T 1164/98 (Datenträger-gesteuertes Endgerät in einem Datenaustauschsystem/SPA … of 28.11.2002

European Case Law Identifier: ECLI:EP:BA:2002:T116498.20021128
Datum der Entscheidung: 28 November 2002
Aktenzeichen: T 1164/98
Anmeldenummer: 89112745.8
IPC-Klasse: G07F 7/10
Verfahrenssprache: DE
Verteilung: C
Download und weitere Informationen:
Text der Entscheidung in DE (PDF, 45 KB)
Alle Dokumente zum Beschwerdeverfahren finden Sie im Register
Bibliografische Daten verfügbar in: DE
Fassungen: Unpublished
Bezeichnung der Anmeldung: Datenträger-gesteuertes Endgerät in einem Datenaustauschsystem
Name des Anmelders: SPA Syspatronic AG
Name des Einsprechenden: GIESECKE & DEVRIENT GmbH
Kammer: 3.4.01
Leitsatz: -
Relevante Rechtsnormen:
European Patent Convention 1973 Art 56
Schlagwörter: Erfinderische Tätigkeit (verneint für Hauptantrag und Hilfsanträge)
Orientierungssatz:

-

Angeführte Entscheidungen:
-
Anführungen in anderen Entscheidungen:
-

Sachverhalt und Anträge

I. Die Beschwerdeführerin (Patentinhaberin) hat ihre am 15. Dezember 1998 unter gleichzeitiger Bezahlung der Beschwerdegebühr eingelegte Beschwerde gegen die am 26. Oktober 1998 zur Post gegebene Entscheidung der Einspruchsabteilung gerichtet, mit der das Patent widerrufen wurde. Die Beschwerdebegründung wurde am 5. März 1999 eingereicht.

II. Der Einspruch stützte sich auf den Grund des Artikels 100 a) EPÜ, wobei unter Bezugnahme unter anderem auf das Dokument:

D2: WO-A-88/01818

die erfinderische Tätigkeit (Artikel 52 (1) und 56 EPÜ) angegriffen wurde.

III. Die Parteien wurden auf ihren Antrag zu einer mündlichen Verhandlung geladen, welche am 28. November 2002 stattfand.

IV. Die Beschwerdeführerin beantragte die Aufhebung der angefochtenen Entscheidung und die Aufrechterhaltung Patents in geänderter Fassung auf der Basis von:

Patentansprüchen 1 bis 8 eingereicht am 5. März 1999, Seiten 2 bis 4 der Patentschrift, und Figuren 1 bis 3 der Patentschrift (Hauptantrag).

Hilfsweise beantragte sie die Aufrechterhaltung des Patents mit:

Patentansprüchen 1 bis 6, eingereicht am 25. Oktober 2002 als 1. Hilfsantrag,

Patentansprüchen 1 bis 6, eingereicht am 25. Oktober 2002 als 2. Hilfsantrag, oder

Patentansprüchen 1 bis 5, eingereicht in der mündlichen Verhandlung am 28. November 2002 als 3. Hilfsantrag.

V. Die Beschwerdegegnerin (Einsprechende) beantragte die Zurückweisung der Beschwerde.

VI. Der Anspruch 1 des Hauptantrags lautet wie folgt:

"1. Durch tragbare Datenträger gesteuertes Endgerät (10) in einem Datenaustauschsystem, mit mindestens einer Dateneingabeeinheit (5) und mehreren Verbindungseinheiten (3, 6, 7) für den Anschluß austauschbarer Benützer-Datenträger (4) sowie weiterer austauschbarer Datenträger, die als Mikroprozessor-bestücktes Steuerungsmodul (8, 9) ausgebildet sind und Schaltungsmittel (25) zur gesicherten Durchführung von Identitäts- und Authentizitätsprüfungen enthalten, dadurch gekennzeichnet, dass

sämtliche sicherheitsrelevanten Schaltungsteile und geheimen Speicherinhalte zur Durchführung der genannten Prüfungen in mindestens einem der weiteren austauschbaren Steuerungsmodule (8, 9) untergebracht sind, wobei in Verbindung mit einem Steuer- und Rechenwerk (25) im mindestens einen Steuerungsmodul (8, 9) mechanisch sowie kryptographisch gegen unautorisiertes Auslesen geschützte Speicherbereiche (26, 27, 28) [vorhanden sind] für die Aufnahme der geheimen Prüfschlüssel, weiterer geheimer Daten soweit [sic] der anwendungsspezifischen Ablaufprogramme für den Daten- und Befehlsaustausch, durch die das Steuerungsmodul (8, 9) die gesamten Prüfvorgänge, die Datenaustausch-Operationen und ggf. die Protokollierung und/oder Kontenführung bezüglich der über das Endgerät (10) abzuwickelnden Vorgänge derart aktiv steuert, daß das Endgerät (10) ohne eingesetztes Steuerungsmodul (8,9) nicht funktionsfähig ist."

Der Anspruch 8 des Hauptantrags lautet:

"8. Austauschbares, Mikroprozessor-bestücktes Steuerungsmodul (8, 9) zur Verwendung mit einem Endgerät (10) nach einem der Ansprüche 1 bis 7,

dadurch gekennzeichnet, dass

es sämtliche sicherheitsrelevanten Schaltungsteile und geheimen Speicherinhalte zur Durchführung der Identitäts- und Authentizitätsprüfungen enthält, wobei in Verbindung mit einem Steuer- und Rechenwerk (25) im Steuerungsmodul (8, 9) mechanisch sowie kryptographisch gegen unautorisiertes Auslesen geschützte Speicherbereiche (26, 27, 28) für die Aufnahme der geheimen Prüfschlüssel, weiterer geheimer Daten sowie der anwendungsspezifischen Ablaufprogramme für den Daten- und Befehlsaustausch vorhanden sind, durch die das Steuerungsmodul (8, 9) die gesamten Prüfvorgänge, die Datenaustausch-Operationen und ggf. die Protokollierung und/oder Kontenführung bezüglich der über das Endgerät (10) abzuwickelnden Vorgänge derart aktiv steuert, daß das Endgerät (10) ohne eingesetztes Steuerungsmodul (8, 9) nicht funktionsfähig ist."

