Datenschutz und Datensicherheit sind wichtige Themen, die sowohl die Akzeptanz und Verbreitung des Internet der Dinge, als auch dessen sichere Funktionsweise maßgeblich beeinflussen. So forderte etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach einem Cyberangriff auf einen Internetdienstleister sämtliche Hersteller von IoT-Komponenten auf, ihre Geräte mit angemessenen Sicherheitsmaßnahmen zu versehen, da für den Angriff ein großes Botnetz genutzt wurde, das nicht nur aus "normalen" PCs oder Laptops, sondern auch aus zahlreichen, mit dem Internet verbundenen Haushaltsgeräten wie z.B. Netzwerküberwachungskameras oder Multimediageräten bestand.
Datenschutz und Datensicherheit sind zwei Seiten der gleichen Medaille. Während sich der Datenschutz mit dem Schutz personenbezogener Daten beschäftigt, hat die Datensicherheit zum Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit elektronischer Daten zu gewährleisten.
Personenbezogene Daten sind laut europäischer Datenschutzgrundverordnung (EU-DSGVO) Angaben über eine bestimmte oder bestimmbare Person. Dies können einfache personenbezogene Daten wie z.B. Name, Adresse und Geburtsdatum oder auch besondere personenbezogene Daten wie z.B. Angaben über Gesundheitszustand, Religion oder Ethnie sein. An die Erhebung und Verarbeitung besonderer personenbezogener Daten werden in diesem Zusammenhang deutlich höhere Maßstäbe angelegt. Eng verbunden mit dem Schutz personenbezogener Daten ist das Grundrecht auf informationelle Selbstbestimmung. Dieses "virtuelle" Grundrecht wurde im Jahr 1983 durch das sogenannte "Volkszählungsurteil" des Bundesverfassungsgerichtes geprägt und beruht auf dem allgemeinen Persönlichkeitsrecht. Es besagt, dass jeder Bürger selbst über Preisgabe und Verwendung seiner personenbezogenen Daten frei entscheiden können sollte.
Die umfangreiche Sammlung von Nutzungsdaten durch intelligente Gegenstände (z.B. Umgebungsparameter von Sensoren im Smarthome, Aktivitätsdaten von Fitness Trackern etc.) baut interessante Datenbestände auf, die gerade für Versicherungen, Werbetreibende und Unternehmen umfangreiche Möglichkeiten einer gezielten Auswertung bieten. Insbesondere dann, wenn diese Daten mit zusätzlichen Informationen verknüpft werden können (z.B. mit sozialen Netzen), ergeben sich vielfältige Möglichkeiten zur Erstellung von Nutzungs- und Bewegungsprofilen. So wird beispielsweise die zunehmende Verbreitung von intelligenten Stromzählern (Smart Metern) auch datenschutzrechtlich äußerst kritisch betrachtet, da hiermit nicht nur das Verbrauchsverhalten, sondern auch Anwesenheits- und Ruhezeiten einer Person in ihrer Wohnung für den Energieversorger ersichtlich werden. Datenschützer fordern deshalb schon bei der weiteren Entwicklung zukünftiger Standards im IoT das Privacy by Design-Prinzip zu berücksichtigen und dafür zu sorgen, dass IoT-Komponenten bereits im Auslieferungszustand so datenschutzfreundlich wie möglich konfiguriert werden und möglichst wenige personenbezogene Daten erfassen. Leider nutzen viele Hersteller und Betreiber datenschutzunfreundlicher Dienstleistungen und Produkte wie z.B. Amazons Echo/Alexa das Desinteresse und die Bequemlichkeit ihrer Kunden und verbinden die freiwillig Einwilligung in die Verarbeitung vielfältiger personenbezogener Daten nach §51 des Bundesdatenschutzgesetzes, bzw. Art. 6 Abs. 1 der EU-Datenschutzgrundverordnung, mit der Zustimmung zu ihren Nutzungsbedinungen. Dies ist für den Kunden in der Regel nicht leicht ersichtlich, da diese Regelungen oftmals schwer auffindbar, sehr umfangreich und für den Laien nicht intuitiv erfassbar sind.
Die Datensicherheit beinhaltet die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. Während die Vertraulichkeit den Schutz von Daten gegen unerlaubte Preisgabe schützt, stellt die Integrität sicher, dass Daten nicht unerlaubt verändert werden. Die Verfügbarkeit wiederum stellt sicher, dass Daten und Anwendungen genau dann funktionsfähig sind, wenn diese benötigt werden. Durch die zunehmende Durchdringung unseres alltäglichen Lebens mit intelligenten Gegenständen werden wir immer abhängiger von der Verfügbarkeit elektronischer Dienste und Komponenten. Eine Beeinträchtigung der Verfügbarkeit solcher Dienste führt dann zwangsläufig entweder zu einer Beeinträchtigung des Komforts (Heizung muss manuell geregelt werden) oder zu einem Totalausfall einer vollständig elektronisch gesteuerten Funktion (Zündung des KFZ funktioniert nicht ohne elektronischen Schlüssel).
Da IoT-Komponenten ab Werk häufig so konfiguriert werden, dass sie in möglichst vielen Einsatzumgebungen schnell in Berieb zu nehmen sind und so lange wie möglich fehlerfrei funktionieren, werden oft Sicherheitsaspekte aus wirtschaftlichen Gesichtspunkten und Gründen der Benutzerfreundlichkeit außer Acht gelassen. Dies bedingt dann oftmals, dass diese Komponenten ohne angemessene Verschlüsselungs- oder Authentifizierungsmaßnahmen betrieben werden und für den Nutzer zu einem Sicherheitsrisiko werden können. So führte die Demonstration eines Fernangriffs auf die Steuerungssysteme (u.a. Brems- und Lenkungssystem) eines fahrenden Jeep Cherokee im Jahr 2015 zu einer erheblichen Resonanz, sowohl aufseiten der Fachpresse als auch aufseiten technikaffiner Nutzer. 2019 gelang es Sicherheitsforschern des Chaos Computer Clubs, moderne Bluetooth-basierte Hotelschlösser zu hacken.
Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt deshalb, dass Hersteller von IoT-Komponenten sowie Nutzer unbedingt angemessene Sicherheitsanforderungen berücksichtigen sollten.
Von besonderer Relevanz für Nutzer von IoT-Komponenten sind folgende Empfehlungen: