diff --git a/src/app/(app)/fahrzeuge/[id]/page.tsx b/src/app/(app)/fahrzeuge/[id]/page.tsx
index 7659f4e..55c51dc 100644
--- a/src/app/(app)/fahrzeuge/[id]/page.tsx
+++ b/src/app/(app)/fahrzeuge/[id]/page.tsx
@@ -1,6 +1,7 @@
 import { notFound } from "next/navigation";
 import { requireSession } from "@/lib/auth/guards";
 import { getFahrzeugDetail } from "@/lib/detail/queries";
+import { uuidSchema } from "@/lib/validation/common";
 import { DetailHeader } from "@/components/detail/DetailHeader";
 import { EckdatenGrid } from "@/components/detail/EckdatenGrid";
 import { BeladungListe } from "@/components/detail/BeladungListe";
@@ -15,7 +16,11 @@ export default async function FahrzeugDetailPage({
   // Default-deny in der Tiefe (Querschnittsstandard 1): Guard als erste Zeile.
   await requireSession();
   const { id } = await params;
-  const v = await getFahrzeugDetail(id);
+  // Route-Param ist Nutzereingabe an der Grenze (Querschnittsstandard 4):
+  // nicht-UUID -> saubere deutsche 404 statt Postgres `invalid input syntax`.
+  const parsed = uuidSchema.safeParse(id);
+  if (!parsed.success) notFound();
+  const v = await getFahrzeugDetail(parsed.data);
   if (!v) notFound();
 
   return (
diff --git a/src/app/(app)/geraete/[id]/page.tsx b/src/app/(app)/geraete/[id]/page.tsx
index 0fc153f..814cd8d 100644
--- a/src/app/(app)/geraete/[id]/page.tsx
+++ b/src/app/(app)/geraete/[id]/page.tsx
@@ -2,6 +2,7 @@ import Link from "next/link";
 import { notFound } from "next/navigation";
 import { requireSession } from "@/lib/auth/guards";
 import { getGeraetDetail } from "@/lib/detail/queries";
+import { uuidSchema } from "@/lib/validation/common";
 import { DetailHeader } from "@/components/detail/DetailHeader";
 import { EckdatenGrid } from "@/components/detail/EckdatenGrid";
 import { WehrCard } from "@/components/kontakt/WehrCard";
@@ -15,7 +16,11 @@ export default async function GeraetDetailPage({
   // Default-deny in der Tiefe (Querschnittsstandard 1): Guard als erste Zeile.
   await requireSession();
   const { id } = await params;
-  const g = await getGeraetDetail(id);
+  // Route-Param ist Nutzereingabe an der Grenze (Querschnittsstandard 4):
+  // nicht-UUID -> saubere deutsche 404 statt Postgres `invalid input syntax`.
+  const parsed = uuidSchema.safeParse(id);
+  if (!parsed.success) notFound();
+  const g = await getGeraetDetail(parsed.data);
   if (!g) notFound();
 
   return (
diff --git a/src/app/(app)/wehren/[id]/page.tsx b/src/app/(app)/wehren/[id]/page.tsx
index c59bf4c..52bf292 100644
--- a/src/app/(app)/wehren/[id]/page.tsx
+++ b/src/app/(app)/wehren/[id]/page.tsx
@@ -2,6 +2,7 @@ import Link from "next/link";
 import { notFound } from "next/navigation";
 import { requireSession } from "@/lib/auth/guards";
 import { getWehrDetail } from "@/lib/detail/queries";
+import { uuidSchema } from "@/lib/validation/common";
 import { DetailHeader } from "@/components/detail/DetailHeader";
 import { KontaktButton } from "@/components/kontakt/KontaktButton";
 import { StatusBadge } from "@/components/ui/badge";
@@ -15,7 +16,11 @@ export default async function WehrDetailPage({
   // Default-deny in der Tiefe (Querschnittsstandard 1): Guard als erste Zeile.
   await requireSession();
   const { id } = await params;
-  const w = await getWehrDetail(id);
+  // Route-Param ist Nutzereingabe an der Grenze (Querschnittsstandard 4):
+  // nicht-UUID -> saubere deutsche 404 statt Postgres `invalid input syntax`.
+  const parsed = uuidSchema.safeParse(id);
+  if (!parsed.success) notFound();
+  const w = await getWehrDetail(parsed.data);
   if (!w) notFound();
 
   const adresse = [w.strasse, [w.plz, w.ort].filter(Boolean).join(" ")]
diff --git a/tests/e2e/detail-auth.spec.ts b/tests/e2e/detail-auth.spec.ts
index b089f54..841a3a9 100644
--- a/tests/e2e/detail-auth.spec.ts
+++ b/tests/e2e/detail-auth.spec.ts
@@ -42,7 +42,13 @@ test.describe("Default-deny: Detailseiten (anonym)", () => {
 });
 
 test.describe("Eingeloggt: Detail-Inhalte", () => {
-  test.use({ storageState: "tests/e2e/.auth/wehr-read.json" });
+  test.skip(
+    !process.env.E2E_WEHR_READ_STATE,
+    "benötigt wehr_read-Fixture (Test-Workstream)",
+  );
+  test.use({
+    storageState: process.env.E2E_WEHR_READ_STATE ?? { cookies: [], origins: [] },
+  });
 
   test("Fahrzeug-Detail zeigt Eckdaten, Beladung-Links und Wehr-Kontakt", async ({
     page,
@@ -80,4 +86,14 @@ test.describe("Eingeloggt: Detail-Inhalte", () => {
     await page.goto(`/fahrzeuge/${UNGUELTIGE_ID}`);
     await expect(page.getByText("Nicht gefunden.")).toBeVisible();
   });
+
+  test("malformter (nicht-UUID) Fahrzeug-Pfad -> deutsche 404-Seite (kein 500)", async ({
+    page,
+  }) => {
+    // Route-Param ist Nutzereingabe an der Grenze: eine nicht-UUID darf nicht
+    // als `invalid input syntax for type uuid` bis zur error.tsx (500) laufen,
+    // sondern muss sauber `notFound()` (deutsche 404) liefern.
+    await page.goto(`/fahrzeuge/abc`);
+    await expect(page.getByText("Nicht gefunden.")).toBeVisible();
+  });
 });