T 0073/19 (Austausch eines Kartenbetriebssystems/GIESECKE) of 18.1.2023

Sachverhalt und Anträge

I. Gegenstand des Beschwerdeverfahrens ist die Ent­­schei­dung der Einspruchsabteilung, den Einspruch gegen das europäische Patent Nr. 2 864 871 zurückzuweisen. ­­

II. Gegen die Erteilung des Patents hatte die Beschwerde­führerin Einspruch eingelegt, gestützt auf die Ein­spruchsgründe gemäß Artikel 100 a) EPÜ, in Verbindung mit Artikel 54 und 56 EPÜ.

III. Unter den in der Zwischenentscheidung genannten Doku­menten sind hier nur diese von Bedeutung:

E1: Rankl W. et al. (Hrsg.), "Handbuch der Chip­karten", 5. Auflage, 2008; daraus Kapitel 13.5, "Komplettierung des Betriebssystems", insbes. Kapitel 13.5.1, "Urla­der für das Betriebssystem (Bootloader)", S. 489-493, und

D5: Bundesamt für Sicherheit in der Informationstech­nik BSI, "BSI TR-03110 Advanced Security Mecha­nisms for Machine Readable Travel Documents", 20. März 2012.

IV. Die Beschwerdeführerin/Einsprechende hat am 7. Ja­nu­ar 2019 Beschwerde gegen die Entscheidung eingelegt, und sie am 21. März 2019 begründet. Darin beantragte sie, die Ent­scheidung aufzuheben und das Patent in vollem Umfang zu wider­rufen.

In ihrer Beschwerdebegründung legte sie zum Nachweis all­gemeinen Fachwissens neue Dokumente vor, nämlich

E9: Wikipedia, "Hybride Verschlüsselung", Version vom 21. Mai 2012, 17:25 Uhr,

E10: Wikipedia, "Asymmetrisches Kryptosystem", Version vom 12. Juni 2012, 11:16 Uhr,

E11: Wikipedia, "Digitales Zertifikat", Version vom 15. Mai 2012, 6:28 Uhr,

E12: Wikipedia, "Public-Key-Infrastruktur", Version vom 11. April 2012, 21:48 Uhr, sowie

E13: Wikipedia, "Flash-Speicher", Version vom 3. Juni 2012, 20:37 Uhr,

und erhob Einwände mangelnder erfinderischen Tätig­keit, insbesondere gegenüber E1 in Verbindung mit dem allgemeinen Fachwissen oder D5.

V. Die Beschwerdegegnerin/Patentinhaberin beantragte in ihrer Erwiderung, die Beschwerde zurückzuweisen (und damit das Patent im erteilten Umfang aufrechtzuerhal­ten), oder, alternativ, das Patent auf Grundlage eines der Hilfsanträge 1 bis 6, die im Einspruchsverfahren vorgelegt und der Beschwer­de­begründung erneut beigelegt wurden. Darüber hinaus beantragte sie, die Dokumente E9 bis E13 nicht ins Verfahren zuzulassen.

VI. Mit ihrer Ladung zur mündlichen Verhandlung teilte die Beschwerdekammer den Parteien ihre vorläufige Meinung mit, dass Anspruch 1 des erteilten Patents bei rich­ti­ger Auslegung (insbesondere) gegenüber E1 und dem all­gemeinen Fachwissen keine erfinderische Tätigkeit auf­weise. Hinsichtlich der Hilfsanträge 1 bis 6 habe sie kein Nichtzulassungsermessen unter Artikel 12(4) VOBK 2007. Da aber die Beschwerdeführerin zu diesen Hilfsan­trägen noch nicht vorgetragen habe, enthielt sie sich einer weitergehenden vorläufigen Meinung.

VII. Die Beschwerdegegnerin erwiderte mit Schreiben vom 9. Dezember 2022 auf die vorläufige Meinung der Kammer und legte folgende Druckschriften vor:

K1: Graphische Gegenüberstellung des Anspruchs 1 und der Fig. 2, sowie

Auszüge aus dem schon zitierten "Handbuch der Chip­kar­ten", 5. Auflage, 2008, nämlich

K2: S. 482-483,

K3: S. 658-669,

K4: S. 178-187, und

K5: S. 89-90.

VIII. Die Beschwerdeführerin erwiderte am 15. Dezember 2022 und nahm insbesondere zu den Hilfsanträgen Stellung.

IX. Beide Parteien beantragten jeweils die Vorlage einer Rechtsfrage an die Große Beschwerdekammer.

X. Eine mündliche Verhandlung fand am 18. Januar 2022 statt. Im Zuge dieser Verhandlung beantragte die Be­schwer­deführerin, Dokumente K1 bis K5 nicht zuzulassen, und die Beschwerdegegnerin, die Hilfsanträge zur wei­teren Entscheidung an die Einspruchsabteilung zurückzu­verweisen, da diese in der Sache noch nicht geprüft seien. Ihre jeweiligen Anträge über die Vorlage von Rechtsfragen an die Grosse Beschwerdekammer ließen beide Parteien in der mündlichen Verhandlung fallen.

XI. Die Schlussanträge waren daher wie folgt.

Die Beschwerdeführerin beantragte die Entscheidung aufzuheben und das Patent zu widerrufen. Sie beantragte weiterhin, die Hilfsanträge 1-6 sowie die Dokumente K1 bis K5 nicht zuzulassen.

Die Beschwerdegegnerin beantragte, die Beschwerde zurück­zuweisen oder die Sache zur Entscheidung über die Hilfsanträge 1-6 an die Einspruchsabteilung zurückzuverweisen, oder das Patents auf Grundlage der Hilfsanträge 1-6 aufrechtzuerhalten. Sie beantragte weiterhin die Nichtzulassung der Dokumente E9-E13.

