Fachbeiträge • 0
Über die Entscheidung
| Zitat : | BPatG, Entscheidung vom 03.01.2012 - 20 W (pat) 330/06 |
|---|---|
| Gericht : | BPatG |
| Aktenzeichen : | 20 W (pat) 330/06 |
| Entscheidungsdatum : | 3. Januar 2012 |
Vollständiger Text
Tenor
BUNDESPATENTGERICHT
20 W (pat) 330/06 Verkündet am 30. Januar 2012 (Aktenzeichen) …
BESCHLUSS
In der Einspruchssache
…
betreffend das Patent 100 25 929
…
BPatG 154 05.11 hat der 20. Senat (Technischer Beschwerdesenat) des Bundespatentgerichts auf die mündliche Verhandlung vom 30. Januar 2012 durch den Vorsitzenden Richter Dipl.-Phys. Dr. Mayer, die Richterin Kirschneck sowie die Richter Dipl.-Ing. Gottstein und Dipl.-Geophys. Dr. Wollny
beschlossen:
Das Patent 100 25 929 wird widerrufen.
Gründe
I.
Für die am 26. Mai 2000 beim Deutschen Patent- und Markenamt eingegangene Anmeldung wurde die Erteilung des nachgesuchten Patents am 16. Februar 2006 veröffentlicht. Das Patent betrifft ein
"Verfahren zum Übertragen von Daten".
Gegen das Patent hat die damalige D…C… AG in S…, jetzige D…AG, am 11. Mai 2006 (eingegangen per Fax am selben Tage) Einspruch erhoben mit der Begründung, der Gegenstand des erteilten Patentanspruchs 1 sei aus den Gründen des § 21 Absatz 1 PatG zu widerrufen. Die Einsprechende stützt ihren Einspruch auf die Druckschriften
D1 WO 98 / 18 248 A1 D2 LUCKHARDT, N.: Schwer entflammbar - Grundlagen und Architekturen von Firewalls. In:,c't , 4/1997, S. 308-312 D3 HUNT, R.: Internet / Intranet firewall security - policy, architecture and transaction services. In: Computer Communications 21, 1998, S. 1107 - 1123 D4 EP 0 973 350 A2 D5 US 5 898 830 A D6 WO 99 / 49 620 A1 D7 US 5 732 074 A D8 EP 0 713 311 A1 D9 EP 0 973 299 A2 D10 US 6 003 084 A D11 WO 96 / 13 113 A1 D12 WO 97 / 16 911 A1 D13 WO 98 / 26 551 A1 D14 WO 99 / 07 108 A2 D15 WO 99 / 21 340 A1 D16 WO 99 / 38 303 A1 D17 WO 99 / 48 261 A2 D18 WO 00 / 10 297 A1 D19 WO 00 / 25 247 A1 D20 LUCKHARDT, N.: Trau, schau, wem! - Acht Firewalls auf den zweiten Blick. In: c't , 6/1997, S. 308 ff. D21 SCHMIDT, J.: Block-Buster- Personal Firewalls und Anti-Viren-Software richtig einsetzen. In: c't 4/2000, S. 224 ff. D22 BONNARD, A.; WOLFF, C.: Gesicherte Verbindung von Computernetzen mit Hilfe einer Firewall. Studie der Siemens AG, 1997, Siemens AG, München, URL: http://www.bsi.de/literat/studien/firewall/fw5tud97/fwstud.pdf,
wobei ihrer Auffassung nach der Gegenstand des Anspruchs 1 durch die Druckschriften D1, D2 und D3 jeweils für sich gesehen neuheitsschädlich vorweggenommen sei.
Die Einsprechende beantragt (sinngemäß),
das Patent 100 25 929 zu widerrufen.
