Privacy Policy

TL;DR (Plain-Speak)

PEAKING speichert alle deine Daten ausschließlich lokal in deinem Browser (localStorage). Wir haben kein Backend, kein Tracking, keine Cookies, keine Analytics, kein Daten-Sharing. Du bist 100% in Control deiner Daten.

1. Verantwortlicher

Sebastian Wimmer
Email: info@peaking.world

2. Welche Daten werden verarbeitet?

Lokal im Browser (localStorage)

Folgende Daten werden ausschließlich in deinem Browser gespeichert (NICHT auf unseren Servern):

• smash:auth — Login-Status (gehashtes Token, läuft nach 24h ab)
• smash:currentAccount — welcher Account aktuell aktiv ist
• smash:<account>:reels — deine getrackten Insta-Reels
• smash:<account>:ideas — deine Reel-Ideen
• smash:<account>:calendar — dein Posting-Plan
• smash:<account>:bipLogs — deine BIP-Daily-Logs
• smash:<account>:goals — Follower-Ziele
• smash:<account>:achievements — freigeschaltete Badges
• ... weitere modulspezifische Settings

→ Diese Daten verlassen NIEMALS deinen Browser. Wir haben keinen Zugriff darauf.

Server-seitig: KEINE Daten

PEAKING ist eine reine Static-HTML/CSS/JavaScript-Anwendung gehostet auf GitHub Pages. Es gibt kein Backend, keine Datenbank, keine Server-Logs auf User-Level.

3. Cookies

PEAKING setzt keine Cookies. Wir nutzen ausschließlich localStorage (technisch sind Cookies und localStorage verschiedene Technologien — localStorage triggert keinen Cookie-Banner-Pflicht).

4. Externe Dienste

PEAKING lädt 2 externe Ressourcen via CDN für Performance:

• Tailwind CSS via cdn.tailwindcss.com (CSS-Framework)
• Chart.js via cdn.jsdelivr.net (Chart-Library)

Beide CDNs könnten theoretisch IP-Adressen loggen. Wir empfehlen Browser-Tracking-Blocker für maximale Privacy.

5. Hosting

PEAKING ist auf GitHub Pages gehostet (Microsoft, USA). GitHub kann Server-Logs (IP, User-Agent) erstellen. Dies geschieht außerhalb unserer Kontrolle. Mehr Info: GitHub Privacy Statement.

6. Meta Graph API / Instagram-Integration

PEAKING bietet eine optionale Integration mit der Meta Graph API, damit du deine eigenen Instagram-Business-Account-Daten direkt in die App importieren kannst (statt manuell einzutragen).

6.1 Authentication-Flow

• Du authentifizierst dich direkt bei Meta via offiziellem OAuth 2.0-Flow
• Wir bekommen keine Login-Credentials (kein Username, kein Passwort)
• Meta gibt nach erfolgreichem Login einen Access-Token zurück
• Der Token wird ausschließlich lokal im Browser (localStorage) gespeichert — nie auf einem Server

6.2 Beantragte Permissions (Scopes)

Die App fragt nur die minimal notwendigen Permissions an:

• instagram_basic — liest dein Profil (Username, Followercount, Media-Count)
• instagram_manage_insights — liest Insights deiner eigenen Posts/Reels (Views, Reach, Engagement)
• pages_show_list — listet die mit dem Insta-Account verknüpfte Facebook-Page
• pages_read_engagement — liest Engagement-Daten der verknüpften Page

Wir fragen NICHT nach: instagram_content_publish (kein Auto-Posten), instagram_manage_messages (kein DM-Zugriff), oder Permissions für fremde Accounts.

6.3 Welche Daten werden geladen?

• Deine eigenen Reels/Posts (ID, Caption, Timestamp, Permalink)
• Insights deiner eigenen Reels/Posts (Views, Reach, Likes, Comments, Saves, Shares)
• Account-Statistiken (Followercount, aggregierte Engagement-Rate)

→ Es werden ausschließlich Daten deines eigenen Accounts geladen. Kein Scraping fremder Accounts. Kein Bot-Behavior. Keine Inhalte werden ohne deine explizite Bestätigung verändert oder gepostet.

6.4 Wie werden die Meta-Daten gespeichert?

• Access-Token: lokal in deinem Browser (smash:meta_token), gültig laut Meta-Standard ~60 Tage, automatisch löschbar via Settings-Modul
• Geladene Reel/Insight-Daten: lokal in deinem Browser (smash:<account>:reels)
• Keine serverseitige Speicherung — wir haben kein Backend, das Meta-Daten empfängt oder cached

6.5 Compliance

• Vollständige Compliance mit Meta Platform Terms und Meta Developer Policies
• Du kannst die Connection jederzeit widerrufen — entweder in der App (Settings → Meta-Connection trennen) oder direkt in deinen Insta-Settings (App-Berechtigungen verwalten)
• Bei Widerruf wird der Access-Token sofort lokal gelöscht; eine Wiederherstellung ist nur durch erneuten OAuth-Flow möglich

7. Deine Rechte (DSGVO)

Da wir keine Daten serverseitig speichern, hast du volle Kontrolle:

• Auskunft (Art. 15 DSGVO): Alle Daten sind in deinem Browser-DevTools → Application → Local Storage einsehbar
• Berichtigung (Art. 16): Direkt in der App via jeweiligem Modul
• Löschung (Art. 17): Settings-Modul → „Reset" → wipt alle Daten lokal in <1 Sekunde
• Datenübertragbarkeit (Art. 20): Settings-Modul → „Komplett-Backup" → JSON-Export aller Daten
• Widerspruch (Art. 21): App-Nutzung beenden + Reset durchführen

8. Daten-Löschung (Data Deletion Request)

Da PEAKING keinen Backend-Server hat, kannst du deine Daten zu 100% selbst löschen:

• Lokal in der App: Settings-Modul → „Reset" → alle Daten werden sofort entfernt
• Meta-Connection trennen: Settings → „Meta-Connection trennen" → Token wird invalidiert + lokal gelöscht; zusätzlich kannst du die App in deinen Facebook Business-Tools-Einstellungen entfernen
• Per Email-Anfrage: Falls du eine schriftliche Bestätigung möchtest, schicke eine Email an info@peaking.world mit Betreff „Data Deletion Request". Antwort innerhalb von 30 Tagen.

Da keine serverseitigen Daten existieren, ist der lokale Reset bereits eine vollständige Löschung im Sinne von Art. 17 DSGVO.

9. Daten-Aufbewahrungsdauer (Retention)

• localStorage-Daten: bleiben bis zum manuellen Reset oder Browser-Cache-Clear durch den User
• Meta Access-Token: 60 Tage Standard-Gültigkeit (Meta-Policy), dann erneutes OAuth nötig
• Server-Logs (GitHub Pages): außerhalb unserer Kontrolle — siehe GitHub Privacy Statement

10. Änderungen

Wir können diese Privacy Policy aktualisieren. Bei wesentlichen Änderungen informieren wir via Tool-Banner. Stand: 9. Mai 2026.

11. Kontakt

Bei Fragen, Datenschutz-Anfragen oder Data Deletion Requests:
Sebastian Wimmer · Burghauser Straße 35 · 84533 Haiming · Deutschland
Email: info@peaking.world