XII. Anspruch 1 des erteilten Patents lautet wie folgt, von der Kammer ergänzt um die Merkmalsgliederung aus der angefochtenen Entscheidung (vgl. dort Seiten 4-5):

"[M1] Verfahren zum Austausch der Betriebssoftware eines ressourcenbeschränkten tragbaren Datenträgers (1) an einem Terminal (2),

[M2] wobei die Betriebssoftware (13) den Betrieb des Datenträger[s] (1) kontrolliert und mindestens eine von dem Datenträger (1) bereitgestellte Funktion ausführt,

[M3] und wobei eine Authentisierung des Terminals (2) gegenüber dem Datenträger (1) durch[ge]führt wird, mit den Schritten:

[M4] - Bereitstellen einer neuen Betriebssoftware (131) in dem Terminal (2),

[M5] - Bereitstellen eines Urladers (14) zum Laden von neuer Betriebssoftware in dem Datenträger (1),

[M6+7]- Bereitstellen eines Terminalzertifikats in dem Terminal (2), das die Berechtigung zur Übertragung eines Ladeschlüssels (501) nachweist,

[M8] - Übertragen (104) des Terminalzertifikats im Rahmen der Authentisierung des Terminals (2) an den Datenträger (1),

[M9] - Prüfung des Terminalzertifikats durch den Datenträger (1),

[M10] - Übertragen eines Ladeschlüssels (501) an den Datenträger (1),

[M11] - Übergabe der Betriebskontrolle des Datenträgers (1) an den Urlader (14),

[M12] - Löschen der Betriebssoftware (13) des Datenträgers (1) durch den Urlader (14),

[M13] - Übertragen der neuen Betriebssoftware (131) unter Verwendung des Ladeschlüssels (501) an den Datenträger (1),

[M14] - Aktivieren der neuen Betriebssoftware (131) durch den Urlader (14),

[M15] - Übergabe der Kontrolle des Datenträgers von dem Urlader (14) an die neue Betriebssoftware (131)."

XIII. Anspruch 1 des Hilfsantrags 1 unterscheidet sich vom erteilten Anspruch 1 durch kleinere editorische Korrek­turen sowie dadurch, dass das kennzeichnende Merkmal aus dem früheren Anspruch 2 hinzugefügt wurde, nämlich,

"... dadurch gekennzeichnet, dass in dem Terminal (2) oder bei einem vertrauenswürdigen Hintergrundsystem des Herausgebers des Datenträgers (1) ein Prüfschlüssel (502) gebildet und in das Terminalzertifikat eingefügt wird."

XIV. Anspruch 1 des Hilfsantrags 2 unterscheidet sich von dem des Hilfsantrags 1 dadurch, dass zusätzlich das folgende Merkmal angefügt wurde:

"... wobei unter Verwendung des durch Einfügen des Prüfschlüssels modifizierten Terminalzertifikats die Terminalauthentisierung durchgeführt wird."

XV. Anspruch 1 des Hilfsantrags 3 unterscheidet sich von dem des Hilfsantrags 2 durch die weitere Ergänzung

"... und das Terminal (2) damit einem Chip (10) des Datenträgers (1) eine Berechtigung zum Zugriff und zur Veränderung von in einer Speicheranordnung (12) des Datenträgers (1) gespeicherter Daten nachweist."

XVI. Anspruch 1 des Hilfsantrags 4 unterscheidet sich von dem des Hilfsantrags 3 durch die weitere Ergänzung

"... wobei das Terminal (2) im Rahmen der Terminalauthentisierung dem Datenträger (1) eine Kette von Zertifikaten, die von den der Betriebssoftware (13) des Datenträgers (1) geprüft wird, sendet."

XVII. Anspruch 1 des Hilfsantrags 5 unterscheidet sich von dem des Hilfsantrags 4 durch die weitere Ergänzung

"... und das letzte Zertifikat der Kette das modifizierte Terminalzertifikat ist."

XVIII. Anspruch 1 des Hilfsantrags 6 unterscheidet sich von dem des Hilfsantrags 5 durch die weitere Ergänzung

"... und der Prüfschlüssel (502) durch Bildung eines MACs über den Code der neuen Betriebssoftware (131) erzeugt wird."

XIX. Am Ende der Verhandlung verkündete der Vorsitzende die Entscheidung der Kammer.

Entscheidungsgründe

Die Erfindung

1. Die Erfindung befasst sich mit sogenannten "ressourcen­beschränkten tragbaren Datenträgern", wie sie etwa in maschinenlesbaren Ausweisen verwendet werden (Absatz [1] und [2]). Mit zunehmender Nutzungsdauer solcher Daten­träger kann es nötig werden, die vorinstallierte Be­triebs­software - sowie die kryptographische Biblio­thek - auszutauschen (vgl. Absätze [5], [35] und [38]). Das Patent befasst sich mit der Aufgabe, diesen Aus­tausch in sicherer Weise durchzuführen.

1.1 Das Patent betont die besonderen Sicherheitsanfor­de­rungen der betrachteten "Datenträger" wegen der ge­spei­cherten personenbezogenen Daten und verweist darauf, dass die vom BSI herausgegebene Richtlinie TR-03110 (vgl. D5) geeignete Mechanismen zur Absiche­rung dieser Daten enthalte (Absatz [2]). An vielen wei­teren Stellen wird auf die Richtlinie Bezug genommen (etwa in den Absätzen [24], [30], [40], [43], und [44]). Die Richt­linie stelle sicher, dass nur berechtigte Ter­minals auf die in einem maschinenlesbaren Ausweis gespeicherten Daten (lesend) zugreifen könnten, gehe aber auf das "Einbringen von Daten", etwa zum Aus­tausch der Be­triebssoftware, nicht ein (Absätze [3] und [4]). Das sei bisher nicht nötig gewesen, weil die ein­schlä­gigen Ausweise eine nur kurze Lebensdauer hätten und damit bei Änderungsbedarf an der Betriebs­soft­ware ein­fach neue Ausweise herausgegeben werden konnten. Mit zu­neh­mender Nutzungsdauer (vgl. Absatz [5]) sei ein solches Vorgehen aber nicht mehr vertret­bar, und es müsse eine Möglichkeit geschaffen werden, die Betriebs­software "im Feld" auszutauschen (vgl. Absätze [9] und [11]).

