diff --git a/k8s/gongme/ingress.yaml b/k8s/gongme/ingress.yaml
index d759c96..cb5e879 100644
--- a/k8s/gongme/ingress.yaml
+++ b/k8s/gongme/ingress.yaml
@@ -18,15 +18,23 @@ metadata:
     cert-manager.io/cluster-issuer: letsencrypt
     traefik.ingress.kubernetes.io/router.entrypoints: web,websecure
     traefik.ingress.kubernetes.io/router.middlewares: gongme-redirect-https@kubernetescrd
-    # SSE-Verbindungen (EventSource) bleiben lange offen — Timeouts hochsetzen.
-    ingress.kubernetes.io/proxy-read-timeout: "3600"
-    ingress.kubernetes.io/proxy-send-timeout: "3600"
 spec:
   ingressClassName: traefik
   rules:
     - host: gongme.expertfab.de
       http:
         paths:
+          # /api/* geht direkt an NestJS — kein Buffering durch oauth2-proxy
+          # oder Next.js-Rewrite. Kritisch fuer SSE (EventSource).
+          # API-Endpoints sind durch Admin-Token und Session-Slug geschuetzt.
+          - path: /api
+            pathType: Prefix
+            backend:
+              service:
+                name: gongme-api
+                port:
+                  number: 3001
+          # Alles andere (App + OAuth-Flow) geht durch oauth2-proxy.
           - path: /
             pathType: Prefix
             backend: