X ZR 98/19

ECLI:DE:BGH:2021:071021UXZR98.19.0 BUNDESGERICHTSHOF IM NAMEN DES VOLKES URTEIL X ZR 98/19 Verkündet am: 7. Oktober 2021 Schönthal Justizangestellte als Urkundsbeamtin der Geschäftsstelle in der Patentnichtigkeitssache - 2 - Der X. Zivilsenat des Bundesgerichtshofs hat auf die mündliche Verhandlung vom 7. Oktober 2021 durch den Vorsitzenden Richter Dr. Bacher, die Richter Hoffmann und Dr. Deichfuß, die Richterin Dr. Marx und den Richter Dr. Crummenerl für Recht erkannt: Die Berufung gegen das Urteil des 5. Senats (Nichtigkeitssenats) des Bundespatentgerichts vom 17. Juli 2019 wird auf Kosten der Klägerin zurückgewiesen. Von Rechts wegen - 3 - Tatbestand: Die Beklagte ist Inhaberin des mit Wirkung für die Bundesrepublik Deutschland erteilten europäischen Patents 1 126 674 (Streitpatents), das am 12. Juli 2000 unter Inanspruchnahme der Priorität zweier Patentanmeldungen vom 24. Dezember 1999 und vom 16. Mai 2000 angemeldet wurde und ein Ver- fahren und eine Vorrichtung zur Darstellung von Daten betrifft. Patentanspruch 1 lautet in der Verfahrenssprache: A method of presenting data that are stored in a data storage device (2) of a data server (3) to a user, said user accessing said data server over a network, where in the process between accessing the server and presenting the data, at least one data path is used over which control data associated with the selection of data is sent, said at least one data path being unidirectional. Die Klägerin, die aus dem Streitpatent gerichtlich in Anspruch genommen wird, hat geltend gemacht, der Gegenstand des Schutzrechts sei nicht patentfä- hig. Die Beklagte hat das Streitpatent in der erteilten Fassung und hilfsweise in neunzehn geänderten Fassungen verteidigt. Das Patentgericht hat die Klage abgewiesen. Hiergegen richtet sich die Berufung der Klägerin, mit der sie weiterhin die Nichtigerklärung des Streitpatents begehrt. Die Beklagte tritt dem Rechtsmittel entgegen und verteidigt das Streit- patent hilfsweise in der Fassung der erstinstanzlichen Hilfsanträge. Entscheidungsgründe: Die zulässige Berufung ist unbegründet. I. Das Streitpatent betrifft ein Verfahren zur Bereitstellung von Daten für den Nutzer eines Netzwerks. 1. Als Beispiel für ein solches Netzwerk nennt die Beschreibung das Internet (World Wide Web). 1 2 3 4 5 6 - 4 - Nach dem herkömmlichen Verfahren stelle der Nutzer mit Hilfe geeigneter Protokolle eine Verbindung zu einer Anwendung her, die auf einem Server vor- liege. Die Anwendung habe Zugang zu einer Datenbank. Die Daten würden in der Form von Seiten dargestellt, die durch Links miteinander verknüpft seien. Nach Anzeige der Seiten könne der Nutzer durch entsprechendes Verhalten eine Verbindung bewirken, die ihn von einer Seite zur nächsten führe, und sich so durch die Daten der Datenbank bewegen. Dieses Verfahren berge erhebliche Sicherheitsrisiken. Ein böswilliger Nut- zer könne die Struktur der Datenbank anhand der Hierarchie der Seiten analy- sieren. Mithilfe der so erlangten Information und unter Ausnutzung des Zugangs zur Anwendung könne er das System zurückverfolgen, um sich Zugang zur Da- tenbank zu verschaffen und sensible Daten zu sehen oder zu manipulieren. Damit sei es möglich, einen Server oder eine Website zu "kapern" und deren Inhalt und Darstellung gegen den Willen des Betreibers zu ändern (Abs. 5). 2. Vor diesem Hintergrund besteht das technische Problem darin, die Bereitstellung von Daten über ein Netzwerk an einen Nutzer sicherer zu gestal- ten. 3. Diese Aufgabe soll durch ein Verfahren mit folgenden Merkmalen gelöst werden: 7 8 9 10 - 5 - a A method of presenting data that are stored in a data storage device of a data server to a user Verfahren zum Bereitstellen von Daten, die in einem Datenspeicher eines Datenservers gespeichert sind, für einen Anwender. b said user accessing said data server over a network, Der Anwender greift über ein Netz- werk auf den Datenserver zu. b1 where in the process between ac- cessing the server and presenting the data at least one data path is used Im Prozess zwischen dem Zugriff auf den Server und dem Bereitstellen der Daten wird mindestens ein Datenpfad verwendet, b2 over which data path control data associated with the selection of data is sent, über den Kontrolldaten gesendet wer- den, die mit der Auswahl von Daten assoziiert sind, und b3 said at least one data path is unidirectional. der unidirektional ist. 4. Entscheidende Bedeutung kommt den Merkmalen b1 bis b3 zu. Der darin definierte unidirektionale Datenpfad für Kontrolldaten, die mit der Auswahl von Daten assoziiert sind, dient dazu, das Zurückverfolgen des Systems zu