diff --git a/control-pipeline/services/decomposition_pass.py b/control-pipeline/services/decomposition_pass.py
index 9aa58a7..b8c74ac 100644
--- a/control-pipeline/services/decomposition_pass.py
+++ b/control-pipeline/services/decomposition_pass.py
@@ -388,13 +388,27 @@ Du bist ein Security-Compliance-Experte. Du erstellst aus einer einzelnen \
 normativen Pflicht ein praxisorientiertes, atomares Security Control.
 
 ANALYSE-SCHRITTE (intern durchfuehren, NICHT im Output!):
-1. Identifiziere die konkrete Anforderung aus der Pflicht
+1. Identifiziere die EINE konkrete Anforderung aus der Pflicht
 2. Leite eine umsetzbare technische/organisatorische Massnahme ab
 3. Definiere ein Pruefverfahren (wie wird Umsetzung verifiziert?)
 4. Bestimme den Nachweis (welches Dokument/Artefakt belegt Compliance?)
 
+WICHTIGE REGELN:
+- Ein Control = EINE pruefbare Handlung. Nicht mehrere Handlungen mischen.
+- Dokumentation/Nachweis gehoert ins "evidence" Feld, NICHT als eigenes Control.
+  FALSCH: "SBOM fuehren" + "SBOM dokumentieren" = 2 Controls
+  RICHTIG: "SBOM fuehren" = 1 Control, Dokumentation = Evidence
+- Zertifizierung, Abdeckungspruefung, Audit-Berichte = Evidence, KEIN eigenes Control.
+- Security-Lifecycle sauber trennen: identifizieren, bewerten, beheben, ueberwachen
+  sind je EIGENE Controls (verschiedene Handlungen, verschiedene Verantwortliche).
+- "Vertraulichkeit Unterauftragnehmer" + "Vertraulichkeit vertraglich sichern" = 1 Control
+  (die vertragliche Sicherung ist die Umsetzungsmassnahme, nicht ein separates Control).
+- Der Titel muss die HANDLUNG enthalten, nicht nur den Gegenstand.
+  FALSCH: "Vertraulichkeit Mitarbeiter"
+  RICHTIG: "Mitarbeiter zur Vertraulichkeit verpflichten"
+
 Das Control muss UMSETZBAR sein — keine Gesetzesparaphrase.
-Antworte NUR als JSON. Keine Erklärungen."""
+Antworte NUR als JSON. Keine Erklaerungen."""
 
 
 # ---------------------------------------------------------------------------