Document superadmin control surface

docs/ops/operations-manual.md

@@ -21,6 +21,36 @@ Ziel ist, dass du von hier aus schnell zu den relevanten Runbooks und Referenzen
 
 > TODO: Ergänze ein Architekturdiagramm aus Sicht des Betriebs (z.B. als PNG oder PlantUML) und verlinke es hier.
 
+## 1.1 Superadmin‑Kontrollfläche & Zugriffs‑Matrix
+
+Die Superadmin‑Konsole ist für operative Kontrolle und Eskalation gedacht – nicht für tägliche Tenant‑Arbeit. Ziel ist eine minimale, aber vollständige Kontrollfläche.
+
+**Minimaler Control Surface (Superadmin)**
+- **Tenant‑Lifecycle & Limits:** Aktivieren/Sperren, Grace‑Periode, Löschung/Anonymisierung, Limits (Fotos/Event, Storage), Audit‑Timeline.
+- **Commercial & Billing:** Pakete/Addons, Tenant‑Pakete, Käufe/History, Gutscheine/Coupons.
+- **Event‑Oversight:** Events/Fotos global, Moderations‑Queues, Tenant‑Feedback.
+- **Plattform & Compliance:** Legal Pages, Datenexporte, Audit‑Log.
+- **Infra & Storage:** Storage Targets, Photobooth Settings, Deployments/Logs.
+
+**Zugriffs‑Matrix (Soll)**
+
+| Bereich | Superadmin | Tenant‑Admin | Gast |
+| --- | --- | --- | --- |
+| Tenant‑Lifecycle & Limits | RW | R (own) | – |
+| Tenant‑Pakete & Billing | RW | R (own) | – |
+| Events/Photos (global) | RW | RW (own) | R/W (event scope) |
+| Moderation/Feedback | RW | RW (own) | – |
+| Tasks/Emotions/Event‑Types | RW | RW (own) | R (event scope) |
+| Users (Platform) | RW | R (own) | – |
+| Legal/Content | RW | R | R (public) |
+| Storage/Photobooth/Infra | RW | R | – |
+| Audit‑Log (Admin‑Aktionen) | R | – | – |
+
+**Nicht‑Ziele**
+- Superadmin ersetzt keine Tenant‑Admins für Tagesgeschäft, nur Eskalation.
+- Kein zusätzliches Tracking/PII‑Logging ohne Privacy‑Update.
+- Keine Infrastruktur‑Mutation ohne explizite Freigabe.
+
 ## 2. Deployments & Infrastruktur
 
 Diese Kapitel erklären, wie die Plattform in Docker/Dokploy betrieben wird.