verhindern (Abs. 9). a) Bei einem Datenpfad im Sinne von Merkmal b1 handelt es sich um eine Verbindung zwischen Elementen eines Computers oder Computernetz- werks, über die Daten übermittelt werden können. Als Beispiel nennt die Streit- patentschrift die Verbindung zwischen verschiedenen Modulen eines Servers (Abs. 27), wie sie schematisch in der nachfolgend wiedergegebenen Figur 1 dar- gestellt sind. 11 12 13 14 - 6 - b) Nach Merkmal b2 werden über den Datenpfad Kontrolldaten gesen- det, die mit der Auswahl von Daten assoziiert sind. Als Beispiel für solche Kontrolldaten wird in der Beschreibung eine Ken- nung (ID) angeführt, anhand der ermittelt werden kann, ob und in welchem Um- fang der dieser Kennung zugeordnete Anwender auf den Inhalt der Datenbank zugreifen darf (Abs. 23, s. auch Abs. 11). Dies kann etwa dadurch geschehen, dass ein Eingabemodul (4) die Daten von einem Kommunikationsmodul (1) ent- gegennimmt, auf die Einhaltung eines vorgegebenen Formats überprüft und nur bestimmte Anfragen, etwa Kombinationen zwischen einer Benutzerkennung und einer vordefinierten Auswahl, akzeptiert und an das Haupt- und Datenauswahl- modul (5) weiterleitet, während alle anderen Daten verworfen werden (Abs. 25 f.). 15 16 - 7 - Wie die Berufungserwiderung zu Recht geltend macht, brauchen die Kon- trolldaten danach nicht zwingend eine Benutzerkennung zu umfassen. Es ge- nügt, wenn Daten übermittelt werden, anhand derer die Berechtigung des Daten- abrufs überprüft werden kann. Wie diese Daten strukturiert sind und welche Informationen sie repräsentieren, legt der Patentanspruch, wie das Patentgericht zutreffend ausgeführt hat, nicht im Einzelnen fest. c) Ein Datenpfad ist unidirektional im Sinne von Merkmal b3, wenn die Verbindung so eingerichtet ist, dass Daten nur in eine Richtung übermittelt wer- den können. aa) Bei dem in Figur 1 dargestellten Ausführungsbeispiel wird diese An- forderung dadurch erfüllt, dass das Eingabemodul (4) vom Kommunikationsmo- dul (1) lediglich Daten empfangen, nicht aber Daten an dieses zurücksenden kann. Anfragen, die sich bei Überprüfung der Kontrolldaten als zulässig erweisen, leitet das Eingabemodul (4) an das Haupt- und Datenauswahlmodul (5) weiter (Abs. 25-27). Dieses ermittelt die gesuchten Daten und gibt sie an das Seitener- stellungsmodul (6) weiter (Abs. 27-30). Die so erstellte Antwortseite geht vom Seitenerstellungsmodul (6) über das Kommunikationsmodul (1) zurück zum Be- nutzer. Der Nutzer kann bei Bedarf weitere Anfragen an das System richten. Diese werden wiederum in der Schleife 1-4-5-6-1 abgearbeitet (Abs. 30). Diese Ausgestaltung erlaube es dem Nutzer nicht, Einblick in die Struktur der Daten- bank zu nehmen, vielmehr gewährleiste die unidirektionale Übermittlung der Da- ten eine absolute Datensicherheit, weil das System von externen Nutzern nur in der zuvor festgelegten Weise benutzt werden könne (Abs. 32). bb) Ein detaillierter beschriebenes Ausführungsbeispiel, das in der nachfolgend wiedergegebenen Figur 27 dargestellt ist, beruht ebenfalls auf die- ser Vorgehensweise. 17 18 19 20 - 8 - Eine eingehende Anfrage (1) wird zu einem Webserver (271) geleitet. Die- ser leitet eine Nachricht (2) an eine Sicherheitsschnittstelle (272) weiter. Diese übergibt die externe Anfrage an ein Haltemodul (276) und sendet parallel dazu eine Nachricht (4) an ein Vermittlungsmodul (273). Dieses erzeugt eine interne Anfrage und sendet sie an ein System (274), das mit einem besonderen Betriebs- system (Business Operating System, BOS) betrieben wird und die angeforderten Daten im Falle einer berechtigten Anfrage zusammenstellt. Die interne Antwort (6) des BOS geht zu einem Seitenerstellungsmodul (275), das eine externe Ant- wort (7) erstellt und an die Sicherheitsschnittstelle (272) zurückgibt. Von dort geht die Antwort (8) über die im Haltemodul (276) aufrechterhaltene Verbindung über den Webserver (271) an den Nutzer. Dadurch wird eine mit dem Pfeil (277) an- gedeutete Einbahn-Schleife geschaffen, die keine Möglichkeit zur Zurückverfol- gung eröffnet (Abs. 189). In diesem Zusammenhang führt das Streitpatent aus, es sei ein wesentli- cher Aspekt der Erfindung, dass der Datenfluss nur über eine vorgegebene Folge 21 22 - 9 - von Modulen und Stationen und nur in eine Richtung erfolge, die unter allen in Betracht kommenden Randbedingungen eingehalten werden müsse. Diese Vor- gehensweise sei strikt einzuhalten, so dass es keinen Zwischenhalt, kein Auslas- sen von Schritten und keine Umleitung gebe, sondern nur einen Eingangs- und einen Ausgangspunkt, was sicherstelle, dass ein bösartiges Eindringen, sei es vom Ende dieser Modulfolge oder an einer