diff --git a/apps/authentik/values.yaml b/apps/authentik/values.yaml
index 9a2a225..270d2e1 100644
--- a/apps/authentik/values.yaml
+++ b/apps/authentik/values.yaml
@@ -1,28 +1,51 @@
 authentik:
-  # WICHTIG: Authentik braucht Secrets. Wir injizieren sie via EnvVars aus dem ExternalSecret
-  # Das Chart erlaubt "envValueFrom" oder Referenzen.
-  
-  error_reporting:
-    enabled: false
-  
-  # Wir nutzen einen externen Secret-Namen, den das ExternalSecret erzeugt
-  # Das Chart kann Secrets mappen, oder wir setzen Env Vars manuell in "extraEnv".
-  
-  # Authentik Config
-  email:
-    host: "smtp.example.com" # Dummy, später via Vault
-    port: 587
-    username: "user"
-    use_tls: true
-    from: "authentik@stabify.de"
+  # --- App Configuration ---
+  authentik:
+    error_reporting:
+      enabled: false
+    email:
+      host: "smtp.example.com"
+      port: 587
+      username: "user"
+      use_tls: true
+      from: "authentik@stabify.de"
+    secret_key: "" # Via Env Var
 
+  # --- Server Component (UI & API) ---
+  server:
+    envFrom:
+      - secretRef:
+          name: authentik-secrets
+    ingress:
+      enabled: true
+      ingressClassName: traefik
+      annotations:
+        cert-manager.io/cluster-issuer: letsencrypt-prod
+        traefik.ingress.kubernetes.io/router.entrypoints: websecure
+        traefik.ingress.kubernetes.io/router.tls: "true"
+      hosts:
+        - "auth.apps.k3s.stabify.de"
+      paths:
+        - "/"
+      tls:
+        - secretName: authentik-tls
+          hosts:
+            - "auth.apps.k3s.stabify.de"
+
+  # --- Worker Component ---
+  worker:
+    envFrom:
+      - secretRef:
+          name: authentik-secrets
+
+  # --- Dependencies (Postgres & Redis) ---
   postgresql:
     enabled: true
     auth:
       existingSecret: "authentik-secrets"
       secretKeys:
         adminPasswordKey: "postgres-password"
-        userPasswordKey: "postgres-password" # Authentik nutzt User PW
+        userPasswordKey: "postgres-password"
     primary:
       persistence:
         enabled: true
@@ -34,46 +57,3 @@ authentik:
       existingSecret: "authentik-secrets"
       existingSecretPasswordKey: "redis-password"
     architecture: standalone
-
-  ingress:
-    enabled: true
-    ingressClassName: traefik
-    annotations:
-      cert-manager.io/cluster-issuer: letsencrypt-prod
-      traefik.ingress.kubernetes.io/router.entrypoints: websecure
-      traefik.ingress.kubernetes.io/router.tls: "true"
-    hosts:
-      - host: auth.apps.k3s.stabify.de
-        paths:
-          - path: "/"
-            pathType: Prefix
-    tls:
-      - secretName: authentik-tls
-        hosts:
-          - auth.apps.k3s.stabify.de
-
-  # Worker Configuration (muss auch Secrets kennen)
-  # Das Chart zieht sich "authentik-secrets" nicht automatisch für alles.
-  # Wir müssen "authentik_secret_key" setzen.
-  
-  # Wir nutzen "envFrom" um alle Secrets aus "authentik-secrets" zu laden
-  # Leider unterstützt das Chart "envFrom" nicht direkt auf Top-Level für alle Komponenten?
-  # Doch, meistens. Ich prüfe die Chart-Values Struktur...
-  # Wir setzen es explizit.
-  
-  authentik:
-    secret_key: "" # Wird überschrieben durch Env Var AUTHENTIK_SECRET_KEY aus Secret
-    # bootstrap_token: "" # Initial Admin Token (optional)
-    
-  # Server deployment env
-  server:
-    envFrom:
-      - secretRef:
-          name: authentik-secrets
-          
-  # Worker deployment env
-  worker:
-    envFrom:
-      - secretRef:
-          name: authentik-secrets
-