20 W (pat) 330/06

BPatG 154 05.11 BUNDESPATENTGERICHT 20 W (pat) 330/06 _______________ (Aktenzeichen) Verkündet am 30. Januar 2012 … B E S C H L U S S In der Einspruchssache … betreffend das Patent 100 25 929 … - 2 - hat der 20. Senat (Technischer Beschwerdesenat) des Bundespatentgerichts auf die mündliche Verhandlung vom 30. Januar 2012 durch den Vorsitzenden Richter Dipl.-Phys. Dr. Mayer, die Richterin Kirschneck sowie die Richter Dipl.-Ing. Gottstein und Dipl.-Geophys. Dr. Wollny beschlossen: Das Patent 100 25 929 wird widerrufen. G r ü n d e I. Für die am 26. Mai 2000 beim Deutschen Patent- und Markenamt eingegangene Anmeldung wurde die Erteilung des nachgesuchten Patents am 16. Februar 2006 veröffentlicht. Das Patent betrifft ein "Verfahren zum Übertragen von Daten". Gegen das Patent hat die damalige D…C… AG in S…, jetzige D…AG, am 11. Mai 2006 (eingegangen per Fax am selben Tage) Einspruch erhoben mit der Begründung, der Gegenstand des erteilten Patentanspruchs 1 sei aus den Gründen des § 21 Absatz 1 PatG zu widerrufen. - 3 - Die Einsprechende stützt ihren Einspruch auf die Druckschriften D1 WO 98 / 18 248 A1 D2 LUCKHARDT, N.: Schwer entflammbar - Grundlagen und Architekturen von Firewalls. In:,c't , 4/1997, S. 308-312 D3 HUNT, R.: Internet / Intranet firewall security - policy, archi- tecture and transaction services. In: Computer Communica- tions 21, 1998, S. 1107 - 1123 D4 EP 0 973 350 A2 D5 US 5 898 830 A D6 WO 99 / 49 620 A1 D7 US 5 732 074 A D8 EP 0 713 311 A1 D9 EP 0 973 299 A2 D10 US 6 003 084 A D11 WO 96 / 13 113 A1 D12 WO 97 / 16 911 A1 D13 WO 98 / 26 551 A1 D14 WO 99 / 07 108 A2 D15 WO 99 / 21 340 A1 D16 WO 99 / 38 303 A1 D17 WO 99 / 48 261 A2 D18 WO 00 / 10 297 A1 D19 WO 00 / 25 247 A1 D20 LUCKHARDT, N.: Trau, schau, wem! - Acht Firewalls auf den zweiten Blick. In: c't , 6/1997, S. 308 ff. D21 SCHMIDT, J.: Block-Buster- Personal Firewalls und Anti-Vi- ren-Software richtig einsetzen. In: c't 4/2000, S. 224 ff. D22 BONNARD, A.; WOLFF, C.: Gesicherte Verbindung von Computernetzen mit Hilfe einer Firewall. Studie der Sie- mens AG, 1997, Siemens AG, München, URL: - 4 - http://www.bsi.de/literat/studien/firewall/fw5tud97/fw- stud.pdf, wobei ihrer Auffassung nach der Gegenstand des Anspruchs 1 durch die Druck- schriften D1, D2 und D3 jeweils für sich gesehen neuheitsschädlich vorwegge- nommen sei. Die Einsprechende beantragt (sinngemäß), das Patent 100 25 929 zu widerrufen. Die Patentinhaberin ist dem Einspruch entgegengetreten und beantragt, das angegriffene Patent beschränkt mit folgenden Unterlagen auf- recht zu erhalten, und zwar nach Hauptantrag: mit dem kennzeichnenden Teil des Patentanspruchs 1 und Patent- anspruch 16, wie überreicht in der mündlichen Verhandlung, mit dem übrigen Teil des Patentanspruchs 1 und Patentansprü- chen 2 bis 15 und 17 bis 21 sowie den weiteren Unterlagen wie er- teilt, nach Hilfsantrag: mit Patentanspruch 1 gemäß Hauptantrag und dem zusätzlichen Merkmal gemäß Hilfsantrag, wie überreicht in der mündlichen Ver- handlung, Patentansprüchen 2 bis 21 sowie den weiteren Unterlagen wie Hauptantrag. - 5 - Der Patentanspruch 1 gemäß Hauptantrag lautet: "Datenübertragungssystem mit einem Server, einem ein Datenver- arbeitungsmodul aufweisenden Client und einer Firewall, durch welche