Zwischenstation, ausgeschlossen sei (Abs.185). cc) Wie das Patentgericht zutreffend ausgeführt hat, genügt es danach nicht, wenn die Daten während des Betriebs nur in eine Richtung übermittelt wer- den. Vielmehr muss die Verbindung so ausgestaltet sein, dass eine Übermittlung in die Gegenrichtung zumindest auf der Anwendungsebene ausgeschlossen ist. Wie diese Unidirektionalität des Datenpfads gesichert wird, legt der An- spruch nicht fest. Nach der Beschreibung kann dies beispielsweise durch Aus- wahl eines geeigneten Übertragungsprotokolls, durch Einsatz geeigneter Hard- ware oder durch geeignete Programmierung erfolgen, etwa durch Auswahl einer geeigneten Klassenhierarchie bei objektorientierter Programmierung (Abs. 27). Erforderlich ist jedenfalls eine Ausgestaltung, die sich nicht darauf beschränkt, Datenflüsse nur in eine bestimmte Richtung vorzusehen, sondern darüber hinaus Maßnahmen vorsieht, um einen Datenfluss in umgekehrter Richtung auch in nicht vorhergesehenen Situationen zu verhindern. d) Das Erfordernis der Unidirektionalität bezieht sich nicht nur auf die Übermittlung von Kontrolldaten im Sinne von Merkmal b2. Merkmal b3 legt eine Eigenschaft des Datenpfads fest, über den die Kon- trolldaten übertragen werden. Dieser Pfad muss zwar nicht zwingend zur Über- tragung anderer Daten eingesetzt werden. Sofern dies geschieht, dürfen aber auch solche Daten nur in eine Richtung übertragbar sein. Im Einklang damit gibt die Beschreibung an, dass die unidirektionale Übermittlung die Kontrolldaten und die verarbeiteten Daten umfasst (control and processing data, Abs. 32). 23 24 25 26 - 10 - 5. Patentanspruch 16 schützt ein Computerprogrammprodukt, das ein Computerprogramm zur Durchführung des Verfahrens nach Patentanspruch 1 umfasst und Patentanspruch 17 einen Datenserver zur Durchführung dieses Ver- fahrens. Diese Ansprüche unterliegen keiner anderen Beurteilung als Patentan- spruch 1. II. Das Patentgericht hat zur Begründung seiner Entscheidung im We- sentlichen ausgeführt: Die Veröffentlichung der internationalen Patentanmeldung 99/38080 (K5) nehme den Gegenstand von Patentanspruch 1 nicht vorweg. K5 betreffe ein Ver- fahren zum Bereitstellen von Daten für einen Anwender in einem sicherheitsrele- vanten Kontext. Der Anwender greife über ein Netzwerk auf einen Datenserver zu. Insoweit werde auch zumindest ein Datenpfad verwendet, über den Kontroll- daten gesendet werden, die mit der Auswahl von Daten assoziiert seien. Es fehle jedoch an der Unidirektionalität im Sinne von Merkmal b3. Werde festgestellt, dass der Nutzer nicht berechtigt sei, auf die Daten zuzugreifen, auf die seine Anfrage ziele, erfolge eine Meldung der Identifikatordatenbank über das Einga- beterminal an den Anwender. Hieraus ergebe sich, dass Daten nicht nur vom Eingabeterminal an die Identifikatordatenbank, sondern auch in die Gegenrich- tung fließen könnten. Eine weitere Überprüfung finde nach der Weiterleitung der Anfrage an die Zugriffsdatenbank statt. Auch in diesem Stadium werde im Falle eines negativen Prüfungsergebnisses über das Eingabeterminal eine Benach- richtigung an den Anwender gesendet, so dass auch hier Daten in beide Rich- tungen fließen könnten. Hinzu komme, dass bei dem in K5 beschriebenen Ver- fahren ein Server zum Einsatz komme, der, wenn nicht ausdrücklich etwas an- deres beansprucht werde, stets mit bidirektionalen Datenpfaden ausgestattet sei. Dies ergebe sich daraus, dass nach der initialen Ansprache eines Servers stets ein Acknowledgement-Bit an den Ansprechenden gesendet werde. Auch in dem US-amerikanischen Patent 5 612 897 (K6), der internationa- len Patentanmeldung WO 98/31115 (K7), dem Auszug aus dem Buch von 27 28 29 30 - 11 - Tischer und Jennrich (Internet Intern, S. 234 ff., K11), der internationalen Patent- anmeldung 98/31116 (K12), dem koreanischen Patent 10-0205954 (K13) und dem US-amerikanischen Patent 6 222 536 (K13a) fehle es jeweils an einer Vor- wegnahme eines unidirektionalen Datenpfads, über den Kontrolldaten gesendet werden. Der Gegenstand des Streitpatents beruhe auf erfinderischer Tätigkeit, da keine der von der Klägerin angeführten Druckschriften einen unidirektionalen Da- tenpfad im Sinne des Streitpatents vorsehe oder eine Anregung hierzu liefere. III. Diese Beurteilung hält der Überprüfung im Berufungsrechtszug stand. 