Der Anspruch 1 des 1. Hilfsantrags hat den folgenden Wortlaut:

"1. Endgerät (10) in einem Datenaustauschsystem mit tragbaren Datenträgern, mit mindestens einer Dateneingabeeinheit (5) und mehreren Verbindungseinheiten (3, 6, 7) für den Anschluß austauschbarer Benützer-Datenträger (4) sowie weiterer austauschbarer Datenträger, die als Mikroprozessor-bestücktes Steuerungsmodul (8, 9) ausgebildet sind und Schaltungsmittel (25) zur gesicherten Durchführung von Identitäts- und Authentizitätsprüfungen enthalten, dadurch gekennzeichnet, dass

das Endgerät ohne eingesetztes Steuerungsmodul (8,9) nicht funktionsfähig ist,

gleichzeitig mehrere austauschbare Steuerungsmodule (8, 9) vorgesehen sind,

wobei sämtliche sicherheitsrelevanten Schaltungsteile und geheimen Speicherinhalte zur Durchführung der genannten Identitäts- und Authentizitätsprüfungen in jeder [sic] der mehreren austauschbaren Steuerungsmodule (8, 9) untergebracht sind,

die einzelnen Steuerungsmodule (8, 9) verschiedenen Kartengruppen von zur Anwendung gelangenden Benützer-Datenträgern (4) zugeordnet sind,

ein bestimmtes Steuerungsmodul (8, 9) automatisch aktiviert wird aufgrund von Kennungsdaten, die in einem Benützer-Datenträger (4) gespeichert sind,

in Verbindung mit einem Steuer- und Rechenwerk (25) jedes der Steuerungsmodule (8, 9) mechanisch sowie kryptographisch gegen unautorisiertes Auslesen geschützte Speicherbereiche (26, 27, 28)für die Aufnahme geheimer Prüfschlüssel, weiterer geheimer Daten sowie der Ablaufprogramme für den Daten- und Befehlsaustausch enthält,

und dass das jeweilige Steuerungsmodul (8, 9) die gesamten Identitäts- und Authentizitätsprüfungen, Datenaustausch-Operationen und ggf. eine Protokollierung und/oder Kontenführung bezüglich der über das Endgerät (10) abzuwickelnden Vorgänge aktiv steuert."

Anspruch 6 des 1. Hilfsantrags lautet :

"6. Austauschbares, Mikroprozessor-bestücktes Steuerungsmodul (8, 9) zur Verwendung mit einem Endgerät (10) nach einem der Ansprüche 1 bis 5,

dadurch gekennzeichnet, dass

es sämtliche sicherheitsrelevanten Schaltungsteile und geheimen Speicherinhalte zur Durchführung der Identitäts- und Authentizitätsprüfungen enthält, in Verbindung mit einem Steuer- und Rechenwerk (25) im Steuerungsmodul (8, 9) mechanisch sowie kryptographisch gegen unautorisiertes Auslesen geschützte Speicherbereiche (26, 27, 28) für die Aufnahme geheimer Prüfschlüssel, weiterer geheimer Daten sowie der anwendungsspezifischen Ablaufprogramme für den Daten- und Befehlsaustausch vorhanden sind,

durch die das Steuerungsmodul (8, 9) die gesamten Identitäts- und Authentizitätsprüfungen, Datenaustausch-Operationen und ggf. eine Protokollierung und/oder Kontenführung bezüglich der über das Endgerät (10) abzuwickelnden Vorgänge derart aktiv steuert, [dass] das Endgerät (10) ohne eingesetztes Steuerungsmodul (8, 9) nicht funktionsfähig ist,

das Steuerungsmodul (8, 9) einer Kartengruppen [sic] von zur Anwendung gelangenden Benützer-Datenträgern (4) zugeordnet ist,

die anwendungsspezifischen Ablaufprogramme für den Daten- und Befehlsaustausch in den geschützten Speicherbereichen (26, 27, 28) gespeichert sind, und dass

das Steuerungsmodul (8, 9) automatisch aktivierbar ist aufgrund von Kennungsdaten, die in einem Benützer-Datenträger (4) gespeichert sind."

Die Ansprüche 1 und 6 des 2. Hilfsantrags unterscheiden sich von den entsprechenden Ansprüchen des 1. Hilfsantrags durch die zusätzliche Angabe, daß "die einzelnen Steuerungsmodule (8, 9) für die verschiedenen Kartengruppen spezifische Schaltungen und Ablaufprogramme enthalten". Darüber hinaus bezeichnet Anspruch 1 des 2. Hilfsantrags das Endgerät als "ein anwendungs-unabhängiges Endgerät".

Der Anspruch 1 des 3. Hilfsantrags unterscheidet sich vom Anspruch 1 des 2. Hilfsantrags durch den Zusatz "wobei, die Anwendung der spezifischen Ablaufprogramme innerhalb der Steuerungsmodule erfolgt".

