deploy: Traefik-Setup an feuerwehr_dashboard angleichen

Abgeglichen mit ~/work/feuerwehr_dashboard/docker-compose.yml:
- externes Traefik-Netz heißt 'frontend' (external: true), nicht 'traefik'
- explizite Router->Service-Bindung (routers.floriannetz.service=floriannetz)
- entrypoints=websecure, tls + certresolver=letsencrypt, port 3000
- traefik.docker.network -> frontend; AUTHENTIK_ADMIN_GROUP an App durchgereicht
- internes Netz als Bridge (statt internal:true): Postgres/Geo ohne Host-Ports,
  aber App hat Egress für Authentik-OIDC
- APP_HOST-Default florian.feuerwehr-rems.at; TRAEFIK_NETWORK-Default frontend
- Doku (deployment-traefik.md) + Makefile-Kommentare angepasst

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>

.env.example

@@ -31,11 +31,13 @@ HAVERSINE_KMH=50
 # Deployment / externes Traefik
 # APP_HOST ist der öffentliche Hostname (Traefik-Routing + AUTH_URL-Basis).
 # In Produktion: AUTH_URL=https://${APP_HOST} und AUTH_TRUST_HOST=true setzen.
-APP_HOST=floriannetz.example.at
+APP_HOST=florian.feuerwehr-rems.at
 # Traefik-Zertifikatsauflöser (muss in der externen Traefik-Instanz definiert sein).
 TRAEFIK_CERTRESOLVER=letsencrypt
-# Name des externen, von Traefik verwalteten Docker-Netzes.
-TRAEFIK_NETWORK=traefik
+# Name des externen, von Traefik verwalteten Docker-Netzes
+# (im feuerwehr_dashboard heißt es "frontend"). Muss existieren:
+#   docker network create frontend
+TRAEFIK_NETWORK=frontend
 # Optionaler Katalog-Seed beim Container-Start (idempotent).
 RUN_SEED=false
 # Postgres-Zugangsdaten für den Compose-Postgres-Service.