1. Zutreffend ist das Patentgericht zu der Auffassung gelangt, dass der Gegenstand von Patentanspruch 1 neu ist. a) Die Veröffentlichung der internationalen Patentanmeldung 99/38080 (K5) nimmt den Gegenstand von Patentanspruch 1 nicht vollständig vorweg. aa) K5 zufolge waren verschiedene Methoden und Vorrichtungen be- kannt, mit denen die in einem Computersystem gespeicherten sensiblen und wertvollen Daten gegen Zugriff von außen geschützt werden. Es könne aber auch das Bedürfnis bestehen, die Daten vor dem Zugriff durch Administratoren zu schützen, also vor Personen mit weitgehenden Zugriffsrechten. Hierzu schlägt K5 unter anderem ein Verfahren vor, bei dem jede Anfrage in zwei Teile aufgeteilt wird, die mit zwei unterschiedlichen Codes verschlüsselt werden, so dass jedes der beiden weiteren beteiligten Systeme nur einen Teil der Daten entschlüsseln kann. Ein Ausführungsbeispiel ist in der nachfolgend wiedergegebenen Figur 1 dargestellt. 31 32 33 34 35 36 - 12 - - 13 - Eine eingehende Datenanfrage eines Anwenders wird an ein Eingabeter- minal (104) geleitet. Dieses bildet ein erstes Datenpaket (116), das einen mit einem ersten Code verschlüsselten Identifikator (112) und eine optional mit einem zweiten Code verschlüsselte Datenanfrage (124) umfasst. Dieses Paket wird an ein erstes System (130) weitergeleitet, das eine Identifikatordatenbank (128) enthält. Dieses System kann den Identifikator (112) entschlüsseln und er- mittelt anhand dieser Angaben, ob der Anwender berechtigt ist, die gewünschten Daten anzufordern. Wenn dies der Fall ist, ersetzt das System (130) die zum Identifikator (112) gehörenden Angaben (118, 120) zum abrufenden Benutzer (zum Beispiel einem Arzt) und zu der von der Anfrage betroffenen Person (zum Beispiel einem Patienten) durch eine Zugangsberechtigungsstufe (136) und ei- nen internen Identifikator (140) und leitet die auf diese Weise anonymisierte An- frage als Datenpaket (148) an ein zweites System (154) weiter, das eine Anfra- gedatenbank (152) enthält. Dieses System ermittelt die angefragten Daten und leitet sie an das Eingabeterminal (104). Diese Abläufe sind in den nachfolgend wiedergegebenen Figuren 2A und 2B in Form eines Flussdiagramms dargestellt. 37 38 - 14 - - 15 - - 16 - Aus diesem Diagramm ergibt sich unter anderem, dass der Benutzer be- nachrichtigt wird, wenn die Berechtigungsprüfung in der Identifikatordatenbank (Schritt 230) oder in der Anfragedatenbank (Schritt 256) ein negatives Ergebnis zeitigt. bb) Diese Vorgehensweise macht von den Merkmalen a bis b2 Ge- brauch. cc) K5 ist jedoch ist nicht unmittelbar und eindeutig zu entnehmen, dass sichergestellt ist, dass im Prozess zwischen dem Zugriff auf den Server und der Bereitstellung der angefragten Daten eine Übermittlung von Daten in die Gegen- richtung ausgeschlossen ist (Merkmal b3). (1) Allerdings ist entsprechend dem Vortrag der Klägerin zugrunde zu legen, dass bei dem anhand von Figur 1 erläuterten Prozess die Daten sukzes- sive eine Reihe von Elementen durchlaufen, ohne dass eine Übermittlung von Daten in die Gegenrichtung zu erkennen ist. Die vom Benutzer in das Quellterminal eingegebene Anfrage wird danach zunächst an die Identifikatordatenbank 128 geleitet und von dieser an die Anfra- gedatenbank 152. Die angefragten Daten werden sodann an das Source-Termi- nal und damit an den Nutzer geleitet. Der in Figur 1 eingezeichnete, von der An- fragedatenbank 152 nach oben zum Quellterminal 104 führende Pfeil deutet da- rauf hin, dass die angefragten Daten unmittelbar von der Anfragedatenbank zum Quellterminal übermittelt werden. Anhaltspunkte dafür, dass diese Daten statt- dessen auf dem Wege zurückgeleitet werden, über den die Anfrage übermittelt wurde, sind nicht ersichtlich. (2) Anders als die Beklagte meint, lässt sich K5 auch für den Fall, dass der Zugriff auf die Anfragedatenbank nicht gestattet ist (Schritt 256), nichts ande- res entnehmen. 39 40 41 42 43 44 - 17 - Nach Figur 2B ist für diesen Fall vorgesehen, dass der Nutzer verständigt wird (Schritt 260). Dass diese Nachricht einen anderen Weg nimmt als die ange- fragten Daten bei bestehender Berechtigung, ergibt sich nicht bereits daraus, dass bei Schritt 268 das Quellterminal, dagegen bei Schritt 260 der Nutzer als Adressat genannt ist. Denn nach Figur 1 und Schritt 204 in Figur 2A ist der Nutzer derjenige, der das Quellterminal bedient, so dass die abweichende Angabe des Adressaten keinen Unterschied in der Sache begründet. Einer direkten Übermittlung der Nachricht 260 an den Nutzer steht entge- gen der Darstellung der Beklagten auch nicht entgegen, dass in diesem Stadium des Verfahrens aufgrund der von der Identifikatordatenbank vorgenommenen Anonymisierung der Anfragedatenbank nicht bekannt ist, wohin diese Nachricht zu senden wäre, und sie deshalb genötigt ist, sie an die Identifikatordatenbank zurück zu leiten. Wie sich aus Figur 1 ergibt, enthält das Datenpaket 148 nicht anders als das Datenpaket 116 eine Identifikation des Quellterminals (source ter- minal ID 104). Dies lässt es auch für eventuelle sonstige auf dem Weg zwischen Identifikatordatenbank und Anfragedatenbank auftretende Fehler zu, dass eine entsprechende Meldung direkt an das Quellterminal und damit an den Nutzer erfolgt. (3) Nichts anderes ergibt sich aus der Beschreibung der Figur 3C, die eine Variante mit mehreren Anfragedatenbanken 350 und 354 zeigt. Dort ist er- läutert, dass die als Antwort auf die Anfrage übermittelten Daten direkt an den Nutzer 300 zurückgeleitet werden (S. 11 Abs. 1). 