Roadmap

Beweiskern-Sprint: Aus „Early Access" wird produktiv-belastbar. Diese Releases liefern die Härtungen, die den Audit-Wert der Belegmappe sichern.

• v1.9.0 — Pro-Aktivierung automatisch nach Bezahlung: Stripe-Webhook + server-gated Pro-Status, EARLY10 Auto-Disable bei 10/10. (erledigt)
• v1.9.1 — Belegmappen-Härtung: ZIP-Export atomisch, Hash-Anker auf Iterations-Ebene. (erledigt)
• v1.9.2 — PDF-Belegmappe mit Archiv-Metadaten (Grundlage für PDF/A-3; formale Validierung via veraPDF in v2.5+). (erledigt)
• v1.9.4 — Public Verify-URL: Belegmappe enthält eine Verify-Adresse. Externe Prüfer (Auditor, Versicherung, Behörde) sehen ohne Account-Zugang Status, Manifest-Hash und Snapshot-Datum — kein Roh-Datenzugriff. Subscription-gebunden. (erledigt)
• v1.9.7 — Stripe Customer Portal voll integriert: Plan-Switch, Rechnungs-Download, Kündigung aus dem Portal heraus. (erledigt)
• v1.9.8 — Zehn Praxisleitfäden im Wissensbereich (BetrSichV, DGUV V3, Spielplatzprüfung, TrinkwV, ASR A2.2, etc.). (erledigt)
• v1.9.9 — Politur: Pricing-Login-Gate, Mobile-EN-i18n, Pro-Aktivierungs-Seite überarbeitet, Daten-Audit. (erledigt)
• v1.9.10 — Pricing-Anker, Trust-Section, Pro-Team-Waitlist, Founder-Seats live. (erledigt)
• v1.9.11 — Audit-PDF mit Brand-Footer und Kurz-Verify-Token, druckbare Belegmappen-Vorlage als Lead-Magnet. (erledigt)
• v1.9.12 — Anonyme Reichweitenmessung mit Plausible auf öffentlichen Seiten (keine Cookies, keine personenbezogenen Daten, EU-gehostet). (erledigt)
• v1.9.13 — Einmaliger Onboarding-Hinweis nach erstem Login (zwei Fragen klären den Anwendungsfall), QR-Code auf der PDF-Belegmappe, neue Erklär-Seite „Wie funktioniert PflichtPilot?". (erledigt)
• v1.9.14 — Stammdaten-Härtung im Hintergrund: serverseitige Defaults für Abo-/Rollen-/Archiv-Felder bei jedem Anlegen erzwungen, Storage-Lösch-Regel verschärft. (erledigt)
• v1.9.15 — Nachweis-Anhang in einem Schritt: Datei und DB-Eintrag entstehen serverseitig in einem geschlossenen Vorgang, direkte Client-Inserts auf Nachweise konsequent abgewiesen. (erledigt)
• v1.9.16 — Onboarding-Antworten zuverlässig im Profil persistiert, Schutzregeln für sensible Profil-Felder (Abo-Status, Rolle, Stripe-Verknüpfung) weiter verschärft. (erledigt)
• v1.9.17 — Evidence-Integritäts-Hotfix-Block: Verify-Token nur noch als Hash in der DB, serverseitiges Pro-Gating der Belegmappen-Erstellung, fehlende Nachweis-Dateien werden mit Lücken-Liste statt stillem Fehler markiert, strukturelle Verzweigungen/Zyklen in der Pflicht-Kette führen zu Status FAIL, Account-Löschung räumt PflichtPilot-seitige Daten atomar auf und versucht Stripe-Cleanup als Best-Effort mit Teilschritt-Protokoll, Nachweis-Einträge post-Insert unveränderlich, präzisere Verify-/Hosting-/Datenschutz-Texte ohne absolute Versprechen. (erledigt)
• v1.9.18 — Sprachliche Präzisierungen, neues Pricing-Layout, Rechtsprechungs-Section, Speicherdauer-Übersicht. (erledigt)
• v1.9.19 — Wissensbereich konsolidiert und Suchsichtbarkeit ausgebaut. (erledigt)
• v1.9.22 — Vertiefte Wissensseite zur DGUV-V3-Prüfung. (erledigt)
• v1.9.23 — Erweiterte Speicherdauer-Übersicht. (erledigt)

Letzte Härtungs-Runde vor dem Sprung in das Organisations-Modell. Mehrere ursprünglich für v1.10.0 vorgesehene Härtungen sind in den v1.9.x-Releases bereits ausgeliefert worden.

• v1.10.0 — Belegmappen-PDF mit Archiv-Metadaten im PDF-Info-Dictionary (Titel, Autor, Datum, Schlüsselwörter); dokumentierte Cleanup-Strategie für externe Zahlungs-Stammdaten im Account-Lösch-Flow (Stripe Subscription-Cancel + Customer-Delete als Best-Effort, Stripe-seitige Aufbewahrung gemäß § 147 AO offengelegt). (erledigt)
• v1.10.1 — Robuster GDPR-Export (ZIP mit allen verfügbaren Daten + transparenter gaps.json), präziser Belegmappen-Status (FAIL bei verzweigten Pflicht-Ketten), sichtbare Account-Löschung mit Teilschritt-Status, Datenschutz-Präzisierungen (Brevo als E-Mail-Auftragsverarbeiter, §5a um IP/UA/Sprache, §6 Plausible-Scope), Pricing-Wording strukturierte Belegmappe, Onboarding-Modal mit Tastatur-Fokus-Trap. (erledigt)
• v1.11.0 — Automatisierte Speicherdauer-Bereinigung: tägliche Löschung abgelaufener Login-Codes (>30 Tage), Reduktion von Stripe-Zahlungsereignis-Daten auf Idempotenz-Kennung (>90 Tage), Löschung alter Belegmappen-Vorlage-Anfragen (>12 Monate). §5a Datenschutz ohne Wartungs-Hedge. (erledigt)
• v1.11.1 — Robustere Stripe-Aufräumung bei Account-Löschung: lokale Verknüpfung zum Stripe-Kunden-Eintrag wird explizit zurückgesetzt unabhängig vom Stripe-API-Erfolg; Direkt-Link zum Stripe-Support im Hinweis-Banner bei nicht automatisch abschließbarem Schritt. (erledigt)
• v1.12.0 — Bytegenauer Hash-Abgleich auf der Verify-Seite: Belegmappen-ZIP enthält manifest.json + manifest-hash.txt + verify-url.txt; Verify-Seite akzeptiert manifest.json-Upload und berechnet SHA-256 lokal im Browser (MATCH/MISMATCH). (erledigt)
• v1.12.1 — Unveränderbare Nachweise, ehrlichere Verify-/Export-Bindung und präzisere Plan-Kommunikation: Nachweis-Einträge im Betrieb nicht mehr einzeln löschbar, Account-Löschung mit ehrlichem Teilstatus, Verify-Abgleich klar auf die manifest.json bezogen, ZIP serverseitig an ihr Export-Manifest gebunden, Verwaltungs-/Abrechnungs-Funktionen nur von der eigenen Anwendungsdomain. (erledigt)
• v1.12.2 — Feinschliff der Wissens- und Praxisleitfaden-Seiten: Hinweistext am Vorlagen-Formular kompakter, Praxis-Checklisten ohne zusätzliche Aufzählungspunkte (nur Kästchen). (erledigt)
• v1.12.3 — Redaktionelle Konsistenz: einheitliche, vorsichtige Begriffe rund um Nachweis und Integrität auf Landing- und Wissensseiten (DE/EN). (erledigt)

PflichtPilot wird Multi-User-fähig. Pro Solo bleibt, was es heute ist; Team und Business bauen darauf auf.

• v2.0 — Pro Team buchbar: Multi-User pro Organisation, Bestätigungs-Schritt, Rollen-Modell, Audit-Log.
• v2.4 — Pro Business buchbar: Multi-Mandanten, Branding-Customization, Business-Exportprofile.

• v2.5 — Trusted Timestamp / Anchoring: kryptografisch signierte Zeitstempel an Nachweisketten, optional verfügbar.
• v2.5+ — Vollständige ISO 19005-3-Konformität (PDF/A-3) für Belegmappen: eingebettete Schriftarten, sRGB-OutputIntent, veraPDF-validiert. Wird bei konkretem Kunden-Bedarf umgesetzt.
• v3.0 — Enterprise: SSO, On-Prem-Hosting, SLA.

Aus dem Manifest — Dinge, die wir nicht bauen werden:

• Keine Push-Notifications zur Aufmerksamkeits-Erzwingung
• Keine Vanity-Dashboards (94%-Done-Tricks)
• Keine KI-generierten Nachweise
• Keine inhaltliche Analyse hochgeladener Dateien
• Kein Datenverkauf

Reihenfolge: weitgehend fest — jede Version hat einen klaren Fokus.
Termine: offen — wir liefern, wenn fertig.
Inhalt: kann sich verschieben, Änderungen werden in der Versions-Historie dokumentiert.
Updates abonnieren: RSS-Feed unter /meta/changelog.xml.