Add Renovate GitHub token support

docs/RENOVATE.md

@@ -16,6 +16,7 @@ Bewusst kein Auto-Merge: jede PR braucht eine Operator-Sichtpruefung und einen M
 - **Schedule:** alle 6 Stunden per Unraid User-Script `renovate-six-hourly` (`20 */6 * * *`)
 - **Plattform:** Gitea via `https://git.kaleschke.info/api/v1`
 - **Authentifizierung:** Gitea-PAT als Host-Secret-Datei
+- **GitHub.com Release Notes:** optionaler read-only GitHub.com-PAT als Host-Secret-Datei
 - **Konfiguration:** `renovate.json` im Repo-Root
 
 ## Operator-Setup (historisch, einmalig)
@@ -55,6 +56,27 @@ chown root:root /mnt/user/appdata/secrets/renovate_token.txt
 
 Token-Wert nicht in dieses Repo, nicht in Logs, nicht in Issues.
 
+### Schritt 3b - Optionaler GitHub.com-Token fuer Release Notes
+
+Da Renovate gegen Gitea laeuft, hat der Bot nicht automatisch GitHub.com-Credentials. Fuer Release Notes, Changelogs und weniger GitHub-API-Rate-Limit-Rauschen kann ein separater GitHub.com-PAT hinterlegt werden.
+
+Anforderungen:
+
+- beliebiger GitHub.com-Account
+- read-only / keine Repository-Berechtigungen noetig
+- nur fuer Renovate, nicht fuer Gitea-Zugriff
+
+Am Unraid-Host:
+
+```bash
+TOKEN='hier-den-github-com-token-einfuegen'
+echo -n "$TOKEN" > /mnt/user/appdata/secrets/renovate_github_com_token.txt
+chmod 600 /mnt/user/appdata/secrets/renovate_github_com_token.txt
+chown root:root /mnt/user/appdata/secrets/renovate_github_com_token.txt
+```
+
+`ops/renovate/run-renovate.sh` liest die Datei optional und reicht sie als `RENOVATE_GITHUB_COM_TOKEN` an den Renovate-Container durch. Fehlt die Datei, laeuft Renovate weiter, aber das Dependency Dashboard meldet `No github.com token has been configured. Skipping release notes retrieval`.
+
 ### Schritt 4 - Erstlauf manuell
 
 ```bash