diff --git a/docs/NEXT_SPRINT_TODO_2026-05-16.md b/docs/NEXT_SPRINT_TODO_2026-05-16.md
new file mode 100644
index 0000000..0f083d3
--- /dev/null
+++ b/docs/NEXT_SPRINT_TODO_2026-05-16.md
@@ -0,0 +1,38 @@
+# Aktuelle Restliste - KalliLab CORE
+
+Stand: 2026-05-16
+
+Diese Datei ersetzt die alte Sprint-Liste vom 2026-05-16. Die damaligen Backup-, Posture-, Logging- und Hardening-Bloecke sind weitgehend erledigt oder dokumentiert. Sie bleibt nur als kurze Restliste fuer die naechsten bewussten Arbeitspakete bestehen.
+
+## Erledigt / nicht mehr offen
+
+- Filebrowser-Hardening: breiter Appdata-Mount ist entfernt; Filebrowser mountet nur noch Documents, Photos, Projekte und eigenen App-State.
+- Authelia Argon2id-Haertung: `iterations: 3`, `memory: 65536`, `parallelism: 4`, `key_length: 32`, `salt_length: 16` sind gesetzt.
+- Gitea Webhook-Allowlist: `GITEA__webhook__ALLOWED_HOST_LIST` ist auf `komodo-core,localhost,127.0.0.1,192.168.178.0/24` eingeschraenkt.
+- Backup-Konsistenz: SQLite-/Nextcloud-Dumps, Borg-Scope fuer Nextcloud-Daten, Restore-Matrix und Freshness-Checks sind umgesetzt.
+- Posture-/Cert-/Drift-Checks: Skripte und Unraid User Scripts sind vorhanden und geplant.
+- Loki/Alloy Logging: Stack, Grafana-Datasource, Dashboards und Logging-Resilienz-Doku sind vorhanden.
+- Docker-Log-Rotation: Unraid-native Rotation ist dokumentiert; keine separate `/etc/docker/daemon.json` setzen.
+
+## Morgen / bewusst spaeter
+
+- Home Assistant -> InfluxDB finalisieren:
+  - HA-Token/Writer final pruefen
+  - erste Messwerte in InfluxDB verifizieren
+  - Grafana-HA-/Wetter-Dashboard aufbauen
+- Disk1-NTFS-Migration Phase 2:
+  - bleibt bewusst separates Migrationsfenster
+  - `posture-check` darf bis dahin die dokumentierte NTFS-Warnung melden
+- Hermes VM-Seite:
+  - Runner-VM, echte `.env`, SSH-Key und Dashboard/Gateway final zusammenfuehren
+  - NAS-Stack erst starten, wenn VM-Seite bereit ist
+
+## Verbleibende bekannte Warnings
+
+- `ddns-updater`, `glances`, `scrutiny`: nutzen noch `latest...@sha256`; spaeter durch konkrete Versionstags ersetzen, sofern upstream sinnvoll versioniert.
+- `grafana` und `influxdb3-core`: laufen weiterhin als `user: "0"`; dokumentierte Uebergangsausnahme, UID/GID-Hardening spaeter separat testen.
+- `scrutiny`: bleibt `privileged: true`; dokumentierte SMART-Ausnahme, spaeter erneut pruefen.
+
+## Regel
+
+Neue Arbeit erst starten, wenn klar ist, ob sie eines der drei Morgen-Themen betrifft oder eine der bekannten Warnings bewusst abbaut.