| European Case Law Identifier: | ECLI:EP:BA:2017:T052713.20171109 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| Datum der Entscheidung: | 09 November 2017 | ||||||||
| Aktenzeichen: | T 0527/13 | ||||||||
| Anmeldenummer: | 03809316.7 | ||||||||
| IPC-Klasse: | G07F 7/10 | ||||||||
| Verfahrenssprache: | DE | ||||||||
| Verteilung: | D | ||||||||
| Download und weitere Informationen: |
|
||||||||
| Bezeichnung der Anmeldung: | VERFAHREN ZUM AUSFÜHREN EINER GESICHERTEN ELEKTRONISCHEN TRANSAKTION UNTER VERWENDUNG EINES TRAGBAREN DATENTRÄGERS | ||||||||
| Name des Anmelders: | Giesecke+Devrient Mobile Security GmbH | ||||||||
| Name des Einsprechenden: | - | ||||||||
| Kammer: | 3.4.03 | ||||||||
| Leitsatz: | - | ||||||||
| Relevante Rechtsnormen: |
|
||||||||
| Schlagwörter: | Erfinderische Tätigkeit - (ja) | ||||||||
| Orientierungssatz: |
- |
||||||||
| Angeführte Entscheidungen: |
|
||||||||
| Anführungen in anderen Entscheidungen: |
|
||||||||
Sachverhalt und Anträge
I. Die Beschwerde der Anmelderin richtet sich gegen die Entscheidung der Prüfungsabteilung, die europäische Patentanmeldung Nr. 03 809 316 (veröffentlicht als WO 2004/038665 A1) wegen mangelnder erfinderischer Tätigkeit zurückzuweisen.
II. Es wird auf das folgende Dokument Bezug genommen:
D6: US 2002/0016913 A1
III. Die Beschwerdeführerin beantragt, die angefochtene Entscheidung der Prüfungsabteilung aufzuheben und ein Patent mit den folgenden Dokumenten zu erteilen:
Ansprüche 1-11, eingereicht mit Schreiben vom 20. Oktober 2017;
Beschreibung:
Seiten 2, 2a, 2b, 3, eingereicht mit Schreiben vom 17. Oktober 2017;
Seiten 1, 4-13 wie veröffentlicht;
Zeichnungen: Blätter 1/3-3/3 wie veröffentlicht.
Die Ansprüche entsprechen den Ansprüchen, die mit der angefochtenen Entscheidung zurückgewiesen worden waren.
IV. Der Wortlaut der unabhängigen Ansprüche 1, 8 und 10 ist wie folgt:
Anspruch 1
Verfahren zum Ausführen einer gesicherten elektronischen Transaktion an einem Terminal unter Verwendung eines tragbaren Datenträgers, wobei ein Nutzer sich gegenüber dem tragbaren Datenträger authentifiziert, wobei für die Authentifizierung des Nutzers wenigstens zwei verschiedene Authentifizierungsmethoden von unterschiedlicher Qualität angeboten werden, der tragbare Datenträger dem Terminal den Nachweis der Authentifizierung bestätigt und der tragbare Datenträger anschließend im Rahmen der elektronischen Transaktion eine sicherheitsbegründete Operation ausführt, dadurch gekennzeichnet,
daß durch die sicherheitsbegründete Operation ein Datensatz (40) bearbeitet wird, den das Terminal (14) dem tragbaren Datenträger übermittelt, aufgrund einer in dem Datensatz (40) enthaltenen Information oder aufgrund einer durch das Terminal (14) ausgegebenen Entscheidungsaufforderung durch den Nutzer (30) eine Authentifizierungsmethode festgelegt wird, durch den tragbaren Datenträger (20) eine Qualitätsinformation darüber erstellt wird, durch welche Authentifizierungsmethode die Authentifizierung des Nutzers (30) erfolgte und diese Qualitätsinformation dem Ergebnis der sicherheitsbegründeten Operation beigefügt wird.
Anspruch 8
Tragbarer Datenträger zur Ausführung einer sicherheitsbegründeten Operation im Rahmen einer gesicherten elektronischen Transaktion, wobei ein Nutzer sich gegenüber dem tragbaren Datenträger authentifiziert und der tragbare Datenträger einem Terminal die Authentifizierung bestätigt, wobei der tragbare Datenträger wenigstens zwei qualitativ verschiedene Authentifizierungsmethoden unterstützt, dadurch gekennzeichnet,
daß der tragbare Datenträger (20) in der sicherheitsbegründeten Operation einen Datensatz (40) bearbeitet, der ihm von dem Terminal (14) übermittelt wird, wobei aufgrund einer in dem Datensatz (40) enthaltenen Information oder aufgrund einer durch das Terminal (14) ausgegebenen Entscheidungsaufforderung durch den Nutzer (30) eine Authentifizierungsmethode festgelegt wird, und daß der tragbare Datenträger (20) dazu eingerichtet ist, eine Qualitätsinformation zu erstellen, welche angibt, durch welche Authentifizierungsmethode die Authentifizierung des Nutzers (30) durchgeführt wurde.
