Per-User Domain-Ausschlüsse + Grundquellen-Schutz

- Neue Tabelle user_excluded_domains für benutzerspezifische Ausschlüsse
- Domain-Ausschlüsse wirken nur für den jeweiligen User, nicht org-weit
- user_id wird durch die gesamte Pipeline geschleust (Orchestrator → Researcher → RSS-Parser)
- Grundquellen (is_global) können nicht mehr bearbeitet/gelöscht werden im Frontend
- Grundquelle-Badge bei globalen Quellen statt Edit/Delete-Buttons
- Filter Von mir ausgeschlossen im Quellen-Modal

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

src/routers/incidents.py

@@ -550,7 +550,7 @@ async def trigger_refresh(
     await _check_incident_access(db, incident_id, current_user["id"], tenant_id)
 
     from agents.orchestrator import orchestrator
-    enqueued = await orchestrator.enqueue_refresh(incident_id)
+    enqueued = await orchestrator.enqueue_refresh(incident_id, user_id=current_user["id"])
 
     if not enqueued:
         return {"status": "skipped", "incident_id": incident_id}