45 46 47 - 18 - Die in Figur 3C eingezeichneten, nach links führenden Pfeile verdeutli- chen, dass die angefragten Daten nicht über die Identifikatordatenbank 358 ge- leitet, also nicht auf dem Weg übermittelt werden, den die Anfrage genommen hat. Ferner erläutert die Beschreibung, dass die vom Nutzer angeforderten Da- ten immer dann, wenn die Identifikatordatenbank von der Anfragedatenbank ge- trennt ist, von dieser direkt dem Nutzer übermittelt werden (S. 12, 3. Absatz). Dem entspricht die Darstellung in den Figuren 3A und 3D. Die angefragten Daten nehmen also nicht den Weg zurück über die Identifikatordatenbank. 48 49 - 19 - (4) Auch die Figur 3B zeigt, anders als die Beklagte meint, keine bidi- rektionale Datenübermittlung. Die Beschreibung führt dazu aus, dass die Datenbanken zur weiteren Ver- besserung der Sicherheit mit einem Logbuch ausgestattet sein können, um unberechtigte Zugriffsversuche feststellen zu können (S. 7 Abs. 3). Eine Überwa- chungsvorrichtung prüft, ob die Einträge in der Identifikatordatenbank und der Anfragedatenbank einander entsprechen. Ist im Logbuch der Anfragedatenbank eine Anfrage vermerkt, die nicht zuvor die Identifikatordatenbank erreicht hatte, führt dies zu einem Fehleintrag und zu dem Schluss, dass eine unberechtigte Person einen Zugriff unternommen hat (S. 10 Abs. 4). 50 51 - 20 - Auch daraus lässt sich keine Übermittlung von Daten in die Gegenrichtung entnehmen, weil nicht derjenige Benutzer benachrichtigt wird, der den unberech- tigten Zugriff unternommen hat. (5) K5 enthält jedoch keine ausdrücklichen Angaben zu der Frage, in welche Richtung die Übermittlung von Daten auf den eingesetzten Pfaden mög- lich ist. Sie lässt insbesondere nicht erkennen, dass durch geeignete Maßnah- men sichergestellt ist, dass eine Datenübermittlung in die Gegenrichtung über die genannten Verbindungen unter allen Umständen ausgeschlossen ist. Die in K5 beschriebene Vorgehensweise lässt sich technisch auf unter- schiedliche Weise realisieren. Eine Unidirektionalität der Datenpfade im Prozess zwischen dem Zugriff auf den Server und dem Bereitstellen der Daten ist keine zwangsläufige Folge einer solchen Gestaltung, sondern muss durch geeignete Maßnahmen sichergestellt werden. Aus K5 ergibt sich nicht, dass solche Maß- nahmen getroffen werden. Der Hinweis in K5, dass die Kommunikation auch über eine private Leitung (private line, S. 5 Abs. 1) oder über eine gesicherte Leitung (secured line, S. 7 Abs. 2) laufen könne, rechtfertigt keine abweichende Beurteilung. Damit ist zwar angesprochen, dass die Datenverbindung in besonderem Maße gegen unbefug- ten Zugriff gesichert ist. Dem ist aber nicht unmittelbar und eindeutig zu entneh- men, dass eine bidirektionale Übermittlung von Daten unter allen Umständen ausgeschlossen ist. (6) Gegen eine eindeutige und unmittelbare Offenbarung von Merk- mal b3 spricht zudem der Umstand, dass K5 eine erhöhte Sicherheit durch eine Aufteilung der Information und den Einsatz von zwei Teilsystemen anstrebt, die jeweils nur einen Teil der Information im Klartext lesen können. Dies schließt nicht aus, dass die Nutzung unidirektionaler Datenpfade einen zusätzlichen Gewinn an Sicherheit bieten könnte. Mangels ausdrücklicher oder konkludenter Hinweise in diese Richtung kann K5 ein solches Konzept aber nicht entnommen werden. 52 53 54 55 56 - 21 - b) Die US-amerikanische Patentschrift 5 612 897 (K6) nimmt den Ge- genstand von Patentanspruch 1 ebenfalls nicht vollständig vorweg. aa) K6 betrifft ein Computersystem zur Lieferung von Multimedia-Inhal- ten auf Abruf eines Nutzers. Bei Abruf etwa eines Spielfilms durch den Nutzer greift der adressierte Server auf den entsprechenden Datenspeicher zu, bildet aus dem Inhalt einen Transportstrom und leitet diesen über ein Netzwerk an den Nutzer. K6 zufolge hätten herkömmliche Systeme den Nachteil, dass die Belastungen schwer aus- zugleichen seien. So könne es zu Schwierigkeiten kommen, wenn ein bestimmter Inhalt sehr beliebt sei und vielfacher Zugriff erfolge. Das führe dazu, dass be- stimmte Server stark belastet würden, während andere nur gering belastet seien. Auch könnten Probleme an einzelnen Stellen des Systems zu erheblichen Stö- rungen führen. Wünschenswert sei ein System, mit dem die Belastung über alle Ressourcen möglichst gleichmäßig verteilt werden könne und das gegenüber einzelnen Problemstellen tolerant sei. Zur Lösung wird ein System vorgeschlagen, das eine Vielzahl von Knoten umfasst, von denen jeder einen Switch und einen Server aufweist. Die nachfol- gend wiedergegebene Figur 2 zeigt einen Knoten (200) mit einem Switch (600) und einem Server (700). Diese sind über Ein- und Ausgänge (103, 104) mitein- ander verbunden (Sp. 3 Z. 51-62). 