VII. Die Beschwerdeführerin stützte ihre Anträge im wesentlichen auf die folgenden Argumente:

Die Erfindung betreffe ein offenes multifunktionales Endgerät etwa eines Chipkartensystems, das sich dadurch auszeichne, daß sich sowohl sämtliche sicherheitsrelevanten Schaltungen, Daten und Programme als auch sämtliche Anwendungsprogramme in tragbaren, austauschbaren Steuerungsmodulen eines Terminals befänden. Im Anschluß an anfängliche Erkennungsprozeduren der in das Endgerät eingesetzten Benützer-Datenträger und Steuerungsmodule erfolge eine sogenannte "master/slave" Umschaltung vom zentralen Teil des Terminals auf ein Steuerungsmodul, woraufhin letzteres die aktive Steuerung des Daten- und Befehlsaustauschs im Sinne eines sogenannten "challenge-and-response-Ansatzes" und damit die Kontrolle über die Ausführung der Sicherheitsprüfungen und der anwendungsspezifischen Programme übernehme. Das Endgerät ohne Steuerungsmodule stelle ein neutrales Terminal dar, dessen Rolle bei der Ausführung der Sicherheitsprüfungen und der anwendungsspezifischen Programme sich darauf beschränke, die Datenkanäle zwischen dem eingesetzten Benützer-Datenträger und einem diesem zugeordneten Steuerungsmodul bereitzustellen. Diese neuartige Systemarchitektur erlaube die Verwirklichung eines neuen Geschäftsmodells, demzufolge beispielsweise Chipkartensysteme unterschiedlicher Anbieterorganisationen sich ohne gegenseitige Beeinflussung und unter Gewährleistung eines hohen Sicherheitsstandards für die Durchführung von Transaktionen gemeinsamer neutraler und relativ einfach strukturierter Terminals bedienten. Erfolgten z. B. Änderungen innerhalb eines Benutzersystems, so habe dies weder Einfluß auf die Struktur und Organisation der anderen Benutzersysteme noch auf die Struktur und Verwendbarkeit des Terminals, da letzteres eben keinerlei sicherheitsrelevante und anwendungspezifische Daten und Programme enthalte und bei der Ausführung der Programme keinerlei Kontrollfunktion übernehme. Die Erfindung löse damit die in der Patentbeschreibung angeführte Aufgabe, den Entwurf und den Bau komplexer Endgeräte für dezentralisierte und mannigfaltige Anwendungen zu vereinfachen und gleichzeitig das Sicherheitsrisiko entscheidend herabzusetzen. Die Bedeutung der vorliegenden Erfindung zeige sich u. a. an der Tatsache, daß das auf sie erteilte US-Patent in dem Zeitraum von 1991 bis 2001 in insgesamt 32 nachfolgenden Patenten zitiert worden sei.

Demgegenüber betreffe der nächstkommende Stand der Technik gemäß Dokument D2 ein klassisches proprietäres Endgerät (etwa einer Postorganisation), d. h. ein Endgerät, das unter der Kontrolle einer einzigen Anbieterorganisation stehe. Sein Zweck sei einzig das Drucken von Briefmarken bzw. von Fahrscheinen oder Frachtbriefen. Auch wenn sicherheitsrelevante Daten und Programmteile teilweise in peripher anschließbare Datenträger ausgelagert seien, so handele es sich dabei nicht um anwendungspezifische Ablaufprogramme zum Befehlsaustausch. Vielmehr lehre D2, daß dem zentralen Terminal und seinem Mikroprozessor in jedem Fall die entscheidende Rolle bezüglich Kontrolle und Steuerung der Durchführung der Prüfvorgänge und Anwendungsprogramme zukomme. Die peripheren Datenträger können allenfalls Daten in einem einfachen "handshake"-Verfahren austauschen, wobei selbst die Kontrolle dieses Vorgangs und des Datenkanals beim Mikroprozessor des zentralen Terminals verbleibe. Eine aktive Steuerung der Durchführung der genannten Programme mittels eines Daten- und Befehlsaustauschs durch die peripheren Datenträger finde dagegen nicht statt. Vielmehr müssen die peripher abgelegten Daten und Programmteile vor ihrer Verwendung zuerst in den Mikroprozessor des zentralen Terminals übertragen werden, welcher die gesamte Funktionalität des Terminals steuere. Selbst wenn, wie in D2 angedeutet, eine Benutzung des Endgeräts auch durch Benützer-Datenträger anderer Anwenderorganisationen prinzipiell denkbar sei, sei das bekannte Endgerät nicht universell für beliebige Benutzersysteme verwendbar, da letztere von der Systemarchitektur und Programmierung des zentralen Terminals des Endgeräts abhängig blieben. Damit erfülle aber das bekannte Endgerät weder denselben Zweck noch besitze es die gleiche Wirkung wie die Erfindung. Da es ein Endgerät eines zumindest teilweise geschlossenen Datenaustauschsystems darstelle, könne es den Fachmann, der ohne erfinderische Leistung Weiterentwicklungen allenfalls im Rahmen der bekannten Systemstruktur betreibe, nicht zur Erfindung, welche ein völlig neues Konzept verwirkliche, führen. Dazu seien vielmehr mehrere nicht naheliegende Schritte erforderlich gewesen, wie die Unterbringung sämtlicher anwendungspezifischer Ablaufprogramme im Steuerungsmodul und damit einhergehend der Transfer der aktiven Steuerung und die Kontrolle des Daten- und Befehlsaustauschs auf das Steuerungsmodul sowie die Unterbringung sämtlicher sicherheitsrelevanter Schaltungen und geheimen Speicherinhalte in dem Steuerungsmodul. In diesem Zusammenhang sei es insbesondere unzulässig, den Gegenstand der Erfindung rückschauend auf der Basis des heutigen Wissens zu beurteilen, so daß scheinbare Ähnlichkeiten des bekannten Systems mit der vorliegenden Erfindung nicht rückschauend als mit der Erfindung übereinstimmend interpretiert werden dürfen.