Die Patentinhaberin ist dem Einspruch entgegengetreten und beantragt,
das angegriffene Patent beschränkt mit folgenden Unterlagen aufrecht zu erhalten, und zwar
nach Hauptantrag:
mit dem kennzeichnenden Teil des Patentanspruchs 1 und Patentanspruch 16, wie überreicht in der mündlichen Verhandlung, mit dem übrigen Teil des Patentanspruchs 1 und Patentansprüchen 2 bis 15 und 17 bis 21 sowie den weiteren Unterlagen wie erteilt,
nach Hilfsantrag:
mit Patentanspruch 1 gemäß Hauptantrag und dem zusätzlichen Merkmal gemäß Hilfsantrag, wie überreicht in der mündlichen Verhandlung, Patentansprüchen 2 bis 21 sowie den weiteren Unterlagen wie Hauptantrag. Der Patentanspruch 1 gemäß Hauptantrag lautet:
"Datenübertragungssystem mit einem Server, einem ein Datenverarbeitungsmodul aufweisenden Client und einer Firewall, durch welche übertragene Daten nach sicherheitsspezifischen Aspekten untersuchbar sind und davon abhängig die Weiterverarbeitung zugelassen oder unterbunden wird, dadurch gekennzeichnet, dass die Firewall (334) zwischen einem Empfangsmodul (332) und mindestens einem zweiten Datenverarbeitungsmodul (320) innerhalb des Clients (3) geschaltet ist, wobei zwischen Server (1) und einem ersten Datenverarbeitungsmodul (310) des Clients ein von der Firewall unbeeinflußter Datenverkehr durchgeführt wird."
Hieran schließen sich Unteransprüche 2 bis 15, zu deren Wortlaut auf die Patentschrift verwiesen wird.
Der Patentanspruch 16 gemäß Hauptantrag lautet:
"Verfahren zum Übertragen von Daten in einem Datenübertragungssystem nach einem der vorangegangenen Ansprüche zwischen einem Server und einem ein Datenverarbeitungsmodul aufweisenden Client mit einer Firewall, durch welche übertragene Daten nach sicherheitsspezifischen Aspekten untersucht werden und die Weiterverarbeitung zugelassen oder unterbunden wird, dadurch gekennzeichnet, dass zwischen dem Server (1) und einem ersten Datenverarbeitungsmodul (310) des Clients (3) ein von der Firewall (334) unbeeinflusster Datenverkehr durchgeführt wird und dass die Firewall (334) innerhalb des Clients (3) zwischen einem Empfangsmodul (332) und mindestens einem zweiten Datenverarbeitungsmodul (320) dazu eingesetzt wird, eine Weiterverarbeitung und/oder Weiterleitung von nicht zugelassenen Daten zu und/oder von mindestens einem der Datenverarbeitungsmodule (320) zu unterbinden."
Hieran schließen sich Unteransprüche 17 bis 20 an, zu deren Wortlaut auf die Patentschrift verwiesen wird.
Patentanspruch 1 gemäß dem Hilfsantrag lautet:
"Datenübertragungssystem mit einem Server, einem ein Datenverarbeitungsmodul aufweisenden Client und einer Firewall, durch welche übertragene Daten nach sicherheitsspezifischen Aspekten untersuchbar sind und davon abhängig die Weiterverarbeitung zugelassen oder unterbunden wird, dadurch gekennzeichnet, dass die Firewall (334) zwischen einem Empfangsmodul (332) und mindestens einem zweiten Datenverarbeitungsmodul (320) innerhalb des Clients (3) geschaltet ist, wobei zwischen Server (1) und einem ersten Datenverarbeitungsmodul (310) des Clients ein von der Firewall unbeeinflußter Datenverkehr durchgeführt wird, wobei der Client Bestandteil eines Automobils ist, wobei das zweite Datenverarbeitungsmodul ein Audiogerät, ein Navigationsgerät oder eine Telematikanwendung ist, und wobei das erste Datenverarbeitungsmodul einen Browser-Client umfasst."
Hieran schließen sich weiter die Patentansprüche 2 bis 20 inhaltlich analog zum Hauptantrag an.