57 58 59 60 - 22 - Ein Daten- und Steuerungsnetzwerk verbindet die Knoten. Jedem Knoten ist eine eindeutige Adresse zugeteilt. Er kann, abhängig vom Fluss der Daten- und Kontrollpakete, gleichzeitig als Quellknoten, Routingknoten oder Zielknoten vorgesehen sein. Jeder Film ist in eine Vielzahl von Streifen aufgeteilt, die gleichmäßig auf die Server verteilt werden. Wenn ein Film vollständig abgerufen wird, ist jeder Knoten für einen gleich großen Anteil des Inhalts zuständig (Abs. 6 Z. 47-57). Möchte der Anwender einen bestimmten Film sehen, wird einer der Knoten als Zielknoten bestimmt, an den die einzelnen zum Film gehörenden Streifen über- tragen werden. Der Zielknoten versendet Anfragekontrollpakete an die anderen Knoten, um die benötigten Streifen anzufordern. Eine bevorzugte Ausführungs- form eines solchen Pakets ist in der nachfolgend wiedergegebenen Figur 9 ge- zeigt. 61 62 - 23 - Das Paket umfasst neben einem Feld (910) mit der Adresse der Quelle und einem Feld (912) mit der Adresse des Ziels auch ein Kontrollfeld (920) und ein Identifizierungsfeld (914) (Sp. 7 Z. 57 bis Sp. 8 Z. 5). Die Knoten, die eine solche Anforderung erhalten, erstellen ein Datenpa- ket, das Angaben über die Quelle und das Ziel, eine Identifizierung (514) sowie Nutzdaten, nämlich die angeforderten Teile des gewünschten Films umfasst (Sp. 8 Z. 6 ff. und Sp. 4 Z. 22-49). K6 beschreibt eine Ausführungsform dahin, dass die Richtung, in der die Datenpakete durch das Daten- und Steuerungsnetzwerk fließen, unidirektional und über die Zeit hinweg statisch ist. Dies bedeute, dass die Route von einem Knoten zum anderen fest vorgegeben sei. Dies ermögliche es, die Switch-Ports 63 64 65 - 24 - und Leitungen des Daten- und Steuerungsnetzwerk im Halbduplex-Modus zu be- treiben (Sp. 4 Z. 50-67). Zudem wird zur nachfolgend wiedergegebenen Figur 6 erläutert, dort seien unidirektionale Signallinien (101A) für Datensignale und bidirektionale Sig- nallinien (101B) für Kontrollsignale vorgesehen (Sp. 5 Z. 22-27). bb) K6 offenbart damit die Merkmale a bis b2. cc) Entgegen der Auffassung der Berufung fehlt es jedoch an einer Vor- wegnahme von Merkmal b3. (1) K6 offenbart zwar einen unidirektionalen Datenfluss. Dem Doku- ment ist aber nicht zu entnehmen, dass die betreffende Verbindung so ausge- staltet ist, dass ein Datenfluss in die Gegenrichtung ausgeschlossen ist. 66 67 68 69 - 25 - Unmittelbar im Anschluss an die von der Berufung angeführte Stelle der Beschreibung (Sp. 4, Z. 61-64) wird ausgeführt, dass die Switch-Ports und -Lei- tungen des Daten- und Steuerungsnetzwerks im Halb-Duplex-Modus arbeiten können. Nach dem unwidersprochenen Vortrag der Beklagten bedeutet dies, dass über die Verbindung (den Datenpfad) Daten - wenn auch in unterschiedli- chen Zeiträumen - in beide Richtungen fließen können. Aus der Beschreibung zu Figur 6 ergibt sich nichts anderes. Diesen Aus- führungen lässt sich zwar entnehmen, dass bestimmte Daten über die betref- fende Verbindung nur in eine Richtung fließen, nicht aber, dass die Verbindung so ausgelegt ist, dass ein Datenfluss in die Gegenrichtung ausgeschlossen ist. K6 ist ferner nicht zu entnehmen, dass der in Figur 2 mit der Bezugsziffer 104 versehene Pfeil einen unidirektionalen Datenpfad darstellt. Nach der Be- schreibung stehen die Pfeile 103 und 104 für Ein- und Ausgänge, die den Switch 600 und den Server 700 des Knoten 200 miteinander verbinden. Aus dieser Dar- stellung ergibt sich nicht, dass zwischen Switch und Server eine Verbindung be- steht, die so ausgelegt ist, dass Daten nur in eine Richtung fließen können. (2) Unabhängig davon offenbart K6 einen unidirektionalen Datenfluss nur für die Datensignale, also für Datenpakete (500), wie sie in Figur 5 dargestellt sind. Für Steuersignale, also für Anfragekontrollpakete (900), wie sie in Figur 9 dargestellt sind, ist demgegenüber ein bidirektionaler Datenfluss vorgesehen. Dass die Datenpakete (500) neben der Nutzlast auch Kontrolldaten im Sinne von Merkmal b2 