übertragene Daten nach sicherheitsspezifischen Aspekten untersuchbar sind und davon abhängig die Weiterverarbeitung zu- gelassen oder unterbunden wird, dadurch gekennzeichnet, dass die Firewall (334) zwischen einem Empfangsmodul (332) und min- destens einem zweiten Datenverarbeitungsmodul (320) innerhalb des Clients (3) geschaltet ist, wobei zwischen Server (1) und ei- nem ersten Datenverarbeitungsmodul (310) des Clients ein von der Firewall unbeeinflußter Datenverkehr durchgeführt wird." Hieran schließen sich Unteransprüche 2 bis 15, zu deren Wortlaut auf die Patent- schrift verwiesen wird. Der Patentanspruch 16 gemäß Hauptantrag lautet: "Verfahren zum Übertragen von Daten in einem Datenübertra- gungssystem nach einem der vorangegangenen Ansprüche zwi- schen einem Server und einem ein Datenverarbeitungsmodul auf- weisenden Client mit einer Firewall, durch welche übertragene Da- ten nach sicherheitsspezifischen Aspekten untersucht werden und die Weiterverarbeitung zugelassen oder unterbunden wird, da- durch gekennzeichnet, dass zwischen dem Server (1) und einem ersten Datenverarbeitungsmodul (310) des Clients (3) ein von der Firewall (334) unbeeinflusster Datenverkehr durchgeführt wird und dass die Firewall (334) innerhalb des Clients (3) zwischen einem Empfangsmodul (332) und mindestens einem zweiten Datenverar- beitungsmodul (320) dazu eingesetzt wird, eine Weiterverarbei- tung und/oder Weiterleitung von nicht zugelassenen Daten zu - 6 - und/oder von mindestens einem der Datenverarbeitungsmodu- le (320) zu unterbinden." Hieran schließen sich Unteransprüche 17 bis 20 an, zu deren Wortlaut auf die Pa- tentschrift verwiesen wird. Patentanspruch 1 gemäß dem Hilfsantrag lautet: "Datenübertragungssystem mit einem Server, einem ein Datenver- arbeitungsmodul aufweisenden Client und einer Firewall, durch welche übertragene Daten nach sicherheitsspezifischen Aspekten untersuchbar sind und davon abhängig die Weiterverarbeitung zu- gelassen oder unterbunden wird, dadurch gekennzeichnet, dass die Firewall (334) zwischen einem Empfangsmodul (332) und min- destens einem zweiten Datenverarbeitungsmodul (320) innerhalb des Clients (3) geschaltet ist, wobei zwischen Server (1) und ei- nem ersten Datenverarbeitungsmodul (310) des Clients ein von der Firewall unbeeinflußter Datenverkehr durchgeführt wird, wobei der Client Bestandteil eines Automobils ist, wobei das zweite Da- tenverarbeitungsmodul ein Audiogerät, ein Navigationsgerät oder eine Telematikanwendung ist, und wobei das erste Datenverarbei- tungsmodul einen Browser-Client umfasst." Hieran schließen sich weiter die Patentansprüche 2 bis 20 inhaltlich analog zum Hauptantrag an. Dem Patentgegenstand liegt laut Patentschrift, Absatz [0005], die Aufgabe zugrun- de, ein Verfahren und ein Datenübertragungssystem vorzustellen, bei dem eine di- rekte Verbindung zwischen Client und Server besteht, und eine Überprüfung der übertragenen Daten nach sicherheitsspezifischen Aspekten stattfinden kann, so dass ein unberechtigter Zugriff auf diese nicht möglich ist. - 7 - Die Pateninhaberin vertritt die Auffassung, dass das Datenübertragungssystem des Patentanspruchs 1 und das Verfahren des Patentanspruchs 16 gemäß Haupt- antrag ausreichend offenbart, nicht unzulässig erweitert sowie neu sei und auf ei- ner erfinderischen Tätigkeit beruhe. Gleiches gelte für das Datenübertragungssys- tem nach dem Anspruch 1 gemäß Hilfsantrag. Wegen weiterer Einzelheiten wird auf den Akteninhalt verwiesen. II. 1. Der Einspruch ist zulässig. Er wurde form- und fristgerecht erhoben. In dem Ein- spruch sind auch die Tatsachen, die ihn nach Auffassung der Einsprechenden rechtfertigen, im Einzelnen angegeben. 