1.2 Typischerweise hätten die betrachteten Datenträger keine eigene Benutzer­schnittstelle. Daher erfolge der Austausch der Betriebssoftware über ein Terminal (vgl. Merkmal M1).

1.3 Anspruchsgemäß stellt das Terminal, nach Authentisie­rung (M3), die neue Betriebs­software (M4) bereit, da­rü­ber hinaus einen Lade­schlüssel und ein Terminal­zer­ti­fi­kat, das die Berechtigung zur Übertragung des Lade­schlüssels nachweist (M6, M7). Darüber wird ein Urlader für die Betriebssoftware bereitgestellt (M5).

1.4 Der Austausch erfolgt, nach Übertragung des Terminal­zer­tifikats an (M8) und seine Prüfung durch den Daten­träger (M9), sowie nach Übertragung des Ladeschlüssels (M10), unter Kontrolle des Urladers (M11). Dieser löscht die alte Betriebssoftware vom Datenträger (M12), überträgt die neue Betriebssoftware "unter Verwendung des Lade­schlüssels" (M13), aktiviert sie (M14) und überträgt anschließend die Kontrolle an die neue Betriebssoftware (M15).

Anspruchsauslegung

2. Eine wesentliche Uneinigkeit zwischen den Parteien besteht darin, wie der Wortlaut der Ansprüche auszu­legen ist. Was Anspruch 1 des erteilten Patents betrifft, geht es dabei vor allem um die Begriffe des ressourcenbeschränkten, tragbaren Datenträgers, des Terminalzertifikats und des Ladeschlüssels, sowie ihre jeweilige anspruchsgemäße Verwendung.

2.1 Die Beschwerdegegnerin betont das Erfordernis, die Ansprüche im Lichte der Beschreibung auszulegen, und meint, die Auslegung der Ansprüche müssten sich an dem in der Patentschrift betonten Szenario einer als not­wendig erkannten Ergänzung der Richtlinie TR-03110 rich­ten. Insbesondere seien die beanspruchten Daten­träger als maschinenlesbare Ausweisdokumente zu ver­stehen, auf die sich die Richtlinie TR-03110 bezieht, das zwischen Terminal und "Datenträger" ablau­fende Protokoll sei ein in TR-03110 definiertes (vgl. Absatz [40]), das beanspruchte Terminalzertifikat sei als eines auszulegen, das überwiegend dem in der Richt­linie beschriebenen entspreche, aber erfindungsgemäß modi­fi­ziert sei (vgl. Absatz [35]), und der beanspruch­te Austausch der Betriebssoftware müsse "im Feld" sicher durchzuführen sein.

2.2 Die Kammer stimmt der Beschwerdegegnerin darin zu, dass Ansprüche grundsätzlich im Lichte der Beschreibung auszulegen sind (vgl. bspw. T 1817/14, Gründe 7.3, T 3097/19, Gründe 29, sowie T 1473/19, Gründe 3.3). Gleichzeitig aber folgt sie der Rechtsprechung, dergemäß eine Auslegung "im Lichte der Beschreibung" in der Regel nicht dazu führen kann, beschränkende Merkmale in einen im Übrigen eindeutigen und technisch sinnvollen Anspruchswortlaut "hineinzulesen". Die Entscheidung T 1473/19 spricht hier vom "Anspruchs-primat" ("primacy of the claims", vgl. Gründe 3.16.1).

2.3 Der Wortlaut des Anspruchs 1 aller Anträge verweist jedenfalls aus­drücklich weder auf maschinenlesbare Ausweise, noch auf einen Austausch "im Feld" oder die Richtlinie TR-03110. Weder aus der Verwendung des Begriffs "Termi­nalzertifikats" noch dem beanspruchten Austausch"pro­tokoll" folgt, dass der Fachmann den Anspruchswortlaut quasi "richtlinienkonform" auslegen muss. Das ist kon­sistent mit dem Umstand, dass die Pa­tentschrift selbst die TR-03110 an den meisten Stellen als nur optional offenbart (vgl. Absatz [11], "wenn die in der TR-03110 beschriebenen Mechanismen genutzt wer­den"; Absatz [30], "Zweckmäßig können [...] die in der TR-03110 beschrie­benen Protokolle ausgeführt werden. [...] Alternativ [...] können andere Protokolle [..] durchgeführt werden"; Absatz [40], "kann zweck­mäßig unter Verwendung des PACE-ProtOkolls gemäß der TR-03110 erfolgen"; Absatz [43], "etwa gemäß der TR-03110"; Absatz [44], "Zweckmäßig [...] gemäß der TR-03110").

3. Die Kammer stimmt der Beschwerdeführerin darin zu, dass der beanspruchte Datenträger nicht dadurch besonders charakterisiert ­ist, dass er "ressourcenbeschränkt" ist, weil das - im allgemeinen - immer der Fall ist. Insbesondere ist der beanspruchte Datenträger nicht zwingend ein maschinenlesbarer elektronischer Ausweis, wie die Pa­tent­schrift übrigens ausdrücklich festhält (Absatz [19]). Ebenso geht das Merkmal M2 nicht darüber hinaus, was der Fachmann ohnehin unter einer "Betriebs­software" verstehen würde.

4. Die Kammer ist der Ansicht, dass der Fachmann, an den sich der Wortlaut der Ansprüche und die Beschreibung richtet (vgl. insbesondere "Terminalzertifikat" und "Ladeschlüssel" in Anspruch 1, aber auch abhängige An­sprüche 3, 4, und 8; siehe auch Absatz [2]; sowie die TR-03110 selbst, siehe D5, Abschnitt 3.1), ein Ver­ständnis von Ver­schlüsse­lungsverfahren mitbringen muss, das symmetrische und asymmetrische Verschlüsselung, PKI (Public-Key Infra­struktur) und die Verwendung digitaler Zertifikate umfasst. Die Kammer meint weiter, dass die­ses allge­meine Fach­wissen nicht im Einzelnen druck­schrift­lich belegt werden muss, wäre aber auch geneigt gewe­sen, die für den Nachweis vorge­legten Druck­schriften E9 bis E13 als (insofern) sehr relevant ins Verfahren zuzulassen. Da aller­dings die Beschwerde­gegnerin konkrete Annahmen über das allgemeine Fach­wissen je­denfalls grundsätz­lich nicht bestritten hat (vgl. Be­schwerdeer­widerung, Seite 11, vorletzter Absatz), kann diese Frage dahinstehen.

4.1 Unter einem "Zertifikat" wird der Fachmann ty­pi­scher­weise eines verstehen, wie es in einer Public-Key-Infrastruktur (PKI) verwendet wird. Diese Auslegung mag nicht zwingend sein, sie ist aber wenigstens möglich und technisch sinnvoll und ein grundsätzlich anderes Verständnis dieses Begriffs wurde nicht vorgetra­gen.

4.1.1 Der Fachmann weiß, wie ein solches Zertifikat typi­scher­weise aufgebaut ist: In der Regel handelt es sich um ein digitales Dokument, das von einer ver­trauens­würdigen Stelle mit ihrem privatem Schlüssel elek­tro­nisch signiert ist. Das notwendige Vertrauen in die Authentizität des Zertifikats ist dadurch begründet, dass das Zertifikat mit dem öffentlichen Schlüssel der ausgebenden Stelle entschlüsselt werden kann. Es ist ebenfalls fachüblich, dass ein Zertifikat einen öffent­lichen Schlüssel des zertifizierten Akteurs, hier des Terminals, enthält (vgl. bspw. D5, Abschnitt 3.4.1). Auf diese Weise begründet die als vertrauenswürdig bekannte, zertifi­zierende Stelle das Vertrauen in die verschlüsselte Kommunikation mit dem zertifizierten Akteur ("chain of trust"). Die Kammer merkt ausdrück­lich an, dass sie das Konzept der PKI-Infrastruktur dem allgemeinen Fachwissen zurechnet, obwohl es durch eine ganze Anzahl komplexer Einzelelemente definiert ist.

4.1.2 Unter einem "Terminalzertifikat" würde der Fachmann ein Zertifikat, das ein Terminal zertifiziert, verstehen. Anspruchsgemäß soll es "die Berech­ti­gung zur Über­tra­gung eines Ladeschlüssels nachweis[en]".

4.1.3 Dieses Recht sowie der Begriff der "Übertragung" sind auslegungsbedürftig, da ein Terminal einen Lade­schlüssel immer senden - und damit in einem einfachen Sinne übertragen - kann. Die Formulierung in Absatz [24] des Patents klärt diese Frage nicht abschließend. Tatsächlich geht es in der Patentschrift jedoch nicht um die Über­tragung des Ladeschlüssels im engeren Sinne, sondern um seine Verwendung im Zuge des Schreibens auf den Daten­träger.

4.1.4 Ungeachtet dessen wird der weite­re Inhalt des Zertifi­kats nicht bestimmt durch die Festlegung, dass es ein bestimmtes Recht einräumt. Grundsätzlich tritt die Wir­kung eines Zertifikats erst auf Empfängerseite ein und abhängig davon, welches Vertrauen der Empfänger dem Zer­tifikat beimisst. Es ist beispielsweise möglich, dass ein gegebenes Zertifikat von einem Empfänger ak­zep­tiert und von einem anderen ignoriert wird, weil nur einer der signierenden Stelle vertraut. Ebenso ist es denkbar, dass das Zertifi­kat nur nachweist, dass das Terminal vertrauenswürdig ist, und der Daten­träger alle weite­ren, speziellen Be­rechtigungen des Terminals aus dieser allgemeinen Ein­schätzung ableitet. Die bean­spruch­te Prüfung des Zer­tifi­kats stellt sicher, dass das Zertifikat die notwen­digen Operationen erlaubt. Wie im Einzelnen die Erlaubnis im Zertifikat kodiert ist, legt der Anspruch nicht fest.

4.2 Die Übertragung der neuen Betriebssoftware erfolgt an­spruchsgemäß "unter Verwendung" eines Ladeschlüssels, der zuvor an den Datenträger übertragen wird (M10, M13). Wenn auch die spezifische Verwendung des Lade­schlüssels nicht ausdrücklich beansprucht wird, wie die Beschwerdeführerin richtig feststellt, ist die Kammer der Ansicht, dass der Fachmann eine kryptographisch gesicherte Übertragung annehmen würde, wobei also die übertragene Betriebssoftware mit dem Ladeschlüssel verschlüsselt oder digital signiert wäre. Dabei bleibt offen, ob es sich um eine symmetrische oder asymme­trische Verschlüsselung handelt. Beide sind denkbar, technisch sinnvoll und im Übrigen wohlbekannt.

4.3 Schließlich merkt die Kammer an, dass der Anspruchs­wortlaut nicht ausdrücklich verlangt, dass die Eignung des bereitgestellten Zertifikats geprüft, oder dass, sollte diese Prüfung scheitern, das Verfahren (an geeigneter Stelle) abgebrochen würde. Aber die Kammer ist der Ansicht, dass der genannte Fachmann den Anspruchs­wortlaut so verstehen würde.

Erfinderische Tätigkeit, Hauptantrag, Patent wie erteilt

5. Das Dokument E1 betrachtet in Abschnitt 13.5.1 Chip­karten-Mikrocontroller, die ausschließlich einen (mehrfach beschreibbaren) Flashspeicher aufweisen. Bei solchen sei es nötig, nach Her­stellung die Betriebs­soft­ware von einem "Terminal" auf den Chip zu laden. Dazu würde ein "Urlader" ver­wendet werden, der die Betriebs­software in den Flashspeicher lädt. E1 offen­bart dort auch die Notwendigkeit einer "Authenti­sie­rung" zwischen Chipkarte und Terminal.