Die Hilfsanträge brächten die Unterschiede des neuartigen Endgeräts gegenüber dem Stand der Technik noch deutlicher zum Ausdruck. So seien gemäß dem Anspruch 1 des ersten Hilfsantrages gleichzeitig mehrere Steuerungmodule vorgesehen, die jeweils unterschiedlichen Kartengruppen als Benützer-Datenträgern zugeordnet seien, wobei ein bestimmtes Steuerungsmodul automatisch aufgrund von in dem jeweils verwendeten Benützer-Datenträger gespeicherten Kennungsdaten aktiviert werde. Damit sei eindeutig festgelegt, daß die Art der aktiven Steuerung von der jeweiligen Benützerkarte abhängig sei. Die Ansprüche 1 des zweiten und dritten Hilfsantrages stellten ausdrücklich fest, daß das Endgerät anwendungsunabhängig sei, und daß die einzelnen Steuerungsmodule für die verschiedenen Kartengruppen spezifische Schaltungen und Ablaufprogramme enthielten. Darüber hinaus bestimme Anspruch 1 des dritten Hilfsantrages ausdrücklich, daß die anwendungspezifischen Ablaufprogramme nicht nur in den Steuerungsmodulen gespeichert seien sondern in ihnen auch ausgeführt werden.

VIII. Der Vortrag der Beschwerdegegnerin kann wie folgt zusammengefaßt werden:

Die Patentinhaberin verwende in ihren Ausführungen zur Patentfähigkeit Begriffe, wie "offenes System", "geschlossenes System", "unifunktional", "multifunktional", "master/slave Umschaltung", und "challenge-and-response-Ansatz", die weder Gegenstand der Ansprüche gemäß den vorliegenden Anträgen noch in der Beschreibung des Patents offenbart seien und somit nichts mit dem Gegenstand des Patents zu tun haben. Das in der Patentbeschreibung dargestellte Konzept beziehe sich vielmehr auf eine Erhöhung der Datensicherheit bei der Benutzung eines Endgerätes. In diesem Zusammenhang erwähne die Beschreibung, daß auch anwendungspezifische Programme in Steuerungsmodule ausgelagert werden können, jedoch sei keinesfalls offenbart, daß dies für alle Ablaufprogramme gelte.

Was die Lehre des Standes der Technik gemäß Dokument D2 anbetreffe, so gebe es keinen prinzipiellen Unterschied zum vorliegenden Patent sondern bestenfalls einen graduell fließenden Übergang. So verweise D2 ausdrücklich auf die Möglichkeit, mit dem bekannten Endgerät Postwertzeichen, Fahrkarten oder andere Wertmarken verschiedener Serviceanbieter zu erstellen. Es finde sich wiederholt der Hinweis auf den Anschluß anbieterspezifischer, mit Mikroprozessoren bestückter Chipkarten an das Endgerät, welche anwendungspezifische Daten und Programme enthielten und mit den Benützerkarten des betreffenden Anbieters zusammenwirkten. Diese Chipkarten, welche zum Teil auch noch sicherheitsrelevante Schaltungen und geheime Daten, wie z. B. Prüfschlüssel oder kryptographische Algorithmen, enthielten, entsprächen den Steuerungsmodulen der vorliegenden Patents. Die bekannten Chipkarten übernähmen bei der Ausführung der gespeicherten anwendungspezifischen Programme eine aktive Rolle und die Verantwortung für das Abarbeiten der einzelnen Befehle. Ohne sie könne das Endgerät die jeweils gewünschten Funktionen nicht ausführen. Daraus ergebe sich aber, daß die Chipkarten zumindest einen Teil der über das Endgerät abzuwickelnden Vorgänge aktiv steuerten, und daß die in ihnen gespeicherten Anwendungsprogramme den notwendigen Daten- und Befehlsaustausch in der üblichen Bedeutung dieses Ausdrucks beträfen. Schließlich verweise D2 ausdrücklich auf die Option einer Benutzung des bekannten Endgerätes durch Kartensysteme unterschiedlicher Anbieter ohne gegenseitige Wechselwirkung oder Störung.

Damit unterscheide sich der Gegenstand des Anspruchs 1 des Hauptantrages von dem aus D2 bekannten Endgerät lediglich darin, daß in dem mindestens einen Steuerungsmodul sämtliche sicherheitsrelevanten Schaltungen und geheimen Speicherinhalte untergebracht seien, und daß alle anwendungspezifischen Programme dorthin ausgelagert seien. Die mit diesen Unterschieden assoziierte objektive Aufgabe sei der Wunsch nach Modifikation des Endgerätes in Richtung einer zu weitergehenden Multifunktionalität.

Die Aufgabe ergebe sich zwanglos aus dem von der Patentinhaberin genannten, an sich trivialen Geschäftsmodell. Ihre Lösung liege im Hinblick auf die in D2 gegebenen Hinweise für den Durchschnittsfachmann unmittelbar auf der Hand. Darüber hinaus sei es auf dem einschlägigen Fachgebiet vor dem Prioritätstag des vorliegenden Patents bereits aus Dokument D3 bekannt gewesen, soweit technisch möglich, sämtliche sicherheitsrelevanten Daten und Programme in einer trag- und auswechselbaren Chipkarte unterzubringen. Dazu lehre Dokument D1, wenn auch nur in Verbindung mit der Durchführung von Prüf- und Authentifizierungsprogrammen, die grundlegende Idee, ein anwendungsspezifisches Programm in eine auswechselbare Chipkarte eines Endgeräts auszulagern.