Dem Patentgegenstand liegt laut Patentschrift, Absatz [0005], die Aufgabe zugrunde, ein Verfahren und ein Datenübertragungssystem vorzustellen, bei dem eine direkte Verbindung zwischen Client und Server besteht, und eine Überprüfung der übertragenen Daten nach sicherheitsspezifischen Aspekten stattfinden kann, so dass ein unberechtigter Zugriff auf diese nicht möglich ist. Die Pateninhaberin vertritt die Auffassung, dass das Datenübertragungssystem des Patentanspruchs 1 und das Verfahren des Patentanspruchs 16 gemäß Hauptantrag ausreichend offenbart, nicht unzulässig erweitert sowie neu sei und auf einer erfinderischen Tätigkeit beruhe. Gleiches gelte für das Datenübertragungssystem nach dem Anspruch 1 gemäß Hilfsantrag.
Wegen weiterer Einzelheiten wird auf den Akteninhalt verwiesen.
II.
1. Der Einspruch ist zulässig. Er wurde form- und fristgerecht erhoben. In dem Einspruch sind auch die Tatsachen, die ihn nach Auffassung der Einsprechenden rechtfertigen, im Einzelnen angegeben.
2. Der Einspruch ist auch begründet.
3. Als für die Beurteilung der Lehre des Streitpatents und des Standes der Technik zuständigen Fachmann sieht der Senat einen IT-Techniker mit Fachhochschulausbildung sowie speziellen Kenntnissen auf dem Gebiet der Firewalls und dem Schutz von Netzwerken in verschiedensten technischen Anwendungsgebieten vor unberechtigtem Zugriff.
Der Senat interpretiert im gegebenen Zusammenhang unter Zugrundelegung des Verständnisses des so definierten Fachmanns Begriffe in den Anspruchsfassungen und/oder deren Bedeutungsumfang wie folgt:
Firewall: Eine Firewall ist im Allgemeinen eine Software oder ein System, welches dazu dient, den Netzwerkzugriff zu beschränken. Abhängig von der Lokalisierung der Firewall wird unterschieden zwischen einer Personal Firewall (Desktop-Firewall) und einer externen Firewall (Netzwerk-Firewall). Während die Personal Firewall auf dem zu schützenden System selbst arbeitet, arbeitet die externe Firewall auf einem separaten Gerät, welches Netzwerke oder Netzsegmente miteinander verbindet und gleichzeitig den Zugriff zwischen diesen Systemen beschränkt.
Eine Firewall vermag zum Einen jeden von außen kommenden Dienst für dieses Netzwerk zuzulassen, bis dieser explizit nicht mehr zugelassen werden soll, zum Anderen jedem Dienst den Zugang zum IT-Netzwerk verwehren, bis dieser Zugang ausdrücklich zugelassen wird. Mit dem ersten Fall ist eine reine Routerfunktionalität verbunden, mit dem zweiten eine Filterfunktionalität, die zunächst jeglichen Datenverkehr ins Netzwerk hinein unterbindet. Eine Firewall wird stets in ihrer Funktionalität durch die Richtlinien bestimmt, die etwa mittels Vorschriftenkatalogen und Regelwerken individuell für einzelne Dienste und deren Eingriffsmöglichkeiten und/oder Zugriffsnotwendigkeiten in/auf das zu "schützende" Netzwerk eingestellt werden.
Client: ist ein Computerprogramm oder auch ein Rechner mit einem Computerprogramm oder auch eine Vielzahl derartiger Einheiten (etwa allgemein ein als Nutzerseite bezeichneter Bereich), das Verbindung zu anderen Computerprogrammen auf anderen Rechnern aufnimmt (Stichwort: Server), die Dienste anbieten, um diese zu nutzen.
Server: ist ein Computerprogramm oder auch ein Rechner mit einem Computerprogramm oder auch eine Vielzahl derartiger Einheiten, zu denen Clients eine Verbindung aufbauen, um von dort Dienste abzurufen, die diese anbieten (Stichwort: Mail-Server, Web-Server).
Empfangsmodul: Da den Ursprungsunterlagen keine eindeutige Definition dieses Begriffs entnehmbar ist, wird dieser im Wortlaut gelesen, also als eine Vorrichtung zum Empfang von Daten. Datenverarbeitungsmodul: ist eine Vorrichtung, die zu ihm gelangende Daten in irgendeiner nicht näher spezifizierten Weise "verarbeitet", d. h. Informationen über die zugeführten Datenmengen gewinnt oder diese Datenmengen verändert, was z. B. auch deren Be-/Wertung nach einem Lesen der Daten mit einschließt.