5.1 Wie die Beschwerdegegnerin betont, wird Abschnitt 13.5.1 im Zusammenhang mit der "Komplettierung des Betriebssystems" offenbart (Abschnitt 13.5), also der "Initialisierung" einer Chipkarte während der Her­stellung mit der notwendigen Software. Eine solche Ini­tialisierung in der sicheren Umgebung des Her­stellers sei grundsätzlich verschieden von einem Softwareaus­tausch im unsicheren "Feld". Daher sei E1 ein ungeeig­neter (sogar "abwegiger") Ausgangspunkt zur Bewertung der erfinderischen Tätigkeit der vorliegenden Ansprüche (vgl. Schreiben vom 9. Dezember 2022, Seite 27).

5.2 Die Kammer ist jedoch der Ansicht, dass die erfin­derische Tätigkeit grundsätzlich ausgehend von jedem Dokument betrachtet werden kann (vgl. T 1742/12, Gründe 9), und erinnert im Übrigen daran, dass der Anspruchswortlaut die Umgebung des Austauschs, ihre Sicherheit und die zu beachtenden Sicherheitsanforde­rungen unbe­stimmt lässt. Weder schließt er aus, dass auch der Austausch in der sicheren Umgebung eines Herstellers erfolgt, noch dass ein möglicher Grad an Unsicherheit untolerierbar wäre.

5.3 Die Kammer geht bei ihrer Analyse daher von E1 aus.

6. E1 bezieht sich auf die Erstausstattung einer Chip­karte mit der nötigen Betriebssoftware, nicht aber auf einen späteren Austausch (vgl. Merkmal M1) und die Notwendig­keit, eine schon vorliegende Betriebssoftware im Zuge der Übertra­gung zu löschen (vgl. Merkmal M12). Darüber hinaus offen­bart E1 keine Details der Authentisierung zwischen Chipkarte und Terminal, kein Terminal­zerti­fi­kat, das übertragen und überprüft würde, und keinen Lade­schlüssel, der selbst übertragen und dann bei der Übertragung der Betriebssoftware verwendet würde. E1 offenbart somit auch die Merkmale M6 bis M10 und M13 nicht.

6.1 Diese Unterschiede lösen nach Ansicht der Kammer zwei Aufgaben. Zum einen ermöglichen sie es, dass eine neue Betriebssoftware zum Einsatz gebracht werden kann, und zum anderen steigern sie die Sicherheit beim Einbringen der Betriebssoftware in den Datenträger.

6.1.1 Die Kammer kann nicht erkennen, dass der Fachmann einen ausdrücklichen Anlass bräuchte, um sich diesen Aufgaben zu widmen. Neue Versionen einer Betriebssoftware werden aus unterschiedlichen, wohlbekannten Gründen fällig, und der Fachmann braucht keinen ausdrücklichen Hinweis, um einen Gegenstand in einer bekannten Dimension (hier Sicherheit) verbessern zu wollen.

6.1.2 Eine Synergie zwischen beiden Wirkungen kann die Kammer auch nicht erkennen. Eine Austausch der Betriebs­soft­ware kann ebenso unter den Sicherheitsbedingungen der E1 erfolgen - wenn beispielsweise der Datenträger zum Austausch an den Hersteller zurückgeschickt wird - wie auch die Sicherheit für die Erstausstattung des Daten­trägers gemäß E1 gesteigert werden kann.

6.1.3 Einen Antrag der Beschwerdegegnerin, den Vortrag zweier Teilaufgaben als verspätet nicht zuzulassen, hat die Kammer verworfen, insbesondere weil die zugrunde­lie­gende Überlegung, wenn auch nicht in diesen Worten, schon (wenigstens) in ihrer vorläufigen Meinung enthal­ten war.

6.2 Die Kammer ist der Ansicht, dass es grundsätzlich nahe­liegend ist, eine neue Betriebssoftware durch Aus­tausch auf eines alten Datenträgers in Verkehr zu bringen und einen Austausch des Datenträgers selbst nicht zu verlangen. Auch meint sie, dass der Fachmann ein Verfahren, dass zur Initialisierung der Chipkarte mit Betriebssoftware bekannt ist, ohne Weiteres auch für einen Austauschvorgang in Betracht ziehen würde.

6.2.1 Dass beides, wie die Beschwerdegegnerin vorträgt, (ins­besondere im Zusammenhang mit der TR-03110) nicht üb­lich oder nicht erlaubt gewesen sei, wird nicht be­stritten, steht dem aber auch nicht entgegen. Wenn ein Austausch der Betriebssoftware gewünscht ist und er sicher nur im Herstellerumfeld geschehen kann, gibt es kein technisches Hindernis, den betreffenden Daten­träger etwa einzuschicken und den Austausch ebendort vorzunehmen. Praktische oder finan­zielle Gründe, die dagegen sprechen könnten, sind bei der technischen Bewertung des Sachverhalts unerheblich.

6.2.2 Dass bei einem Austausch der Betriebssoftware der Spei­cher­bereich auf der Chipkarte noch durch Löschen einer alten Betriebssoftware bereinigt wird, ist unmittelbar naheliegend. Es ist daher nicht einmal relevant, dass (oder ob) bei Flash-Speicher - der in E1 erwähnt ist, aber auf den der Anspruchswortlaut nicht beschränkt ist - jedem Überschreiben ein Löschen zwingend vorausgeht.

6.3 E1 erwähnt eine Authentisierung, führt diese aber nicht weiter aus.

6.3.1 Die Beschwerdegegnerin verweist darauf, dass im Hand­buch, dem E1 entnommen ist, als konkrete Form der Au­then­­­tisierung ein Challenge/Response-Verfahren offen­bart ist (vgl. K4, Abschnitte 7.4 und 7.4.2), das insbesondere keine Zertifikate verwendet, und dass der Fachmann keinen Anlass hätte, dieses Verfahren zu ersetzen. Es sei festgestellt, dass die Kammer K4 als sehr relevant ins Verfahren zulässt.