enthalten, ist K6 nicht zu entnehmen. Zu dem in Figur 5 dargestellten Inhalt gehört zwar auch ein Identifikations- feld. Weder daraus noch aus der Beschreibung geht aber hervor, dass dieses Feld zur Überprüfung der Berechtigung oder für sonstige Zwecke im Zusammen- hang mit der Auswahl der Daten verwendet wird. 70 71 72 73 74 75 - 26 - c) Der Gegenstand von Patentanspruch 1 ist auch durch die internati- onale Patentanmeldung 98/31115 (K7) nicht vollständig vorweggenommen. aa) K7 befasst sich mit einem System zur Belieferung eines Anwenders mit interaktiven Informationsdiensten, etwa Videodateien oder Spielen. Aufgrund der technischen Entwicklung könnten einem Anwender zum Bei- spiel viele Kabelfernsehkanäle bereitgestellt und zahlreiche komprimierte Video- daten übermittelt werden. Bei bekannten Systemen seien die Möglichkeiten zur Interaktion, etwa zur Kontrolle der wiedergegebenen Information in Echtzeit, ein- geschränkt. Diese Nachteile könnten durch ein System überwunden werden, das drei unabhängige Kommunikationskanäle nutze. Die Programminformation werde über einen Informationskanal übertragen. Ein Rückkanal übertrage Kommando- und Kontrollinformationen vom Anwender zum Diensteanbieter, ein Kommando- kanal Kontrollinformationen in die Gegenrichtung. So könnten etwa über den In- formations- oder den Kommandokanal dem Kunden Auswahlmenüs übermittelt werden. Die Anforderung eines bestimmten Programms durch den Kunden werde über den Rückkanal an den Diensteanbieter übertragen. Anschließend werde das ausgewählte Programm über den Informationskanal an den Kunden übermittelt. Dieser könne die Präsentation des Programms durch Kommandos, die über den Rückkanal gesendet werden, beeinflussen (S. 3 Z. 4-16). Der Aufbau eines solchen Servers ist schematisch in der nachfolgend wie- dergegebenen Figur 1 dargestellt. 76 77 78 79 80 - 27 - Der Server umfasst einen Videosession-Manager (106), der mit dem In- formationsserver (102) interagiert. Auf Anfrage des Anwenders richtet der Video- session-Manager eine Sitzung ein. Hat der Nutzer ein bestimmtes, durch eine Programmidentifizierungsnummer (PID) identifiziertes Programm gewählt, über- mittelt der Videosession-Manager die PID über den Pfad (103) an den Informati- onsserver (S. 9 Z. 34 f.). Der Informationsserver (102) stellt dem Videosession- Manager (106) paketierte Datenströme über den Pfad (104) und ein Synchroni- sierungstaktsignal über den Pfad (103) zur Verfügung (S. 6 Z. 18-20). bb) Wiederum fehlt es jedenfalls an der Offenbarung eines unidirektio- nalen Datenpfads im Sinne von Merkmal b3. (1) Entgegen der Auffassung der Berufung kann ein solcher Datenpfad nicht in dem mit dem Bezugszeichen (103) bezeichneten Pfad gesehen werden. 81 82 83 - 28 - Über diesen Pfad fließen nach K7 Daten in beiden Richtungen. Vom Videosession-Manager wird die Programmidentifizierungsnummer zum Informa- tionsserver geleitet. In die Gegenrichtung wird ein Synchronisierungstaktsignal übermittelt. Damit ist dieser Datenpfad nicht so ausgelegt, dass Daten nur in eine Richtung fließen können. Ob das Synchronisierungstaktsignal in inhaltlicher Beziehung mit der PID steht, ist unerheblich. Wie oben dargelegt wurde, darf auf dem für Kontrolldaten im Sinne von Merkmal b2 genutzten Datenpfad nach Merkmal b3 keinerlei Datenverkehr in die entgegengesetzte Richtung stattfinden. (2) Unabhängig davon fehlt es an einem unidirektionalen Datenpfad auch deshalb, weil zwischen Informationsserver (102) und Videosession-Mana- ger (106) auf dem Pfad (104) Nutzdaten gesendet werden. Dass hierfür ein anderer Anschluss und möglicherweise eine andere Lei- tung genutzt wird, ist unerheblich. Ausschlaggebend ist, dass zwischen zwei Komponenten Datenverkehr in beide Richtungen stattfindet. (3) Die aus Figur 1 ersichtliche Verbindung zwischen dem Kabeltrans- portsubsystem (110) und dem Videosession-Manager (106) stellt ebenfalls kei- nen unidirektionalen Datenpfad im Sinne von Merkmal b3 dar. Wie die Pfeile (107, 108 und 109) andeuten und die Erläuterungen hierzu (S. 7 Abs. 1 und 2) verdeutlichen, werden zwischen den beiden genannten Kom- ponenten nicht nur Nutzdaten zum Anwender übertragen, sondern auch Steuer- informationen in beide Richtungen. Der Umstand, dass die K7 insoweit von ver- schiedenen Kanälen spricht, rechtfertigt auch in diesem Zusammenhang keine andere Beurteilung, weil auf einer Datenverbindung mehrere Kanäle bestehen können. 