Das Konzept des gleichzeitigen Vorsehens mehrerer Steuerungsmodule gemäß den Ansprüchen 1 der Hilfsanträge sei ebenfalls schon in D2 vorgegeben. Die darüber hinausgehenden zusätzlich beanspruchten Maßnahmen seien die unmittelbare Konsequenz aus diesem Konzept und der ihm zugrundeliegenden geschäftlichen Anforderungen. Im Übrigen erscheine es zweifelhaft, daß die Angabe im dritten Hilfsantrag, das Endgerät sei einanwendungsunabhängiges Endgerät, in den ursprünglich eingereichten Anmeldungsunterlagen offenbart sei.

Entscheidungsgründe

1. Die Beschwerde erfüllt die Erfordernisse der Artikel 106 bis 108 sowie der Regel 64 EPÜ und ist damit zulässig.

2. Änderungen

Die Kammer betrachtet die in den Ansprüchen 1 aller vorliegenden Anträge der Beschwerdeführerin vorgenommenen Änderungen als in den ursprünglich eingereichten Anmeldungsunterlagen im Prinzip ausreichend offenbart. Der einzige diesbezüglich zwischen den Parteien strittige Punkt betreffend die Formulierung in den Ansprüchen 1 des 2. und 3. Hilfsantrages, wonach das Endgerät ein anwendungsunabhängiges Endgerät sein soll, erscheint für die Zwecke der nachfolgenden Entscheidung über die Patentfähigkeit der Anspruchsgegenstände als weniger bedeutsam.

Die genannten Ansprüche 1 beruhen auf dem erteilten Anspruch 1, wobei dessen Gegenstand jeweils durch weitere Merkmale eingeschränkt ist.

Die Kammer hat daher keine grundsätzlichen Bedenken hinsichtlich der Erfüllung der Erfordernisse der Artikel 123 (2) und (3) EPÜ.

3. Erfinderische Tätigkeit (Artikel 52 (1) und 56 EPÜ)

3.1. Hauptantrag

3.1.1. Der nächstkommende Stand der Technik ist - unstrittig - durch Dokument D2 gegeben.

Dokument D2 (vgl. insbesondere den Anspruch 8 auf Seite 44; die {geänderten} Ansprüche 6 bis 8 auf den Seiten 50 bis 52; die Figuren 1, 2a, 2b, 4, 7, 10 und 12 mit zugehöriger Beschreibung; sowie die auf den Seiten 2. bis 5 erläuterten Probleme des früheren Standes der Technik) bezieht sich allgemein auf ein automatisiertes Transaktionssystem mit verbesserter Datensicherheit umfassend ein oder mehrere Endgeräte, von denen jedes Verbindungseinheiten für den Anschluß austauschbarer Benützer-Datenträger sowie weiterer austauschbarer Datenträger aufweist. Als konkrete Ausführungsformen sind in D2 hauptsächlich Endgeräte zur Verwendung im Rahmen postalischer Aufgaben diskutiert, doch finden sich darüber hinaus auch Hinweise auf eine Vielzahl weiterer Verwendungsmöglichkeiten (vgl. Seite 10, zweiter Absatz; Seite 15, erster Absatz). Der zentrale Teil des Endgeräts (im Folgenden als "Terminal" bezeichnet) enthält einen eigenen Mikroprozessor und umfaßt darüber hinaus eine Ausgabeeinheit ("dispensing section"), z. B. für die Ausgabe von Postwertzeichen oder Fahrscheinen, die ihrerseits einen Mikroprozessor besitzt. Für eine Transaktion unter Beteiligung der Ausgabeeinheit übernimmt der Mikroprozessor des Terminals die Steuerung von Grundfunktionen (wie z. B. die Kontrolle der Verbindung zu einem eingesetzten Benützer-Datenträger) und kontrolliert die Funktion seiner Bestandteile (wie die Eingabe- und Ausgabeeinheiten oder Anzeige; siehe Seite 16, zweiter Absatz; Seite 17, letzter Absatz bis Seite 18, erste Zeile), während die sicherheitsrelevanten Schaltungen und Daten (wie z. B. Prüfschlüssel und kryptographische Algorithmen) sowie anwendungsspezifische Ablaufprogramme im Benützer-Datenträger und der Ausgabeeinheit sowie ggf. in weiteren austauschbaren Datenträgern ("rate card", "special services card", "master card" und "supervisor card") vorliegen (siehe Seite 12, letzter Absatz; Seite 16, letzter Absatz bis Seite 17, erster Absatz; Seite 33, zweiter Absatz; Seite 34, erster Absatz; Seite 35, letzter Absatz bis Seite 36, erster Absatz; Anspruch 8 auf Seite 44; Seite 51, geänderter Anspruch 6, Merkmale (f) und (g); Seite 52, geänderte Ansprüche 7 und 8). Die weiteren austauschbaren Datenträger sind wie die Benützer-Datenträger in Form von Chipkarten ausgebildet und jeweils mit einem Mikroprozessor sowie Daten- und Programmspeichern bestückt, welche mechanisch und kryptographisch gegen unautorisiertes Auslesen geschützt sind (siehe Seite 12, letzter Absatz; Seite 16, erster Absatz; Seite 33, erster und zweiter Absatz; Seite 34, erster Absatz). Ohne die weiteren austauschbaren Datenträger ist das Endgerät nicht in der Lage, bestimmte gewünschte Funktionen auszuführen (siehe etwa Seite 33, erster Absatz). Insoweit die Ausgabeeinheit als ein integraler, nicht austauschbarer Bestandteil des Terminals anzusehen ist, befinden sich die sicherheitsrelevanten Schaltungen und Daten sowie die jeweiligen anwendungsspezifischen Programme damit nur zum Teil in den weiteren austauschbaren Datenträgern.

