Close Dawarich backup and egress follow-ups

docs/HOMELAB_REVIEW_MATRIX.md

@@ -36,7 +36,7 @@ Exposure, Identity, Backup-Restore, Data Privacy/Egress, GitOps-Control-Plane.
 | 9 | Observability-Luecken | ? | - | Alert-on-Absence/Dead-Man-Switch belegt, weiter beweisen |
 | 10 | Exit & Portierbarkeit | ? | - | |
 | 11 | Update- & Patch-Hygiene | ? | teilweise | Renovate belegt; Host/Engine/Auth-Layer separat betrachten |
-| 12 | Data Privacy / Egress / Datenklassifikation | 2 | 2026-06-26 | OpenAI-/Mail-/Healthchecks-/ntfy-/Borg-Egress kartiert; Retention/Loeschpfade und Dawarich-Abdeckung offen |
+| 12 | Data Privacy / Egress / Datenklassifikation | 3 | 2026-06-26 | OpenAI-/Mail-/Healthchecks-/ntfy-/Borg-Egress inkl. Datenklasse/Retention/Loeschpfad dokumentiert; Live-Account-Pruefungen und Dawarich Host-Dump/Restore-Smoke offen |
 | 13 | GitOps-Control-Plane & Drift | 3 | 2026-06-26 | Repo-Soll stark; Live-Abgleich fuer Komodo/Runtime/Traefik/Authelia offen; Self-Stack und manuelle Sync-Ausnahmen sind hoechster Hebel |
 
 ## 12 - Data Privacy / Egress / Datenklassifikation
@@ -68,23 +68,24 @@ rg -n "Dawarich|dawarich|OpenAI|healthchecks.io|ntfy.sh|GitHub Mirror|Hetzner|GM
 
 | Pfad | Belegt | Risiko |
 |---|---|---|
-| Paperless-GPT -> OpenAI | `apps/paperless-gpt/docker-compose.yml` nutzt OpenAI fuer LLM/Vision OCR | Dokumenttext/Bilder/Metadaten koennen extern verarbeitet werden; Retention/Loeschpfad nicht im Repo dokumentiert |
+| Paperless-GPT -> OpenAI | `apps/paperless-gpt/docker-compose.yml` nutzt OpenAI fuer LLM/Vision OCR; Provider-Regeln in `docs/EXTERNAL_DEPENDENCIES.md` | Dokumenttext/Bilder/Metadaten koennen extern verarbeitet werden; Live-Account-Settings/ZDR/`store`-Verhalten offen |
 | n8n Mail -> OpenAI -> Gitea | Workflow-JSON im Repo, Export war inaktiv; live nicht verifiziert | Mailinhalt bis 8000 Zeichen kann an OpenAI gehen; Live-Status und Retention offen |
-| GMX IMAP/SMTP | n8n, Vaultwarden, Authelia/Mailpfade dokumentiert | Mailprovider-Retention und Scope nicht als Matrix erfasst |
+| GMX IMAP/SMTP | n8n, Vaultwarden, Authelia/Mailpfade dokumentiert; Retention/Exportpfad in `docs/EXTERNAL_DEPENDENCIES.md` | Vollpostfach-Egress waere hochriskant; dedizierte Ordner/Postfaecher bevorzugen |
 | Borg -> Hetzner | `EXTERNAL_DEPENDENCIES.md`, Borg-Scope | Verschluesselte Offsite-Kopie vieler Datenklassen; Immutability/Retention weiter beweisen |
-| ntfy/Healthchecks | self-hosted + externe Cloud-Waechter dokumentiert | Alert-/Checknamen koennen operative Metadaten leaken |
-| Dawarich | Service Catalog + Compose vorhanden | Standortdaten sind hochsensibel; Architecture/Auth/Restore/Backup-Abdeckung war nicht konsistent sichtbar |
+| ntfy/Healthchecks | self-hosted + externe Cloud-Waechter dokumentiert; Retention/Loeschpfade in `docs/EXTERNAL_DEPENDENCIES.md` | Alert-/Checknamen koennen operative Metadaten leaken; Live-Namen screenen |
+| Dawarich | Service Catalog + Compose + Borg-Scope vorhanden | Standortdaten sind hochsensibel; repo-seitig jetzt `dawarich.dump` + `/local/appdata/dawarich`, erster Host-Dump/Restore-Smoke offen |
 
 **Naechste Optimierungen**
 
-- OpenAI-Retention, Datenkontrollen, Loesch-/Exportpfad und erlaubte Datenklassen
-  fuer Paperless-GPT und n8n dokumentieren.
+- OpenAI-Projekt live pruefen: ZDR/Retention-Status, Logs, verwendete API-Features
+  und ob Paperless-GPT/n8n `store=false` oder vergleichbare Nicht-Speicherpfade
+  unterstuetzen.
 - Paperless-GPT nur ueber Tag-/Allowlist oder klare Ausschlussregel auf
   Dokumente anwenden.
-- Dawarich in Architecture/Auth/Restore/Backup-Scope konsistent eintragen oder
-  bewusst als Ausnahme dokumentieren.
-- Healthchecks/ntfy-Naming-Regel: keine PII, keine Pfade, keine Secrets, keine
-  aussagekraeftigen internen Namen in Payloads.
+- Dawarich auf Unraid belegen: `pre-backup-dumps.sh` laufen lassen,
+  `dawarich.dump`-Frische pruefen und isolierten PostGIS-17-Restore-Smoke planen.
+- Healthchecks/ntfy live screenen: keine PII, keine Pfade, keine Secrets, keine
+  aussagekraeftigen internen Namen in Payloads oder Checknamen.
 
 ## 13 - GitOps-Control-Plane & Drift