6.3.2 Die Kammer stellt jedoch fest, dass in der K4 ausdrück­lich andere Authentisierungsverfahren erwähnt sind, darunter asymmetrische, also auf RSA oder ähnlichen Algorithmen aufbauende, die "zur Zeit" aus Geschwin­digkeitsgründen "noch" nicht verwendet würden, aber deren größere Rele­vanz in Zukunft "absehbar" sei (vgl. K4, Seite 180, Absatz 1). E1 und K4 stehen also nicht nur einer alter­na­tiven Authentisierung nicht im Wege, sondern sie weisen den Fachmann ausdrücklich auf eine solche Möglichkeit hin.

6.3.3 Die Kammer ist der Meinung, dass zum Prioritätszeit­punkt des Patents die Bereitstellung eines digital sig­nierten "Zerti­fikats" durch das Terminal zur Überprü­fung durch die Chipkarte als fachübliche Umsetzung ei­ner Authentisierung gelten muss. Auch für naheliegend hält die Kammer in dieser Hinsicht das Absichern eines Zertifikats mittels einer PKI, selbst wenn ihr Einsatz eine Reihe teilweise komplexer Einzelmaßnahmen umfasst.

6.3.4 Die Authentisierung nach E1 stellt ein "Vertrauen" zwischen Chipkarte und Terminal her, auf dessen Grund­lage die weitere Kommunikation zwischen beiden beruht. Insbesondere kann die Chipkarte darauf vertrauen, dass die vorgesehene Betriebssoftware von einem vertrauens­würdigen Terminal stammt.

6.3.5 Es ist, wie oben ausgeführt, nicht nötig, dass die Authentisierung nach E1 Berechti­gung für notwendige Einzeloperationen separat erlaubt.

6.3.6 Gleichzeitig legt, wie ebenfalls oben erläutert, An­spruch 1 nicht fest, wie im Einzelnen das Terminal­zertifikat die be­hauptete Be­rech­tigung zur Übertragung eines Lade­schlüssels nach­weist. Der Anspruchswortlaut umfasst die Möglichkeit, dass das Terminal­zerti­fikat das Terminal "als Ganzes" authentisiert, und der Daten­träger dieser Authentisierung die Berechtigung zur Übertragung eines Ladeschlüssels nur implizit entnimmt. Aus dieser Perspektive sind die Merkmale M6 und M7, soweit sie das Terminalzertifikat überhaupt einschrän­ken, gegenüber E1 nahegelegt.

6.3.7 Der Fachmann, der von E1 ausgeht und dafür sorgen möch­te, dass die Chipkarte darauf vertrauen kann, dass die bereitgestellte Betriebssoftware tatsächlich vom Ter­minal stammt, würde die Betriebssoftware durch das Ter­minal digital signieren lassen. Es wäre zu diesem Zweck der Chipkarte einen öffentlichen Schlüssels des Ter­minals zur Verfügung stellen, was üblicherweise mittels eines Zertifikats geschieht. Dieses Zertifikat und dieser öffentliche Schlüssel entsprechen dem "Terminal­zertifikat" bzw. dem "Ladeschlüssel" gemäß Anspruch 1.

7. Zusammenfassend stimmt die Kammer der Beschwer­de­füh­re­rin darin zu, dass Anspruch 1 des Patents (Haupt­antrag) gegenüber E1 und dem allgemeinen Fach­wissen nicht erfin­derisch ist.

Zulassung der Hilfsanträge

8. Die Beschwerdeführerin ist der Ansicht, dass die Hilfs­anträge mangels Substantiierung nicht zuzulassen seien und stützt sich in dieser Hinsicht insbesondere auf die Entscheidung T 319/18 der Beschwerdekammern. Im dort zugrundeliegenden Fall (vgl. Entscheidungs­grün­de 2 ff.) hatte die Patentinhaberin mit der Beschwerde­er­widerung einen Hilfsantrag wieder vorgelegt, der schon der Ein­spruchsabteilung vorgelegen, über deren Zulassung die Einspruchsabtei­lung aber nicht zu entscheiden hatte, da schon ein höherrangiger Antrag Erfolg hatte. Die Kammer in T 319/19 war der Meinung, dass allein die Tatsache, dass der Hilfsantrag schon im Einspruchsverfahren "for­mal eingereicht" worden sei, diesen nicht automatisch zum Teil der Beschwerdesache macht, da die Einspruchs­abteilung über ihre Zulassung noch nicht entschieden habe (vgl. Gründe 2.2, Über­setzung durch die Kammer). Es wird zudem die Ent­scheidung T 1732/10, Gründe 1.5, als Beleg dafür ange­führt, es sei ständige Rechtspre­chung der Beschwerde­kammern, dass Anträge, die nicht selbsterklärend sei­en, erst mit ihrer Substantiierung wirksam gestellt ("effective") seien. T 1732/10 (vgl. Gründe 1.5) enthält diese Feststellung tatsächlich, wenn auch qualifiziert durch ein "normalerweise".

9. Nach Artikel 12(4) VOBK 2007, der nach Artikel 25(2) VOBK 2020 hier anzuwenden ist, wird das gesamte Vor­bringen der Beteiligten nach Artikel 12(1) VOBK 2007 von der Kammer berücksichtigt, wenn und soweit es sich auf die Beschwerdesache bezieht und die Erfordernisse nach Artikel 12(2) VOBK 2007 erfüllt. Eine Ausnahme von dieser Regel besteht nur für Vorbringen, das be­reits im erstinstanzlichen Verfahren hätte vorgebracht werden können oder dort nicht zugelassen worden ist.