3.1.2. Strittig zwischen den Parteien ist im Hinblick auf den Umfang der mit D2 gegebenen Lehre insbesondere, inwieweit die weiteren austauschbaren Datenträger, wie etwa die "master card" oder die "supervisor card", in einem aus D2 bekannten Endgerät bei der Ausführung eines anwendungsspezifischen Ablaufprogramms überhaupt eine aktive Steuerung übernehmen, und ob zu diesem Zweck die in diesen Karten gespeicherten Programme neben einem bloßen Datenaustausch auch einen Befehlsaustausch umfassen.

Die Patentinhaberin und Beschwerdeführerin beruft sich in diesem Zusammenhang auf wiederholte Angaben in D2, wonach der Mikroprozessor des Terminals sowohl die Ausführung die erforderlichen Prüfvorgänge als auch der anwendungsspezifischen Ablaufprogramme kontrolliert und verweist beispielhaft auf eine Angabe auf Seite 30, 2. Absatz, der zufolge der Mikroprozessor des Terminals ein ausgewähltes Serviceprogramm von einer peripheren "service"-Karte herunterlädt und ausführt. Insofern periphere Module mehr als nur eine rein passive Rolle spielen, beschränke sich diese auf einen bloßen Datenaustausch im Rahmen einer "handshake"-Prozedur umfasse jedoch keinen Befehlsaustausch.

Diese Auffassung übergeht jedoch die Tatsache, daß die Lehre von D2 nicht auf ein Endgerät mit "aktivem" zentralen Terminal und austauschbaren "passiven" peripheren Chipkarten/Modulen beschränkt ist. So findet sich auf den Seiten 32 bis 36 eine Darstellung eines als "refilling terminal" bezeichneten Endgerätes, mit dem Benützer-Chipkarten mit Guthaben aufgefüllt werden können. Hierzu werden als "master card" und "supervisor card" bezeichnete weitere Chipkarten an das (zentrale) Terminal angeschlossen, in denen u. a. geschützte Daten und Programme zur Durchführung von Identitäts- und Authentizitätsprüfungen gespeichert sind. Die "master"-Karte stellt das erforderliche Guthaben zur Verfügung. Sie ist in der Regel gesperrt, bis sie von einer "supervisor"-Karte aktiviert wird. Auf Seite 34, erster Absatz ist angegeben, daß es "master"-Karte und "supervisor"-Karte zusammen ermöglichen, eine Benützer-Chipkarte aufzufüllen. Zwar besteht alternativ die Möglichkeit, dieses Auffüllen mittels eines sogenannten "handshake"-Verfahrens lediglich zwischen den Mikroprozessoren der "master"-Karte" und der Benützer-Chipkarte auszuführen, doch gewährleistet die Verwendung der kontrollierenden "supervisor"-Karte ein höheres Sicherheitsniveau und ist deshalb bevorzugt. Auf Seite 35, letzter Absatz und Seite 36, erster Absatz ist bezüglich des Verfahrensablaufs und der Rolle der beteiligten Mikroprozessoren weiter erläutert, daß für die Ausführung des eigentlichen Auffüllvorganges der Mikroprozessor des zentralen Terminals einen "handshake"-Kanal öffnet, daß daraufhin ein "handshake"-Verfahren zwischen den Mikroprozessoren der "master"- und der "supervisor"-Karte ausgeführt wird, nach dessen Beendigung das Guthaben auf der "master"-Karte belastet wird, und daß dann die "supervisor"-Karte damit fortfährt, einen neuen Speicherabschnitt in der Benützer-Chipkarte zu öffnen, in den das neue Guthaben geschrieben wird. In diesem Zusammenhang findet sich in dem sich auf die Ausführungsform des "refilling terminal" beziehenden Anspruch 8 auf Seite 44 die explizite Angabe, daß sowohl die "master"- als auch die "supervisor"-Karte Programme zur Durchführung eines "handshake"-Verfahrens enthalten. Daß dem Mikroprozessor des zentralen Terminals bei der Durchführung der Transaktion eine über die genannte Bereitstellung des "handshake"-Kanals hinausgehende Funktion zukäme, ist nicht beschrieben.

Damit können nach Auffassung der Kammer für einen fachkundigen Leser des Dokuments D2 keine vernünftigen Zweifel daran bestehen, daß das genannte "handshake"-Verfahren das Auffüllen des Guthabens der Benützer-Chipkarte bewirkt, und daß im Rahmen dieser Transaktion den Mikroprozessoren der "master"- und der "supervisor"-Karte, wenn nicht sogar vollständig so doch auf jeden Fall zu großen Teilen, eine aktive Steuerungsfunktion zukommt und ihre Funktion damit über einen bloßen Datenaustausch hinausgeht und einen Befehlsaustausch in der üblichen Bedeutung dieses Begriffes umfaßt.

In diesem Zusammenhang ist festzustellen, daß der Ausdruck "Befehlsaustausch" in der Beschreibung des vorliegenden Patents nur ein einziges Mal verwendet wird und zwar in der Angabe "im Bereich 28 sind Ablaufprogramme für den Daten- und Befehlsaustausch gespeichert, die für den jeweiligen Anwendungsfall (Systemapplikation, Typ des Endgerätes, Art der Benützer-Datenträger usw.) spezifisch sind." In Ermangelung einer näheren Erläuterung des Ausdrucks in der Patentbeschreibung, geschweige denn einer Konkretisierung im vorliegenden Anspruchswortlaut, vermag die Kammer diesbezüglich keinen Unterschied zwischen dem Gegenstand des vorliegenden Anspruchs 1 und der Lehre von D2 erkennen. Damit zusammenhängend ist auch im Hinblick auf den Ausdruck "aktiv steuern" kein prinzipieller Unterschied zwischen der Funktion der "master"- und "supervisor"-Karten gemäß D2 und derjenigen eines Steuerungsmoduls gemäß dem Wortlaut des vorliegenden Anspruchs 1 gegeben.