4. Hauptantrag:
a) Das Datenübertragungssystem gemäß Anspruch 1 nach Hauptantrag lässt sich in folgende Merkmale gliedern (ohne Bezugszeichen, mit Merkmalsgliederung; Änderungen im Vergleich zum erteilten Anspruch 1 fett):
1.1 Datenübertragungssystem mit 1.2 einem Server 1.3 einem ein Datenverarbeitungsmodul aufweisenden 1.4 Client und 1.5 einer Firewall, 1.6 durch welche übertragene Daten nach sicherheitsspezifischen Aspekten untersuchbar sind 1.7 und davon abhängig die Weiterverarbeitung zugelassen oder unterbunden wird dadurch gekennzeichnet, dass 1.8 die Firewall zwischen einem Empfangsmodul und mindestens einem zweiten Datenverarbeitungsmodul innerhalb des Clients geschaltet ist, 1.9 wobei zwischen Server und einem ersten Datenverarbeitungsmodul des Clients ein von der Firewall unbeeinflusster Datenverkehr durchgeführt wird.
b) Das Datenübertragungssystem gemäß Anspruch 1 nach Hauptantrag ist nicht patentfähig, da sein Gegenstand gegenüber der Druckschrift D3 als nicht neu gilt (§ 3 PatG).
Aus der Figur 9 der Druckschrift D3 ist ein Datenübertragungssystem bekannt (1.1), welches mit dem Internet (Internet-Wolke) verbunden ist und das mindestens einen Server (1.2) und einen Client (1.4) aufweist, der sich aus allen Komponenten ("Datenverarbeitungsmodulen", 1.3) links von der Internet-Wolke (also einer Nutzerseite), sowie der Verbindungsleitung zwischen diesen zusammensetzt.
Die Schaltung nach der Figur 9 enthält auch eine Firewall, welche durch die Firewall-Architektur "bastion host", "package filter / screening router" realisiert ist (vgl. auch S. 1115, rechte Spalte, letzter Absatz bis S. 1116, zweiter Absatz) (1.5) und die für eine Firewall typischen Funktionen durchführt, nämlich die Untersuchung übertragener Daten nach sicherheitsspezifischen Aspekten (1.6) und davon abhängig deren Weiterverarbeitung zulässt oder unterbindet (1.7) (vgl. auch Kapitel 1 "Firewall policy" - und speziell im Kapitel "1.2 FDP").
Der in der Figur 9 zur Anwendung kommende "package filter / screening router" stellt sowohl ein erstes Datenverarbeitungsmodul als auch ein Empfangsmodul dar und ist zugleich die Schnittstelle zum Internet. Er ist Teil des Client, liegt vor dem "bastion host" (als Teil einer "Firewall", die in Figur 9 zwischen beiden Längsstrichen liegt, aber den "public services"-Server nicht umfasst) und leitet Daten aus dem Internet an diesen entsprechend der einem Datenpaket zugeordneten Vorgaben weiter. Somit ist ein Datenverkehr mit einem ersten Datenverarbeitungsmodul (nämlich dem "package filter / screening router") realisiert, der nicht von der Firewall beeinflusst ist, und zwischen (Internet-)Server und Client verläuft (1.9).
Dass die Firewall zwischen einem Empfangsmodul und mindestens einem zweiten Datenverarbeitungsmodul (z. B. ein PC des "trusted network" (Figur 9, links)) innerhalb des Clients geschaltet ist, ist ebenfalls gegeben, wenn man den Datenstrom von rechts nach links durch den zweiten "package filter / screening router" betrachtet, der Teil der Firewallarchitektur ist (1.8).
