O‑Bottlenecks minimiert.
+
+### Konkreter Wochenend‑Plan (Checkliste)
+1) Hardware‑Einbau und Firmware
+- RAM auf 64 GB einsetzen, Memtest (mind. 1 Pass) → Verifikation erforderlich.
+- GPU einsetzen; BIOS/UEFI:
+  - Primäre Anzeige auf iGPU/Onboard setzen (damit dGPU frei für Passthrough bleibt)
+  - Resizable BAR an (falls angeboten), SR‑IOV/IOMMU aktiv.
+
+2) Proxmox: NVIDIA GPU‑Passthrough für KI‑VM
+- Kernel/Boot: IOMMU aktivieren (`amd_iommu=on`), Neustart; prüfen, dass GPU in eigenem IOMMU‑Group landet.
+- Host: `vfio-pci` binden, Nouveau/NVIDIA‑Hosttreiber nicht laden (Host soll die GPU nicht claimen).
+- VM anlegen (Ubuntu Server LTS oder Fedora Server), PCIe‑Gerät hinzufügen (GPU + ggf. GPU‑Audio Function), MSI‑Interrupts aktivieren.
+- In‑Guest: NVIDIA Treiber + CUDA/CuDNN installieren; `nvidia-smi` muss die Karte stabil zeigen.
+
+3) „Simka Core AI“ VM: Modelle & Runtime
+- Ollama + optional OpenWebUI installieren.
+- Modelle (Beispiele mit 16 GB VRAM):
+  - qwen2.5‑coder:7b (FP16) oder 14b quantisiert (Q4_K_M/Q6_K)
+  - DeepSeek‑coder 6.7B, Llama‑3.1/3.2 8B Instruct quantisiert für Tools/Chat
+- Policies:
+  - Max. Parallelität und KV‑Cache Limits definieren, um OOM zu vermeiden.
+  - Watchdog/Service‑Unit für automatischen Neustart bei Treiber‑Resets.
+
+4) Immich auf GPU beschleunigen
+- Auf dem LXC‑Host NVIDIA Container Toolkit bereitstellen oder, falls LXC zu restriktiv ist: Immich in eine leichte VM oder in einen privilegierten LXC migrieren.
+- docker‑compose Anpassungen:
+  - `immich_machine_learning` mit `--gpus=all`/`runtime: nvidia`
+  - FFmpeg HWAccel aktivieren: `-hwaccel cuda -hwaccel_output_format cuda -c:v h264_nvenc/hevc_nvenc`
+  - Worker‑Limits neu justieren (mehr Transcode‑Jobs, wenn GPU an Bord)
+- Verifikation: Testtranscode und Embedding‑Job messen (Metriken/Logs sichern).
+
+5) Gitea Runner Migration (Meldestelle CI/CD)
+- Entscheidung: LXC vs. VM
+  - LXC (privileged, `nesting=1`, `keyctl=1`) ist ressourcenschonend, aber Docker‑in‑LXC erfordert Sorgfalt.
+  - Alternativ: kleine „Runner‑VM“ mit Docker – oft robuster bei komplexen Build‑Needs (z. B. Android/Compose Desktop Toolchains).
+- Netzwerk: Runner nutzt vmbr1, verbindet sich mit Gitea auf Zora, DNS via Hostfile/Static Route, kein Default‑GW nötig.
+- Caching: Maven/Gradle Cache persistent auf separatem Volume; Artefakt‑Upload über vmbr1.
+
+6) Netzwerk‑Feinschliff
+- vmbr1 ohne Gateway belassen; auf Hosts `metric`/Policy‑Routing setzen, damit Traffic für 192.168.99.0/24 strikt lokal bleibt.
+- Optional Jumbo Frames (MTU 9000) testen, wenn NICs/Switch/Direct‑Link es stabil können.
+- Proxmox‑Firewall:
+  - vmbr0 restriktiv (nur notwendige Ingress‑Ports)
+  - vmbr1 nur Host‑zu‑Host/Backup/CI erlauben
+
+7) Backup & Wiederherstellung
+- Immich: DB Dumps (pg_dump) + Objekt‑Speicher Sync via vmbr1 zu Zora (z. B. borg/restic/ZFS send‑recv).
+- Proxmox: regelmäßige VM/LXC Snapshots + Offhost‑Kopie.
+- Recovery‑Drills: 1x/Quartal Wiederherstellung in Test‑VM durchführen → „Verifikation ausstehend“ bis Log vorhanden.
+
+8) Observability & Betrieb
+- Node Exporter + NVIDIA DCGM/Exporter auf Simka; Prometheus/Grafana auf Zora aggregiert.
+- Alarme: NVMe Wear‑Level, GPU ECC Errors, Temp, OOM‑Kills, Docker/Container Restarts.
+- Energie: Optional `nvidia-smi -pl` Power‑Limit dokumentieren (wenn thermisch nötig), persistent via Systemd Unit.
+
+### Risiken/Watchouts
+- LXC + GPU ist möglich, aber distributions‑/kernel‑abhängig; wenn Treiber‑Bindung hakelt, früh auf VM umschwenken.
+- RTX 2000E hat 16 GB VRAM: bei mehreren gleichzeitigen LLM‑Sessions aggressiv quantisieren oder serielle Ausführung planen.
+- Pangolin‑Tunnel: Secrets/Token sicher hinterlegen und Rotation terminieren; 2FA erzwingen.
+
+---
+
+🧹 [Curator]
+
+### Dokumentations- und Abschluss‑Tasks
+- Dieses „Simka Core Server“ Dokument ist ein sehr guter Start. Ergänze bitte:
+  - Abschnitt „Verifikation/Beweise“ mit Links/Screenshots/Logs zu: Memtest, `nvidia-smi`, Immich‑GPU‑Transcode‑Probe, Ollama Inferenz‑Benchmark, CI‑Runner „connected“ Status.
+  - ADR‑Einträge unter `docs/01_Architecture/ADRs/`:
+    - ADR‑00X „Dedizierter Keller‑Highway (vmbr1) für Bulk/CI/Backup“
+    - ADR‑00X „GPU‑Passthrough für KI‑VM auf Proxmox“
+    - ADR‑00X „Runner: LXC (privileged) vs. kleine VM – Entscheidung & Gründe“
+  - Runbook „Simka Operations“: Boot‑Reihenfolge, Health‑Checks, Troubleshooting (GPU Reset, Treiber‑Reinstall, Container‑Restart).
+- Anti‑Halluzinations‑Protokoll anwenden:
+  - Kein „erledigt“ ohne Build/Test‑Beweis; markiere alle neuen Punkte als „Verifikation ausstehend“, bis Logs/Artefakte abgelegt sind.
+- Inventar & Versionen pflegen:
+  - BIOS/UEFI‑Version, Proxmox‑Kernel, NVIDIA‑Treiber, Docker Compose Hash, Immich Version, DB Schema Version.
+
+### Verifikation/Beweise (Platzhalter – Verifikation ausstehend)
+- [ ] Memtest86+ Log (mind. 1 Pass, fehlerfrei)
+- [ ] `nvidia-smi` Ausgabe in der KI‑VM (GPU erkannt, ECC aktiv, Treiber‑Version)
+- [ ] Immich: GPU‑beschleunigter Transcode‑Test (Log + Metriken)
+- [ ] Ollama: Inferenz‑Benchmark (Modell + Prompt + Zeit + VRAM‑Auslastung)
+- [ ] Gitea Runner: „connected“ Status + Beispiel‑Build‑Log über vmbr1