2. Der Einspruch ist auch begründet. 3. Als für die Beurteilung der Lehre des Streitpatents und des Standes der Technik zuständigen Fachmann sieht der Senat einen IT-Techniker mit Fachhochschulaus- bildung sowie speziellen Kenntnissen auf dem Gebiet der Firewalls und dem Schutz von Netzwerken in verschiedensten technischen Anwendungsgebieten vor unberechtigtem Zugriff. Der Senat interpretiert im gegebenen Zusammenhang unter Zugrundelegung des Verständnisses des so definierten Fachmanns Begriffe in den Anspruchsfassun- gen und/oder deren Bedeutungsumfang wie folgt: Firewall: Eine Firewall ist im Allgemeinen eine Software oder ein System, welches dazu dient, den Netzwerkzugriff zu beschränken. Abhängig von der Lokalisierung der Firewall wird unterschieden zwischen einer Personal Firewall (Desktop-Fire- wall) und einer externen Firewall (Netzwerk-Firewall). Während die Personal Fire- wall auf dem zu schützenden System selbst arbeitet, arbeitet die externe Firewall - 8 - auf einem separaten Gerät, welches Netzwerke oder Netzsegmente miteinander verbindet und gleichzeitig den Zugriff zwischen diesen Systemen beschränkt. Eine Firewall vermag zum Einen jeden von außen kommenden Dienst für dieses Netzwerk zuzulassen, bis dieser explizit nicht mehr zugelassen werden soll, zum Anderen jedem Dienst den Zugang zum IT-Netzwerk verwehren, bis dieser Zu- gang ausdrücklich zugelassen wird. Mit dem ersten Fall ist eine reine Routerfunk- tionalität verbunden, mit dem zweiten eine Filterfunktionalität, die zunächst jegli- chen Datenverkehr ins Netzwerk hinein unterbindet. Eine Firewall wird stets in ih- rer Funktionalität durch die Richtlinien bestimmt, die etwa mittels Vorschriftenkata- logen und Regelwerken individuell für einzelne Dienste und deren Eingriffsmög- lichkeiten und/oder Zugriffsnotwendigkeiten in/auf das zu "schützende" Netzwerk eingestellt werden. Client: ist ein Computerprogramm oder auch ein Rechner mit einem Computerpro- gramm oder auch eine Vielzahl derartiger Einheiten (etwa allgemein ein als Nut- zerseite bezeichneter Bereich), das Verbindung zu anderen Computerprogram- men auf anderen Rechnern aufnimmt (Stichwort: Server), die Dienste anbieten, um diese zu nutzen. Server: ist ein Computerprogramm oder auch ein Rechner mit einem Computer- programm oder auch eine Vielzahl derartiger Einheiten, zu denen Clients eine Ver- bindung aufbauen, um von dort Dienste abzurufen, die diese anbieten (Stichwort: Mail-Server, Web-Server). Empfangsmodul: Da den Ursprungsunterlagen keine eindeutige Definition dieses Begriffs entnehmbar ist, wird dieser im Wortlaut gelesen, also als eine Vorrichtung zum Empfang von Daten. - 9 - Datenverarbeitungsmodul: ist eine Vorrichtung, die zu ihm gelangende Daten in irgendeiner nicht näher spezifizierten Weise "verarbeitet", d. h. Informationen über die zugeführten Datenmengen gewinnt oder diese Datenmengen verändert, was z. B. auch deren Be-/Wertung nach einem Lesen der Daten mit einschließt. 