Anspruch 10
Terminal zur Verwendung in Verbindung mit einem tragbaren Datenträger nach Anspruch 8, dadurch gekennzeichnet, daß es Mittel (16, 18) aufweist, um einen Nutzer (30) zur Auswahl einer von wenigstens zwei möglichen Authentifizierungsmethoden zu veranlassen.
Entscheidungsgründe
1. Die Erfindung
Anspruch 1 definiert ein Verfahren zum Ausführen einer gesicherten elektronischen Transaktion an einem Terminal unter Verwendung eines tragbaren Datenträgers (z. B. Chipkarte).
Die elektronische Transaktion gemäß Anspruch 1 besteht im Wesentlichen aus zwei Schritten:
a) Zuerst wird der Nutzer gegenüber dem Datenträger authentifiziert und der Nachweis der Authentifizierung wird vom Datenträger dem Terminal bestätigt.
b) Nach erfolgreicher Authentifizierung des Nutzers wird eine sicherheitsbegründete Operation ausgeführt. Im Rahmen dieser Operation wird einen Datensatz, den das Terminal dem Datenträger übermittelt, bearbeitet.
2. Stand der Technik und Unterschied
2.1 Dokument D6 wurde von der Prüfungsabteilung als nächstliegender Stand der Technik angesehen. Die Kammer teilt diese Auffassung.
2.2 D6 beschreibt ein Verfahren zur Authentifizierung eines Nutzers an einem Terminal ("device" in D6) unter Verwendung eines tragbaren Datenträgers (Chipkarte). Die Chipkarte unterstützt mehrere, qualitativ unterschiedliche Authentifizierungsmethoden (unter Verwendung von PIN oder von verschiedenen biometrischen Merkmalen des Nutzers - siehe z. B. Absatz [0333]). Die Chipkarte wird dabei für mehrere Terminals, wobei jedes Terminal nur eine der von der Chipkarte unterstützten Authentifizierungsmethoden nutzt. Welche Authentifizierungsmethode in dem jeweiligen Terminal benutzt wird, wird vom System vorbestimmt (siehe z. B. Absatz [0335]). So kann der Nutzer die Chipkarte in mehreren Terminals verwenden, um nacheinander Zugang zu einem Parkplatz, einem gesicherten Gebäude, einem gesicherten Raum und einem Computer zu erhalten. Bei jedem Schritt wird der Nutzer an einem Terminal durch eine andere Authentifizierungsmethode authentifiziert, wobei die Sicherheitsstandards jeweils gesteigert werden. (Absätze [0335], [0340]-[0342], [0347], [0355]).
Der Nutzer authentifiziert sich gegenüber der Chipkarte und der Nachweis der Authentifizierung wird zusammen mit der Information, welche Authentifizierungsmethode verwendet wurde (d.h. Qualitätsinformation im Sinne des Anspruchs), an das entsprechendes Terminal übermittelt (siehe z. B. Absätze [0342]-[0350]).
2.3 Im Gegensatz zur Prüfungsabteilung (siehe Punkt 1.1 der angefochtenen Entscheidung), ist die Kammer der Auffassung, dass in D6 keine sicherheitsbegründete Operation gemäß Anspruch 1 ausgeführt wird. Zwar wird in D6 eine Nachricht (Datensatz), die das Terminal an die Chipkarte übermittelt, bearbeitet; dies findet aber im Rahmen der Authentifizierung des Nutzers statt. Das Terminal übermittelt eine Nachricht an die Chipkarte mit dem Antrag auf Bestätigung der Informationen des Nutzers. Die Chipkarte fügt dieser Nachricht den Nachweis der Authentifizierung und andere Informationen bezüglich des Nutzers bei (Absätze [0343]-[0351]).
2.4 Das Verfahren nach Anspruch 1 unterscheidet sich somit durch folgende Merkmale:
i) Es wird in D6 keine sicherheitsbegründete Operation nach der erfolgreichen Authentifizierung des Nutzers ausgeführt.
ii) Es wird in D6 keine Entscheidung getroffen, welche Authentifizierungsmethode zur Authentifizierung des Nutzers verwendet werden soll.
2.5 Die Beschwerdeführerin vertrat die Auffassung (Beschwerdebegründung, Seite 2, vorletzter Absatz), D6 offenbare keine gesicherte elektronische Transaktion, da weder die Entnahme eines Geldbetrags, die Durchführung eines Bankgeschäftes noch die Bewegung von Geld zwischen Konten und auch keine Veranlassung eines Folgeschrittes aufgrund einer Bestellung erfolge.
Die Kammer kann sich dieser Auffassung nicht anschließen. Im Rahmen der Anmeldung ist der Begriff "Transaktion" breit auszulegen. Die Kammer versteht unter dem Begriff "gesicherte elektronische Transaktion" zwischen zwei Geräten (Chipkarte und Terminal) einen, von externen Zugriff geschützten (d.h. gesicherten), elektronischen Datenaustausch. Das Verfahren in D6 ist somit in diesem Sinne auch eine gesicherte elektronische Transaktion.