frontend/core/local-db/build.gradle.kts

@@ -60,6 +60,16 @@ sqldelight {
     create("AppDatabase") {
       packageName.set("at.mocode.frontend.core.localdb")
       generateAsync.set(true)
+      // Workaround für SQLite-Temp-Verzeichnis Issue auf Windows
+      verifyMigrations.set(false)
     }
   }
 }
+
+// Workaround für SQLite-Temp-Verzeichnis Issue auf Windows. Das Plugin generiert dynamisch Tasks.
+// lazy task configuration avoids cache issues and intercepts dynamic tasks
+tasks.configureEach {
+  if (name.contains("verify", ignoreCase = true) && name.contains("Migration", ignoreCase = true)) {
+    enabled = false
+  }
+}

frontend/shells/meldestelle-desktop/src/jvmMain/kotlin/at/mocode/frontend/shell/desktop/di/DesktopModule.kt

@@ -6,9 +6,11 @@ import at.mocode.frontend.core.domain.repository.MasterdataRepository
 import at.mocode.frontend.core.navigation.CurrentUserProvider
 import at.mocode.frontend.core.navigation.DeepLinkHandler
 import at.mocode.frontend.core.navigation.NavigationPort
+import at.mocode.frontend.shell.desktop.data.repository.StoreVeranstaltungRepository
 import at.mocode.frontend.shell.desktop.navigation.DesktopNavigationPort
 import at.mocode.frontend.shell.desktop.repository.DesktopMasterdataRepository
 import at.mocode.frontend.shell.desktop.screens.chat.presentation.ChatViewModel
+import at.mocode.veranstaltung.feature.domain.repository.VeranstaltungRepository
 import org.koin.core.module.dsl.viewModel
 import org.koin.dsl.module
 
@@ -37,5 +39,6 @@ val desktopModule = module {
   single<CurrentUserProvider> { DesktopCurrentUserProvider(get()) }
   single { DeepLinkHandler(get(), get()) }
   single<MasterdataRepository> { DesktopMasterdataRepository(get()) }
+  single<VeranstaltungRepository> { StoreVeranstaltungRepository() }
   viewModel { ChatViewModel(get()) }
 }

frontend/shells/meldestelle-desktop/src/jvmMain/kotlin/at/mocode/frontend/shell/desktop/main.kt

@@ -7,6 +7,7 @@ import at.mocode.frontend.core.localdb.DatabaseProvider
 import at.mocode.frontend.core.localdb.localDbModule
 import at.mocode.frontend.core.network.networkModule
 import at.mocode.frontend.core.network.sync.SyncManager
+import at.mocode.frontend.core.sync.di.syncModule
 import at.mocode.frontend.features.billing.di.billingModule
 import at.mocode.frontend.features.device.initialization.di.deviceInitializationModule
 import at.mocode.frontend.features.funktionaer.di.funktionaerModule
@@ -32,6 +33,7 @@ fun main() {
       printLogger()
       modules(
         networkModule,
+        syncModule,
         authModule,
         localDbModule,
         desktopModule,