Bei der Online-Durchsuchung greift der Staat verdeckt über das Internet auf PCs oder andere IT-Systeme von Verdächtigen zu. Technisch muss das Zielsystem hierfür zunächst mit einer speziellen Software infiltriert werden, die den verdeckten Fernzugriff ermöglicht. Das BKA hat eigens zu diesem Zweck einen trojanisches Pferd, den sog. Bundestrojaner, entwickeln lassen.
Ob die Online-Durchsuchung, für die auf Bundesebene bisher keine besondere Rechtsgrundlage geschaffen wurde, auf die bereits bestehende Ermächtigungsgrundlage für Ermittlungsmaßnahmen gestützt werden kann, ist umstritten. Das Bundesverfassungsgericht hat im Jahr 2008 für die Online-Durchsuchung Grenzen gezogen, als es eine im Verfassungsschutzgesetz von NRW verankerte Befugnis zur Online-Durchsuchung und zur „Aufklärung des Internet“ für nichtig erklärte:
Zwar bieten laut Bundesverfassungsgericht weder das Fernmeldegeheimnis noch das Grundrecht auf Unverletzlichkeit der Wohnung effektiven Schutz gegen eine Online-Durchsuchung. Denn das Fernmeldegeheimnis schützt nur laufende Kommunikationsvorgänge, aber nicht den Zugriff auf bereits übertragene Inhalte. Der Schutz der Wohnung richtet sich gegen ein Eindringen in die Wohnung, aber nicht dagegen, das über das Internet oder ein Netzwerk von außen zugegriffen wird.
Jedoch ist das „IT-Grundrecht“ betroffen. Denn der heimliche Zugriff auf private IT-Systeme im Rahmen der Online-Durchsuchung stellt einen schwerwiegenden Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme dar. Hierfür müssen zumindest tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Außerdem muss einem solchen Eingriff ein Gesetz zugrunde liegen, das vorsieht, dass der Eingriff grundsätzlich nur auf richterliche Anordnung erfolgt.