9.1 Die Hilfsanträge 1-6 wurden in Vorbe­rei­tung auf die münd­li­che Verhandlung vor der Ein­spruchs­abteilung frist­­­ge­recht vorgelegt (insbes. vor Ablauf der Frist nach Regel 116(2) EPÜ), und zwar "rein vorsorg­lich [...], falls die Einspruchsabteilung von ihrer vor­läufigen Meinung abweich[en]" sollte (ibid.) und ohne inhaltliche Dis­kussion. Die Kammer ist der An­sicht, dass die Anträge damit "wirksam" gestellt sind und kann nicht erkennen, dass dafür ein weiteres Be­gründungser­for­dernis besteht. Die erstgenannte Ausnahme nach Artikel 12(4) VOBK 2007 ist damit nicht einschlä­gig.

9.2 Eine Nichtzulassungsentscheidung der Einspruchsab­tei­lung ist nicht erfolgt. Damit ist auch die zweitge­nannte Ausnahme nach Artikel 12(4) VOBK 2007 nicht einschlägig. Es ist nach Ansicht der Kammer für diesen Schluss nicht erforderlich, wie die T 319/18 impli­ziert, dass die Einspruchsabteilung überhaupt schon über die Zulassung entschieden hat.

9.3 Es bleibt die Frage, ob sich die Hilfsanträge "auf die Beschwerdesache bezieh[en] und die Erfordernisse nach" Artikel 12(2) VOBK 2007 erfüllen.

9.3.1 Ein zentraler Aspekt der "Beschwerdesache" ist es sicher, ob "die angefochtene Entscheidung aufzuheben, abzuändern oder zu bestätigen" ist (vgl. Artikel 12(2) VOBK 2007). Darüber hinaus ist aber dem Artikel 12 VOBK 2007 nichts Konkretes zu diesem Begriff zu entnehmen. Sache der Beschwerdegegnerin ist vorliegend, die Ent­schei­dung zu bestätigen, hilfsweise auf Grundlage der Hilfsanträge 1-6 abzuändern. Die Hilfsanträge 1-6 sind somit nach Überzeugung der Kammer zweifelsfrei Teil der "Beschwerdesache" gemäß VOBK 2007.

9.3.2 Die "Erfordernisse nach" Artikel 12(2) VOBK 2007 um­fassen, dass in der Beschwerdebegründung und Erwiderung "deutlich und knapp an[zu]geben" ist, "aus welchen Gründen die Entscheidung aufzuheben, abzuändern oder zu bestätigen ist" und dass "spezifisch alle Tatsachen, Argumente und Beweismittel angeführt werden sollen". Die Beschwerdegegnerin erläutert in der Beschwerde­er­widerung ausführlich, warum die Entschei­dung, das Patent wie erteilt aufrechtzuerhalten, zu bestätigen ist, und führt spezifisch alle Tatsachen, Argumente und Beweismittel auf. Ihr Vortrag bezieht sich, wie die Beschwerde selbst, ausschließlich auf den Einspruchs­grund nach Artikel 100(a) und 56 EPÜ. Es ist daher unmittelbar ersichtlich, dass sie den Gegenstand der Hilfsanträge 1-6 wie den des Patents - und umso mehr - für nicht naheliegend hält, auch wenn weitergehende Gründe dafür in der Beschwerdeerwiderung nicht vorge­tra­gen wurden. Es kann nach Ansicht der Kammer nicht Gegenstand der Zulassungsprüfung nach Artikel 12(4) i.V.m. (2) VOBK 2007 sein, ob die vorgebrachten Gründe, Tatsachen, Argumente und Beweismittel in der Sache Erfolg haben, oder ob ein Antrag "selbsterklärend" ist. Das muss in aller Regel der sachlichen Prüfung vorbe­halten bleiben. Die Kammer hält damit das - als schwach verstandene - Begrün­dungs­er­for­dernis des Artikels 12(2) VOBK 2007 für erfüllt.

9.4 Zusammenfassend liegt somit ein Nicht­zu­lassungs­grund nach Artikel 12(4) VOBK 2007 nicht vor.

9.5 Der Vollständigkeit halber merkt die Kammer an, dass ihr dennoch unter Artikel 114(2) EPÜ ein Nichtzu­lassungs­ermessen für verspätete Tatsachen und Beweis­mittel bleibt, die hinsichtlich dieser Hilfs­anträge vorgebracht werden. Im vorliegenden Verfahren ist nur ein solcher Nichtzulassungsantrag ausdrücklich erfolgt, den die Kammer allerdings verworfen hat (siehe unten).

Zurückverweisung

10. Die Beschwerdegegnerin beantragte die Zurückverweisung der Sache zur weiteren Entscheidung über die Hilfs­anträge 1-6, da diese vor der Einspruchsabteilung noch nicht zur Sprache gekommen seien.

10.1 Eine Zurückverweisung nach Artikel 111(1) EPÜ ist nur dann sachdienlich, wenn nach Einschätzung der Kammer wenigstens die Möglichkeit besteht, dass die vorgeleg­ten Änderungen die Erfordernisse des EPÜ erfüllen. Das ist hier nicht der Fall.

10.2 Die Beschwerdegegnerin betont, dass die Kammer von der Einschätzung der nach Zurückverweisung zuständigen Einspruchsabteilung abweichen könnte, wie der vor­lie­gende Fall deutlich macht.

10.3 Es verkennt allerdings die Rolle der Beschwerdekammern, vorzuschlagen, dass die Kammer ihre sachliche Beurtei­lung hinter eine möglicherweise großzügigere - oder grundsätzlich nur andere - Beurteilung der Einspruchs­abteilung zurückstellen solle. Außerdem widerspricht ein solches Vorgehen der Präferenz gemäß Artikel 11 VOBK 2020.

10.4 Die Kammer hat daher in der mündlichen Verhandlung nach eingehender Diskussion mit der Beschwerdegegnerin über die Erfolgsaussichten der Hilfsanträge 1-6 entschieden, dem Antrag auf Zurückverweisung nicht stattzugeben, sondern nach Artikel 111(1) EPÜ im Rahmen der Zuständig­keit der Einspruchsabteilung zu entscheiden.

Erfinderische Tätigkeit, Hilfsanträge 1-6

11. Gemäß Hilfsantrag 1 wird ein "Prüfschlüssel" gebildet und in das Terminalzertifikat eingefügt. Das Verfahren nach Anspruch 1 erwähnt die Verwendung eines Prüf­schlüssels nicht ausdrücklich, impliziert eine solche Verwendung aber auch nicht anderweitig. Anspruch 1 des Hilfsantrags unterscheidet sich daher von Anspruch 1 des Patents dadurch, dass das verwendete Terminal­zerti­fikat um ein nicht verwendetes Element ergänzt wurde. Diesem Unterschied kommt im beanspruchten Ver­fahren keine technische Wirkung zu, so dass er nicht zur erfinderischen Tätigkeit beitragen kann.

12. Gleiches gilt für Anspruch 1 des Hilfsantrags 2. Die Terminalauthentisierung entspricht in Anspruch 1 der Prüfung des Terminalzertifikats. Diese Prüfung wird nicht erkennbar dadurch verändert, dass mit dem Prüf­schlüssel ein zusätzliches Element in das Zertifikat eingefügt wird. Auch Anspruch 1 des Hilfsantrags 2 fehlt es somit an erfinderischer Tätigkeit.

13. Anspruch 1 des Hilfsantrags 3 formuliert das durch das Terminalzertifikat nachgewiesene Recht ausführlicher. Wie oben erläutert, ergibt sich jedoch die Wirkung eines solchen Rechts erst dann, wenn - und abhängig davon wie - es empfängerseitig verwendet wird. Da am beanspruchten Verfahren keine Änderungen vorgenommen wurden, steht das hinzugefügte Merkmal einer breiten Auslegung wie oben dargestellt nicht entgegen.

14. Anspruch 1 des Hilfsantrags 4 formuliert, dass die Betriebssoftware eine Kette von Zertifikate prüft, und der des Hilfsantrags 5, dass das (modifizierte) Ter­mi­nal­zertifikat das letzte in dieser Kette ist. Dass die Prüfung des Terminalzertifikats durch die (nicht weiter spezifizierte) Betriebssoftware des Datenträgers erfolgt, ist unmittelbar naheliegend. Dass weiter die Vertrauenswürdigkeit eines Zertifikats entlang einer Kette von weiteren Zertifikaten führt, die schließlich zu einer vertrauenswürdigen Zertifizierungsstelle führt, ist ein bekanntes Merkmal einer Public-Key-Infra­struktur. Da PKI schon bei der Analyse des Haupt­antrags dem allgemeinen Fachwissen zugerechnet wurde, tragen die neuen Merkmale nichts weiter zur erfinde­rischen Tätigkeit bei.

15. Anspruch 1 des Hilfsantrags 6 fügt das Merkmal hinzu, dass der Prüfschlüssel aus der Betriebssoftware ge­bil­det wird. Zunächst ist festzustellen, dass weiterhin keine Verwendung des Prüfschlüssels ausdrücklich bean­sprucht ist.

15.1 Die Beschwerdegegnerin war der Meinung, dass der Fach­mann aus dem Begriff des "Prüfschlüssels" und der Art seiner Bestimmung seine bestimmungsgemäße Verwendung erkennen würde und dass die Wirkung einer solchen Verwendung dem Anspruchsgegenstand zuzuschreiben sei.

15.2 Die Kammer hat daher untersucht, ob der in spezi­fi­scher Weise gebildete Schlüssel eine technische Wirkung wenigstens eindeutig ermöglicht, die dann, wenn sie dem Schlüssel zugeschrieben werden könnte, eine erfinde­rische Tätigkeit stützen könnte.

15.3 Der Fachmann würde dem Wortlaut des Anspruchs entneh­men, dass der Prüfschlüssel aus der unverschlüsselten Betriebssoftware abgeleitet wird. Ein solcher Prüf­schlüssel kann, so würde der Fachmann verstehen, bei­spiels­weise dazu verwendet werden, um sicherzustellen, dass die Betriebssoftware während der Übertragung nicht verändert wurde. Je nachdem, welches Verfahren beim "Übertragen der neuen Betriebssoftware unter Verwendung des Ladeschlüssels" eingesetzt würde, ließe sich aber eine Veränderung bei Übertragung schon bei Entschlüsse­lung feststellen. Die Sicherheitsrelevanz des Prüf­schlüssels im Kontext des vorliegenden Anspruchs ist somit unklar. Der Fachmann würde zur wei­te­ren Klärung dieser Frage die Beschreibung heranziehen. Diese offen­bart in den Absätzen [51] und [52], dass das Abbild des neuen Betriebssystems mit dem Prüfschlüssel geprüft wird, bevor es mit dem Ladeschlüssel entschlüsselt wird. Dementsprechend müsste der Prüfschlüssel aus dem schon verschlüsselten Betriebssystem abgeleitet werden, was dem offenbaren Wortlaut des Anspruchs widerspricht. Insgesamt kommt die Kammer daher zum Ergebnis, dass die Verwendung des Prüfschlüssels weder beansprucht noch durch den Anspruchswortlaut eindeutig impliziert ist, und dass ihre Wirkung aufgrund des breiten Anspruchs­wort­lauts und eines Widerspruchs zwischen Anspruchs­wort­laut und Beschreibung nicht deutlich genug festge­stellt werden kann, dass sie dem Prüfschlüssel alleine zugeschrieben werden könnte. Das neue Merkmal kann also eine erfinderische Tätigkeit ebenfalls nicht begründen.

16. Insgesamt kommt die Kammer zum Ergebnis, dass der Einspruchsgrund unter Artikel 100(a) i.V.m. Artikel 56 EPÜ der Aufrechterhaltung des Patents wie erteilt ebenso wie in geänderter Form entgegen steht, Artikel 101(2) und (3)b). Das Patent ist daher zu widerrufen.

Entscheidungsformel

Aus diesen Gründen wird entschieden:

1. Die angefochtene Entscheidung wird aufgehoben.

2. Das europäische Patent wird widerrufen.