3.1.3. Aus den vorstehenden Ausführungen folgt, daß sich der Gegenstand des vorliegenden Anspruchs 1 von dem aus D2 bekannten Endgerät allenfalls noch durch das Ausmaß, in dem die sicherheitsrelevanten Schaltungsteile und geheimen Speicherinhalte zur Durchführung der Identitäts- und Authentizitätsprüfungen sowie der anwendungsspezifischen Ablaufprogramme in dem mindestens einen Steuerungsmodul vorhanden sind, unterscheidet.

3.1.4. Die im vorliegenden Anspruch 1 geforderte vollständige Auslagerung dieser Schaltungen, Daten und Programme dient dem Wunsch nach höherer Flexibilität für unterschiedliche Verwendungen des Endgerätes durch verschiedene Benutzer.

Dieser Wunsch und die ihm entsprechende Aufgabe sind an sich auch schon den wiederholten Hinweisen in D2 auf die Vielzahl möglicher Anwendungen und die Möglichkeit der Benutzung desselben Endgeräts durch verschiedene Anbietersysteme (siehe dazu noch Seite 37, dritter Absatz bis Seite 38, erster Absatz) entnehmbar.

Die beanspruchte Lösung erschöpft sich in der bloßen Vorschrift, das aus D2 bereits bekannte Vorbild einer Entwicklung von einem spezialisierten, "intelligenten" Endgerät hin zu einem universell verwendbaren Terminal, dessen Rolle sich im wesentlichen auf die Bereitstellung von Grundfunktionen zur Unterstützung der Kommunikation zwischen anwendungsspezifischen, peripheren Modulen beschränkt, konsequenter umzusetzen. Die Kammer vermag in dem sich somit vom Stand der Technik nur durch die allgemeine Forderung nach einem größeren Ausmaß der Verwirklichung des an sich bekannten Lösungsprinzips unterscheidenden Gegenstand des Anspruchs 1 keine Maßnahme von erfinderischer Bedeutung erkennen.

3.1.5. Aus den dargelegten Gründen erfüllt der Anspruch 1 des Hauptantrages nicht die Erfordernisse der Artikel 52 (1) und 56 EPÜ.

3.2. 1. Hilfsantrag

3.2.1. Der Gegenstand des Anspruchs 1 des 1. Hilfsantrags unterscheidet sich von demjenigen des Anspruchs 1 gemäß Hauptantrag im wesentlichen dadurch, daß

i) gleichzeitig mehrere austauschbare Steuerungsmodule vorgesehen sind, in denen jeweils sämtliche sicherheitsrelevanten Schaltungsteile und geheimen Speicherinhalte zur Durchführung der genannten Identitäts- und Authentizitätsprüfungen untergebracht sind, und die demzufolge jeweils die gesamten Identitäts- und Authentizitätsprüfungen und Datenaustausch-Operationen bezüglich der über das Endgerät abzuwickelnden Vorgänge aktiv steuern,

ii) die einzelnen Steuerungsmodule verschiedenen Kartengruppen von zur Anwendung gelangenden Benützer-Datenträgern zugeordnet sind, und

iii) ein bestimmtes Steuerungsmodul automatisch aktiviert wird aufgrund von Kennungsdaten, die in einem Benützer-Datenträger gespeichert sind.

3.2.2. D2 enthält auf Seite 37, dritter Absatz den Hinweis, daß es im Prinzip möglich ist, daß mehrere Anbietersysteme dieselben Endgeräte ohne unerwünschte Wechselwirkung miteinander benutzen, weil die beschriebenen Transaktionen mittels geschützter Karten eines in sich geschlossenen Anbietersystems ausgeführt werden. Als konkretes Beispiel ist die gemeinsame Nutzung von etwa in Postfilialen, Banken oder Geschäften aufgestellten Endgeräten durch staatliche und private Postdienste genannt.

3.2.3. Für den mit der praktischen Umsetzung dieses Hinweises betrauten Fachmann ist unmittelbar einsichtig, daß eine der dabei zu erfüllenden Grundvoraussetzungen darin besteht, daß die entsprechenden Steuerungsmodule der einzelnen Anbietersysteme an dem jeweiligen Endgerät gleichzeitig angeschlossen sein müssen, da andernfalls jedem einzelnen Endgerät eine Bedienungsperson zugeordnet sein müßte für den Austausch und das Anschließen des für die gewünschte Transaktion jeweils benötigten Steuerungsmoduls. Dies widerspräche jedoch der Grundidee der mit D2 gegebenen Lehre einer Bereitstellung von Endgeräten für automatisch durchführbare Transaktionen ohne das Erfordernis einer strikten Zugangskontrolle (siehe Seite 5, zweiter Absatz).

Damit ergeben sich aber die Maßnahmen i) und ii) für den Fachmann aufgrund sich unmittelbar aufdrängender, grundsätzlicher Erwägungen aus dem genannten Hinweis in D2.

Was die Maßnahme iii) anbetrifft, so stellt sie nach dem Urteil der Kammer eine am Prioritätstag des vorliegenden Patents allgemein übliche Alternative zu einer ansonsten erforderlichen manuellen Auswahl des gewünschten Transaktionsystems durch den jeweiligen Benutzer des Endgerätes dar. Im Übrigen findet sich bereits in D2 der Hinweis darauf, daß das Einsetzen der Benützer-Chipkarte automatisch den Betrieb des Endgerätes starten soll (siehe Seite 24, erster Absatz).