Ergänzend sei erwähnt, dass alle Merkmale des Anspruchs 1 gemäß Hauptantrag ohne Weiteres auch aus der Druckschrift D1 (siehe hier insbesondere Figur 1 mit zugehöriger Figurenbeschreibung) und D2 (siehe hier insbesondere die Figur auf Seite 310 oben mit zugehörigen Textteilen) bekannt sind.
Der formal nebengeordnete Patentanspruch 16 geht mit seinen funktionalen Merkmalen konform zum Patentanspruch 1. Es gilt daher das zu diesem Gesagte.
5. Hilfsantrag:
a) Der Anspruch 1 gemäß Hilfsantrag ergänzt den Wortlaut des Anspruchs 1 gemäß Hauptantrag um drei weitere Merkmale, die aus der Beschreibung entnommen wurden (vgl. Patentschrift Absätze [0023] bis [0027]). Im Einzelnen wird das Datenübertragungssystem gemäß Anspruch 1 nach Hilfsantrag durch folgende Merkmale beschrieben (ohne Bezugszeichen, mit Merkmalsgliederung; Änderungen im Vergleich zum Anspruch 1 gemäß Hauptantrag fett; außerdem mit Richtigstellung der beiden von der Patentinhaberin in der Anspruchsfassung offensichtlich vertauschten Worte "erste" und "zweite" in den Merkmalen 1.11 und 1.12):
1.1 Datenübertragungssystem mit 1.2 einem Server 1.3 einem ein Datenverarbeitungsmodul aufweisenden 1.4 Client und 1.5 einer Firewall, 1.6 durch welche übertragene Daten nach sicherheitsspezifischen Aspekten untersuchbar sind 1.7 und davon abhängig die Weiterverarbeitung zugelassen oder unterbunden wird dadurch gekennzeichnet, dass
1.8 die Firewall zwischen einem Empfangsmodul und mindestens einem zweiten Datenverarbeitungsmodul innerhalb des Clients geschaltet ist, 1.9 wobei zwischen Server und einem ersten Datenverarbeitungsmodul des Clients ein von der Firewall unbeeinflusster Datenverkehr durchgeführt wird, 1.10 wobei der Client Bestandteil eines Automobils ist, 1.11 wobei das erste Datenverarbeitungsmodul ein Audiogerät, ein Navigationsgerät oder eine Telematikanwendung ist, und 1.12 wobei das zweite Datenverarbeitungsmodul einen Browser-Client umfasst.
b) Das Datenübertragungssystem in der hilfsweise verteidigten Fassung unterscheidet sich mit seinen Merkmalen 1.10 bis 1.12 vom Datenübertragungssystem nach Hauptantrag nur dadurch, dass die nutzerseitigen Bestandteile des Datenübertragungssystems konkret in einem Kfz installiert sind. Diese Maßnahmen sind dem Fachmann jedoch nahe gelegt. Denn der Fachmann ist auch bei einem Datenaustausch zwischen einem im Kfz implementierten Datenverarbeitungssystem und einem externen Netzwerk grundsätzlich gehalten, Maßnahmen zum Schutz der Kfz-eigenen Systeme zu ergreifen. Diese Vorgehensweise wird nachhaltig auch durch die Druckschrift D6 gestützt (vgl. auch D6, "Background of invention" und Fig. 1 mit dazugehöriger Beschreibung).
Der Senat erachtet folglich die neu aufgenommenen Merkmale 1.10 bis 1.12 für den Fachmann als fachmännische Maßnahmen im Rahmen eines bedarfsgemä- ßen Vorgehens. Sie können keine erfinderische Tätigkeit begründen.
III.
Nachdem sich die Gegenstände der Patentansprüche 1 gemäß Haupt- und Hilfsantrag 1 als nicht patentfähig erweisen, fallen jeweils auch die übrigen Ansprüche des Hauptantrags und des Hilfsantrags, zumal ein weitergehender erfinderischer Gehalt von der Patentinhaberin weder geltend gemacht noch sonst ersichtlich ist (vgl. BGH, Urteil vom 12. Dezember 2006 - X ZR 131/02, GRUR 2007, 309 Rn. 42 - Schussfädentransport).
Dr. Mayer Kirschneck Gottstein Dr. Wollny
Pü