3. Erfinderische Tätigkeit (Artikel 56 EPÜ 1973)
3.1 Die unterscheidenden Merkmalen (siehe 2.4 oben) ermöglichen die Ausführung einer gesicherten elektronischen Transaktion umfassend die Authentifizierung eines Nutzers, in welcher die Authentifizierungsmethode vom Nutzer oder vom System jedes mal neu bestimmt werden kann, gefolgt von einer sicherheitsbegründeten Operation. Dies erlaubt die Anpassung der Authentifizierungsmethode an die anschließende sicherheitsbegründete Operation.
3.2 Nach der Entscheidung der Prüfungsabteilung stellt die Erlaubnis der Auswahl einer Authentifizierungsmethode durch den Nutzer eine administrative Regel dar, welche nicht zum technischen Charakter der Erfindung beiträgt. Es sei daher für den Fachmann naheliegend, eine solche administrative Regel im Rahmen der Nutzerinteraktion mit dem Terminal in D6 zu implementieren (Punkte 1.3 und 1.4 der angefochtenen Entscheidung).
Die Kammer kann der Argumentation nicht folgen, dass die Erlaubnis der Auswahl einer Authentifizierungsmethode durch den Nutzer eine administrative Regel ohne Beitrag zum technischen Charakter darstellt. Dies ergibt sich alleine aus der Tatsache, dass die Terminals mit den geeigneten Eingabegeräten und/oder Sensoren ausgestattet werden müssen, damit eine Auswahl von Authentifizierungsmethoden überhaupt möglich wird. In D6 gibt es keinen Hinweis auf eine Auswahl einer Authentifizierungsmethode in einem Terminal. Jedes Terminal unterstützt nur eine bestimmte Authentifizierungsmethode (Verwendung von PIN, biometrischer Merkmale des Nutzers oder beides; siehe z. B. Absätze [0335], [0340], [0347], [0354] und [0355]). Eine Auswahl oder eine Änderung der Authentifizierungsmethode bei einem bestimmten Terminal ist nicht möglich. Die Idee einer Auswahl einer Authentifizierungsmethode bei jedem Terminal wird in D6 weder offenbart noch angedeutet und die Implementierung eines solchen Merkmales in D6 kann nicht als für den Fachmann naheliegend angesehen werden.
3.3 Darüber hinaus gibt es in D6 keinen Hinweis auf die Durchführung einer sicherheitsbegründeten Operation im Sinne der beanspruchten Erfindung nach der Authentifizierung des Nutzers. In dem von der Prüfungsabteilung zitierten Ausführungsbeispiel wird das Ergebnis der Authentifizierung verwendet, um zu bestimmen ob dem Nutzer den Zugang zu einem Parkplatz, einem Gebäude, einem Raum des Gebäudes oder einem Computer erlaubt wird oder nicht (Absätze [0339], [0346], [0351] und [0360]). Weitere mögliche Benutzungen des Ergebnisses der Authentifizierung werden zwar angedeutet (Absätze [0040], [0043]) aber über eine sicherheitsbegründete Operation gemäß der Erfindung gibt es keine Information.
3.4 Die Kammer gelangt somit zu dem Schluss, dass das Verfahren gemäß Anspruch 1 für den Fachmann nicht naheliegend ist. Dies gilt auch für den tragbaren Datenträger gemäß unabhängigem Vorrichtungsanspruch 8, mit den dem Verfahren entsprechenden Merkmalen. Aus den gleichen Gründen kann auch das Terminal gemäß Anspruch 10 nicht als für den Fachmann naheliegend angesehen werden.
3.5 Die Ansprüche 2-7, 9 und 11 sind von den Ansprüchen 1, 8 und 10 abhängig und beruhen daher auch auf einer erfinderischen Tätigkeit im Sinne von Artikel 56 EPÜ 1973.
4. Die Beschreibung wurde zu den neuen Ansprüchen angepasst, und das Dokument D6 wurde genannt (Seite 2).
5. Schlussforderung
Die Anmeldung und die Erfindung, die sie zum Gegenstand hat, genügen somit den Erfordernissen des EPÜ und ein europäisches Patent ist gemäß Artikel 97(1) EPÜ zu erteilen.
Entscheidungsformel
Aus diesen Gründen wird entschieden:
1. Die angefochtene Entscheidung wird aufgehoben.
2. Die Angelegenheit wird an die erste Instanz mit der Anordnung zurückverwiesen, ein Patent mit den folgenden Dokumenten zu erteilen:
Ansprüche 1-11, eingereicht mit Schreiben vom 20. Oktober 2017;
Beschreibung:
Seiten 2, 2a, 2b, 3, eingereicht mit Schreiben vom 17. Oktober 2017,
Seiten 1, 4-13 wie veröffentlicht;
Zeichnungen: Blätter 1/3-3/3 wie veröffentlicht.