3.2.4. Damit ist aber auch der Gegenstand des Anspruchs 1 gemäß dem 1. Hilfsantrag durch den mit D2 gegebenen Stand der Technik nahegelegt.

Der Anspruch 1 gemäß dem 1. Hilfsantrag erfüllt somit ebenfalls nicht die Erfordernisse der Artikel 52 (1) und 56. EPÜ.

3.3. 2. Hilfsantrag

3.3.1. Der Anspruch 1 des 2. Hilfsantrags unterscheidet sich vom Anspruch 1 des 1. Hilfsantrags dadurch, daß

iv) das Endgerät als ein anwendungsunabhängiges Endgerät bezeichnet ist, und

v) ausdrücklich angegeben ist, daß die einzelnen Steuerungsmodule spezifische Schaltungen und Ablaufprogramme für die verschiedenen Kartengruppen enthalten.

3.3.2. Die mit Merkmal iv) vorgenommene Bezeichnung des Endgeräts ist mißverständlich und in dieser Form den dem Patent zugrundeliegenden Anmeldungsunterlagen auch nicht entnehmbar, da das komplette Endgerät (d. h. mit den angeschlossenen Steuerungsmodulen) natürlich nicht anwendungsunabhängig sein kann. Soweit nachvollziehbar soll mit ihr betont werden, daß der vorstehend mit dem Ausdruck "Terminal" bezeichnete zentrale Teil des Endgerätes anwendungsunabhängig ist. Dieser Sachverhalt ist jedoch aus den zum 1. Hilfsantrag gegebenen Gründen dem Fachmann durch den Stand der Technik gemäß D2 nahegelegt.

Die Maßnahme v) ist als bereits von der Definition des Anspruchs 1 des 1. Hilfsantrags umfaßt anzusehen, da ohne sie eine vollständige aktive Steuerung der abzuwickelnden Vorgänge durch das jeweilige Steuerungsmodul nicht möglich wäre.

3.3.3. Damit beruht auch der Gegenstand des Anspruchs 1 gemäß dem 2. Hilfsantrag nicht auf einer erfinderischen Tätigkeit, so daß der Anspruch ebenfalls nicht die Erfordernisse der Artikel 52 (1) und 56 EPÜ erfüllt.

3.4. 3. Hilfsantrag

3.4.1. Der Anspruch 1 des 3. Hilfsantrags unterscheidet sich vom Anspruch 1 des 2. Hilfsantrags durch den Zusatz "wobei, die Anwendung der spezifischen Ablaufprogramme innerhalb der Steuerungsmodule erfolgt".

3.4.2. In D2 (siehe Seite 17, letzter Absatz bis Seite 18, erste Zeile) findet sich in Verbindung mit der Beschreibung der Transaktion des Druckens eines Postwertzeichens, bei der mittels eines "handshake"-Verfahrens eine gegenseitige Identitätsprüfung der Mikroprozessoren der Druckereinheit und der Benützer-Chipkarte erfolgt, die Erläuterung, daß auch der Mikroprozessor des zentralen Terminals für die Durchführung dieses "handshake"-Verfahrens verwendet werden könnte, daß es aber vorteilhafter sei, das Verfahren durch die Mikroprozessoren der unmittelbar an der Transaktion beteiligten Einheiten ausführen zu lassen und dem Mikroprozessor des (zentralen) Terminals die Ausführung der allgemeinen Terminalfunktionen zu überlassen.

Im Lichte dieser Erläuterung ist die von der Beschwerdeführerin zitierte Angabe auf Seite 30, zweiter Absatz von D2, der zufolge ein in einer "service"-Karte gespeichertes ausgewähltes Serviceprogramm zu seiner Ausführung zunächst in den Mikroprozessor des (zentralen) Terminals geladen wird, nicht als ein unabdingbares Element der Lehre von D2 sondern eher als ein konkretes Beispiel für die zweite der auf den Seiten 17 und 18 angesprochenen Alternativen der Arbeitsteilung zwischen den vorhandenen Mikroprozessoren bei der Durchführung einer Transaktion zu verstehen.

Jedenfalls hatte der mit der Umsetzung der Idee eines durch unterschiedliche Anbietersysteme unabhängig zu nutzenden Endgerätes betraute Fachmann keine Veranlassung, die in der zitierten Erläuterung auf den Seiten 17 und 18 als prinzipiell vorteilhaft erkannte und darüber hinaus in der beschriebenen Auffülltransaktion (als einem Beispiel für die Durchführung eines anwendungspezifischen Ablaufprogramms) verwirklichte Arbeitsteilung zwischen dem zentralen Mikroprozessor (zur Ausführung allgemeiner Aufgaben) und den peripheren Mikroprozessoren (zur Ausführung spezifischen Aufgaben entsprechend den in ihnen gespeicherten Daten und Programmen) als ungeeignet zu verwerfen.

3.4.3. Damit ergibt sich aber auch der Gegenstand des Anspruchs 1 des 3. Hilfsantrags in naheliegender Weise aus dem nachgewiesenen Stand der Technik, so daß auch dieser Anspruch nicht die Erfordernisse der Artikel 52 (1) und 56. EPÜ erfüllt.

4. Aus den dargelegten Gründen sind weder der Hauptantrag noch irgendeiner der vorliegenden Hilfsanträge der Beschwerdeführerin gewährbar.

ENTSCHEIDUNGSFORMEL

Aus diesen Gründen wird entschieden:

Die Beschwerde wird zurückgewiesen.

Quick Navigation