4. Hauptantrag: a) Das Datenübertragungssystem gemäß Anspruch 1 nach Hauptantrag lässt sich in folgende Merkmale gliedern (ohne Bezugszeichen, mit Merkmalsgliederung; Än- derungen im Vergleich zum erteilten Anspruch 1 fett): 1.1 Datenübertragungssystem mit 1.2 einem Server 1.3 einem ein Datenverarbeitungsmodul aufweisenden 1.4 Client und 1.5 einer Firewall, 1.6 durch welche übertragene Daten nach sicherheitsspezifi- schen Aspekten untersuchbar sind 1.7 und davon abhängig die Weiterverarbeitung zugelassen oder unterbunden wird dadurch gekennzeichnet, dass 1.8 die Firewall zwischen einem Empfangsmodul und mindes- tens einem zweiten Datenverarbeitungsmodul innerhalb des Clients geschaltet ist, 1.9 wobei zwischen Server und einem ersten Datenverarbei- tungsmodul des Clients ein von der Firewall unbeein- flusster Datenverkehr durchgeführt wird. b) Das Datenübertragungssystem gemäß Anspruch 1 nach Hauptantrag ist nicht patentfähig, da sein Gegenstand gegenüber der Druckschrift D3 als nicht neu gilt (§ 3 PatG). - 10 - Aus der Figur 9 der Druckschrift D3 ist ein Datenübertragungssystem bekannt (1.1), welches mit dem Internet (Internet-Wolke) verbunden ist und das mindes- tens einen Server (1.2) und einen Client (1.4) aufweist, der sich aus allen Kompo- nenten ("Datenverarbeitungsmodulen", 1.3) links von der Internet-Wolke (also ei- ner Nutzerseite), sowie der Verbindungsleitung zwischen diesen zusammensetzt. Die Schaltung nach der Figur 9 enthält auch eine Firewall, welche durch die Fire- wall-Architektur "bastion host", "package filter / screening router" realisiert ist (vgl. auch S. 1115, rechte Spalte, letzter Absatz bis S. 1116, zweiter Absatz) (1.5) und die für eine Firewall typischen Funktionen durchführt, nämlich die Untersuchung übertragener Daten nach sicherheitsspezifischen Aspekten (1.6) und davon ab- hängig deren Weiterverarbeitung zulässt oder unterbindet (1.7) (vgl. auch Kapi- tel 1 "Firewall policy" - und speziell im Kapitel "1.2 FDP"). Der in der Figur 9 zur Anwendung kommende "package filter / screening router" stellt sowohl ein erstes Datenverarbeitungsmodul als auch ein Empfangsmodul dar und ist zugleich die Schnittstelle zum Internet. Er ist Teil des Client, liegt vor dem "bastion host" (als Teil einer "Firewall", die in Figur 9 zwischen beiden Längs- strichen liegt, aber den "public services"-Server nicht umfasst) und leitet Daten aus dem Internet an diesen entsprechend der einem Datenpaket zugeordneten Vorga- ben weiter. Somit ist ein Datenverkehr mit einem ersten Datenverarbeitungsmodul (nämlich dem "package filter / screening router") realisiert, der nicht von der Fire- wall beeinflusst ist, und zwischen (Internet-)Server und Client verläuft (1.9). Dass die Firewall zwischen einem Empfangsmodul und mindestens einem zweiten Datenverarbeitungsmodul (z. B. ein PC des "trusted network" (Figur 9, links)) in- nerhalb des Clients geschaltet ist, ist ebenfalls gegeben, wenn man den Daten- strom von rechts nach links durch den zweiten "package filter / screening router" betrachtet, der Teil der Firewallarchitektur ist (1.8). - 11 - Ergänzend sei erwähnt, dass alle Merkmale des Anspruchs 1 gemäß Hauptantrag ohne Weiteres auch aus der Druckschrift D1 (siehe hier insbesondere Figur 1 mit zugehöriger Figurenbeschreibung) und D2 (siehe hier insbesondere die Figur auf Seite 310 oben mit zugehörigen Textteilen) bekannt sind. Der formal nebengeordnete Patentanspruch 16 geht mit seinen funktionalen Merk- malen konform zum Patentanspruch 1. Es gilt daher das zu diesem Gesagte. 