fix: router db.refresh() nach commit bricht RLS-Kontext

SET LOCAL Werte (bypass_rls, company_id) sind transaktions-gebunden.
Nach db.commit() ist der Kontext weg – ein nachfolgendes db.refresh()
läuft in einer neuen Transaktion ohne RLS-Kontext und liefert 0 Rows.

Da expire_on_commit=False gesetzt ist, sind alle Instanz-Attribute
nach dem Commit bereits im Speicher vorhanden. Die expliziten
db.refresh()-Aufrufe nach db.commit() in allen Routers sind daher
redundant und wurden entfernt.

test_rls.py: 6 neue Tests beweisen DB-seitige Mandanten-Isolation.
conftest.py: _apply_rls() wendet RLS-Policies auf Test-DB an.
migrations/0024: korrigiert auf op.execute(text()) API.
migrations/env.py: SET LOCAL außerhalb Transaktion entfernt.

Ergebnis: 8 failed (pre-existing), 126 passed – identisch zur Baseline vor RLS.

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

backend/app/routers/kiosk.py

@@ -34,7 +34,6 @@ async def create_device(
     """Neues Kiosk-Gerät registrieren. Token wird nur einmalig zurückgegeben."""
     device, raw_token = await kiosk_service.create_device(current_user.company_id, data, db)
     await db.commit()
-    await db.refresh(device)
     return KioskDeviceCreated(
         **KioskDeviceOut.model_validate(device).model_dump(),
         token=raw_token,
@@ -59,7 +58,6 @@ async def update_device(
 ):
     device = await kiosk_service.update_device(device_id, current_user.company_id, data, db)
     await db.commit()
-    await db.refresh(device)
     return KioskDeviceOut.model_validate(device)
 
 
@@ -72,7 +70,6 @@ async def rotate_token(
     """Token rotieren – das alte Token wird sofort ungültig."""
     device, raw_token = await kiosk_service.rotate_token(device_id, current_user.company_id, db)
     await db.commit()
-    await db.refresh(device)
     return KioskDeviceCreated(
         **KioskDeviceOut.model_validate(device).model_dump(),
         token=raw_token,