refactor(admin): separates Admin-Login statt is_admin-Flag

Auf Wunsch: Betreiber-Bereich getrennt von Kundenkonten.
- auth.js: signAdminToken (role:operator), requireAdmin prüft Token-Rolle;
  requireAuth weist Operator-Token ab (saubere Trennung beide Richtungen)
- routes/admin.js: POST /admin/login (ADMIN_PASSWORD → Operator-Token)
- env.js: adminPassword statt adminEmail
- 0003_admin.sql: droppt die nicht mehr genutzte accounts.is_admin-Spalte
- register/login/account/me: is_admin restlos entfernt

E2E: Kunde→403, falsches PW→401, richtiges PW→Token, stats→200,
Admin-Token→Kundenroute→401.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

server/env.js

@@ -26,8 +26,8 @@ export const env = {
   publicBaseUrl: (e.PUBLIC_BASE_URL || "http://localhost:8787").replace(/\/+$/, ""),
   jwtSecret: e.JWT_SECRET || "dev-insecure-secret-change-me",
   databaseUrl: e.DATABASE_URL || "postgres://rapport_host:rapport_host@localhost:55432/rapport_host",
-  // Konto mit dieser E-Mail wird automatisch zum Admin (Betreiber-Bereich /admin).
-  adminEmail: (e.ADMIN_EMAIL || "").trim().toLowerCase(),
+  // Passwort für den Betreiber-Bereich (/admin). Getrennt von Kundenkonten.
+  adminPassword: e.ADMIN_PASSWORD || "",
   // Gebautes public/ der RAPPORT-WEBSITE (Hugo). Default: Schwester-Repo lokal.
   websitePublicDir: e.WEBSITE_PUBLIC_DIR ||
     new URL("../../RAPPORT-WEBSITE/public", import.meta.url).pathname,