5. Hilfsantrag: a) Der Anspruch 1 gemäß Hilfsantrag ergänzt den Wortlaut des Anspruchs 1 ge- mäß Hauptantrag um drei weitere Merkmale, die aus der Beschreibung entnom- men wurden (vgl. Patentschrift Absätze [0023] bis [0027]). Im Einzelnen wird das Datenübertragungssystem gemäß Anspruch 1 nach Hilfsantrag durch folgende Merkmale beschrieben (ohne Bezugszeichen, mit Merkmalsgliederung; Änderun- gen im Vergleich zum Anspruch 1 gemäß Hauptantrag fett; außerdem mit Richtig- stellung der beiden von der Patentinhaberin in der Anspruchsfassung offensicht- lich vertauschten Worte "erste" und "zweite" in den Merkmalen 1.11 und 1.12): 1.1 Datenübertragungssystem mit 1.2 einem Server 1.3 einem ein Datenverarbeitungsmodul aufweisenden 1.4 Client und 1.5 einer Firewall, 1.6 durch welche übertragene Daten nach sicherheitsspezifi- schen Aspekten untersuchbar sind 1.7 und davon abhängig die Weiterverarbeitung zugelassen oder unterbunden wird dadurch gekennzeichnet, dass - 12 - 1.8 die Firewall zwischen einem Empfangsmodul und mindes- tens einem zweiten Datenverarbeitungsmodul innerhalb des Clients geschaltet ist, 1.9 wobei zwischen Server und einem ersten Datenverarbei- tungsmodul des Clients ein von der Firewall unbeeinflusster Datenverkehr durchgeführt wird, 1.10 wobei der Client Bestandteil eines Automobils ist, 1.11 wobei das erste Datenverarbeitungsmodul ein Audioge- rät, ein Navigationsgerät oder eine Telematikanwendung ist, und 1.12 wobei das zweite Datenverarbeitungsmodul einen Brow- ser-Client umfasst. b) Das Datenübertragungssystem in der hilfsweise verteidigten Fassung unter- scheidet sich mit seinen Merkmalen 1.10 bis 1.12 vom Datenübertragungssystem nach Hauptantrag nur dadurch, dass die nutzerseitigen Bestandteile des Daten- übertragungssystems konkret in einem Kfz installiert sind. Diese Maßnahmen sind dem Fachmann jedoch nahe gelegt. Denn der Fachmann ist auch bei einem Da- tenaustausch zwischen einem im Kfz implementierten Datenverarbeitungssystem und einem externen Netzwerk grundsätzlich gehalten, Maßnahmen zum Schutz der Kfz-eigenen Systeme zu ergreifen. Diese Vorgehensweise wird nachhaltig auch durch die Druckschrift D6 gestützt (vgl. auch D6, "Background of invention" und Fig. 1 mit dazugehöriger Beschreibung). Der Senat erachtet folglich die neu aufgenommenen Merkmale 1.10 bis 1.12 für den Fachmann als fachmännische Maßnahmen im Rahmen eines bedarfsgemä- ßen Vorgehens. Sie können keine erfinderische Tätigkeit begründen. - 13 - III. Nachdem sich die Gegenstände der Patentansprüche 1 gemäß Haupt- und Hilfs- antrag 1 als nicht patentfähig erweisen, fallen jeweils auch die übrigen Ansprüche des Hauptantrags und des Hilfsantrags, zumal ein weitergehender erfinderischer Gehalt von der Patentinhaberin weder geltend gemacht noch sonst ersichtlich ist (vgl. BGH, Urteil vom 12. Dezember 2006 - X ZR 131/02, GRUR 2007, 309 Rn. 42 - Schussfädentransport). Dr. Mayer Kirschneck Gottstein Dr. Wollny Pü