84 85 86 87 88 89 - 29 - d) Nichts anderes gilt für die internationale Patentanmeldung WO 98/31116 (K12), die mit K7 weitgehend übereinstimmt. Der Umstand, dass in der dort wiedergegebenen Figur 1 zwischen dem Videosession-Manager und dem Informationsserver zwei Pfeile 118 und 120 vor- gesehen sind (anstelle des in Figur 1 der K7 mit zwei Spitzen versehenen Pfeils 103), rechtfertigt keine andere Beurteilung. Nicht anders als in K7 ist auch in K12 beschrieben, dass über die Verbin- dung zwischen Videosession-Manager und Informationsserver in die eine Rich- tung Nutzdaten und ein Synchronisierungstaktsignal fließen, während in die Ge- genrichtung Anfragen gesendet werden (S. 8 Z. 1 ff.). e) Die Darstellung des Client-Server-Prinzips in dem 1997 veröffent- lichten Buch von Tischer und Jennrich (Internet Intern, K11) nimmt den Gegen- stand von Patentanspruch 1 ebenfalls nicht vorweg. Entgegen der Auffassung der Klägerin handelt es sich bei der Verbindung zwischen Web-Browser und Web-Server, wie sie aus Abbildung 81 ersichtlich ist, nicht um einen unidirektionalen Datenpfad, denn auf dieser Verbindung werden 90 91 92 93 94 - 30 - nicht nur Anforderungen vom Client an den Server, sondern auch - in die Gegen- richtung - die angeforderten Inhalte vom Server an den Client übertragen. Die Verbindung ist damit bidirektional. Etwas anderes gilt - anders als die Berufung meint - auch dann nicht, wenn die Anfrage des Client unbeantwortet bleibt. Denn für die Vorwegnahme der Merkmale b1 bis b3 kommt es nicht darauf an, ob in der konkreten Situation Daten nur in eine Richtung fließen, sondern, wie bereits dargelegt, darauf, ob der Datenpfad so ausgelegt ist, dass Daten generell nur in eine Richtung fließen kön- nen. Dies trifft jedoch auf die in Abbildung 81 dargestellte Verbindung zwischen Web-Browser und Web-Server nicht zu. f) Der Gegenstand von Patentanspruch 1 wird auch durch die korea- nische Patentschrift 10-0205954 (K13) nicht vollständig offenbart. aa) K13, die in deutscher Übersetzung als K13' vorliegt, befasst sich mit dem Online-Banking. Die Beschreibung führt aus, bislang benutze der Bankkunde hierfür ein dediziertes Endgerät. Dies bereite Probleme, wenn eine Person Kunde mehrerer Banken sei. K13 schlägt als Lösung ein als Bank-Relais-Serversystem bezeichnetes System vor, über das eine Vielzahl von Kunden mit einer Mehrzahl von Banken kommunizieren könne. bb) K13 offenbart jedenfalls nicht unmittelbar und eindeutig, dass dabei ein unidirektionaler Datenpfad genutzt wird. Der Hinweis der Klägerin auf die nachfolgend wiedergegebene Figur 3 der K13' führt nicht weiter. 95 96 97 98 99 100 101 - 31 - Nach der Beschreibung handelt es sich dabei um eine Darstellung der Prozesse, die in der Anforderungsverarbeitungsvorrichtung (22) stattfinden (K13' S. 9 f.). Es ist damit schon nicht eindeutig zu erkennen, ob die Pfeile jeweils für einen Datenfluss stehen. Unabhängig davon genügt der Umstand, dass die Pfeile zwischen dem Teilnehmerzugangsgerät (21) und der Anfrageanalyseeinheit (31) sowie zwi- schen dieser und der Datenübertragungs- und -empfangseinheit (33) nur eine Spitze aufweisen, nicht für eine Vorwegnahme von Merkmal b3. Aus Figur 3 ergibt sich allenfalls, dass bestimmte Daten von einem Element der Vorrichtung zu einem anderen übermittelt werden, nicht jedoch, dass die Verbindung so aus- gelegt ist, dass ein Datenfluss in die Gegenrichtung ausgeschlossen ist. 102 103 - 32 - 2. Zu Recht und von der Berufung nicht angegriffen hat das Patentge- richt entschieden, dass der Gegenstand von Patentanspruch 1 auf erfinderischer Tätigkeit beruht. Aus dem Stand der Technik ergab sich keine Anregung, durch geeignete Maßnahmen sicherzustellen, dass in dem Prozess zwischen dem Zugriff auf den Server und dem Bereitstellen der vom Anwender angeforderten Daten die Über- mittlung von Daten stets nur in eine Richtung erfolgen kann, eine Übermittlung in die andere Richtung dagegen unter allen Umständen ausgeschlossen ist. Entgegen der von der Klägerin in der mündlichen Verhandlung vor dem Senat vertretenen Ansicht liegt auch keine Situation vor, in der der Fachmann nur die Wahl zwischen zwei Möglichkeiten hatte, sich also nur entscheiden musste, ob er den Datenpfad bidirektional oder unidirektional ausgestaltet. Viel- mehr kann die Datenübermittlung je nach Situation und unter Abwägung mehre- rer Faktoren wie Sicherheit, Komfort und Schnelligkeit unterschiedlich geregelt und die Sicherung gegen unberechtigten Zugriff durch verschiedene Maßnah- men in vielfältiger Weise variiert werden. 104 105 106 - 33 - IV. Die Kostenentscheidung beruht auf § 121 Abs. 2 PatG und § 97 Abs. 1 ZPO. Bacher Hoffmann Deichfuß Richterin am Bundesgerichtshof Dr. Marx ist in Urlaub und kann deshalb nicht unterschreiben. Bacher Crummenerl Vorinstanz: Bundespatentgericht, Entscheidung vom 17.07.2019 - 5 Ni 53/16 (EP) - 107