T 0073/19 (Austausch eines Kartenbetriebssystems/GIESECKE) 18-01-2023
Download und weitere Informationen:
VERFAHREN UND VORRICHTUNG ZUM AUSTAUSCH DES BETRIEBSSYSTEMS EINES RESSOURCENBESCHRÄNKTEN TRAGBAREN DATENTRÄGERS
Anspruchsauslegung
Zulassung verspätet vorgelegter Dokumente (teilweise ja)
Erfinderische Tätigkeit - Hauptantrag (nein)
Erfinderische Tätigkeit - Hilfsanträge 1-6 (nein)
Wiedervorlage von im Einspruchsverfahren vorgelegten Hilfsanträgen - Nichtzulassungsermessen (in diesem Fall nein)
Zurückverweisung zur weiteren Entscheidung über die Hilfsanträge (nein)
I. Gegenstand des Beschwerdeverfahrens ist die Entscheidung der Einspruchsabteilung, den Einspruch gegen das europäische Patent Nr. 2 864 871 zurückzuweisen.
II. Gegen die Erteilung des Patents hatte die Beschwerdeführerin Einspruch eingelegt, gestützt auf die Einspruchsgründe gemäß Artikel 100 a) EPÜ, in Verbindung mit Artikel 54 und 56 EPÜ.
III. Unter den in der Zwischenentscheidung genannten Dokumenten sind hier nur diese von Bedeutung:
E1: Rankl W. et al. (Hrsg.), "Handbuch der Chipkarten", 5. Auflage, 2008; daraus Kapitel 13.5, "Komplettierung des Betriebssystems", insbes. Kapitel 13.5.1, "Urlader für das Betriebssystem (Bootloader)", S. 489-493, und
D5: Bundesamt für Sicherheit in der Informationstechnik BSI, "BSI TR-03110 Advanced Security Mechanisms for Machine Readable Travel Documents", 20. März 2012.
IV. Die Beschwerdeführerin/Einsprechende hat am 7. Januar 2019 Beschwerde gegen die Entscheidung eingelegt, und sie am 21. März 2019 begründet. Darin beantragte sie, die Entscheidung aufzuheben und das Patent in vollem Umfang zu widerrufen.
In ihrer Beschwerdebegründung legte sie zum Nachweis allgemeinen Fachwissens neue Dokumente vor, nämlich
E9: Wikipedia, "Hybride Verschlüsselung", Version vom 21. Mai 2012, 17:25 Uhr,
E10: Wikipedia, "Asymmetrisches Kryptosystem", Version vom 12. Juni 2012, 11:16 Uhr,
E11: Wikipedia, "Digitales Zertifikat", Version vom 15. Mai 2012, 6:28 Uhr,
E12: Wikipedia, "Public-Key-Infrastruktur", Version vom 11. April 2012, 21:48 Uhr, sowie
E13: Wikipedia, "Flash-Speicher", Version vom 3. Juni 2012, 20:37 Uhr,
und erhob Einwände mangelnder erfinderischen Tätigkeit, insbesondere gegenüber E1 in Verbindung mit dem allgemeinen Fachwissen oder D5.
V. Die Beschwerdegegnerin/Patentinhaberin beantragte in ihrer Erwiderung, die Beschwerde zurückzuweisen (und damit das Patent im erteilten Umfang aufrechtzuerhalten), oder, alternativ, das Patent auf Grundlage eines der Hilfsanträge 1 bis 6, die im Einspruchsverfahren vorgelegt und der Beschwerdebegründung erneut beigelegt wurden. Darüber hinaus beantragte sie, die Dokumente E9 bis E13 nicht ins Verfahren zuzulassen.
VI. Mit ihrer Ladung zur mündlichen Verhandlung teilte die Beschwerdekammer den Parteien ihre vorläufige Meinung mit, dass Anspruch 1 des erteilten Patents bei richtiger Auslegung (insbesondere) gegenüber E1 und dem allgemeinen Fachwissen keine erfinderische Tätigkeit aufweise. Hinsichtlich der Hilfsanträge 1 bis 6 habe sie kein Nichtzulassungsermessen unter Artikel 12(4) VOBK 2007. Da aber die Beschwerdeführerin zu diesen Hilfsanträgen noch nicht vorgetragen habe, enthielt sie sich einer weitergehenden vorläufigen Meinung.
VII. Die Beschwerdegegnerin erwiderte mit Schreiben vom 9. Dezember 2022 auf die vorläufige Meinung der Kammer und legte folgende Druckschriften vor:
K1: Graphische Gegenüberstellung des Anspruchs 1 und der Fig. 2, sowie
Auszüge aus dem schon zitierten "Handbuch der Chipkarten", 5. Auflage, 2008, nämlich
K2: S. 482-483,
K3: S. 658-669,
K4: S. 178-187, und
K5: S. 89-90.
VIII. Die Beschwerdeführerin erwiderte am 15. Dezember 2022 und nahm insbesondere zu den Hilfsanträgen Stellung.
IX. Beide Parteien beantragten jeweils die Vorlage einer Rechtsfrage an die Große Beschwerdekammer.
X. Eine mündliche Verhandlung fand am 18. Januar 2022 statt. Im Zuge dieser Verhandlung beantragte die Beschwerdeführerin, Dokumente K1 bis K5 nicht zuzulassen, und die Beschwerdegegnerin, die Hilfsanträge zur weiteren Entscheidung an die Einspruchsabteilung zurückzuverweisen, da diese in der Sache noch nicht geprüft seien. Ihre jeweiligen Anträge über die Vorlage von Rechtsfragen an die Grosse Beschwerdekammer ließen beide Parteien in der mündlichen Verhandlung fallen.
XI. Die Schlussanträge waren daher wie folgt.
Die Beschwerdeführerin beantragte die Entscheidung aufzuheben und das Patent zu widerrufen. Sie beantragte weiterhin, die Hilfsanträge 1-6 sowie die Dokumente K1 bis K5 nicht zuzulassen.
Die Beschwerdegegnerin beantragte, die Beschwerde zurückzuweisen oder die Sache zur Entscheidung über die Hilfsanträge 1-6 an die Einspruchsabteilung zurückzuverweisen, oder das Patents auf Grundlage der Hilfsanträge 1-6 aufrechtzuerhalten. Sie beantragte weiterhin die Nichtzulassung der Dokumente E9-E13.
XII. Anspruch 1 des erteilten Patents lautet wie folgt, von der Kammer ergänzt um die Merkmalsgliederung aus der angefochtenen Entscheidung (vgl. dort Seiten 4-5):
"[M1] Verfahren zum Austausch der Betriebssoftware eines ressourcenbeschränkten tragbaren Datenträgers (1) an einem Terminal (2),
[M2] wobei die Betriebssoftware (13) den Betrieb des Datenträger[s] (1) kontrolliert und mindestens eine von dem Datenträger (1) bereitgestellte Funktion ausführt,
[M3] und wobei eine Authentisierung des Terminals (2) gegenüber dem Datenträger (1) durch[ge]führt wird, mit den Schritten:
[M4] - Bereitstellen einer neuen Betriebssoftware (131) in dem Terminal (2),
[M5] - Bereitstellen eines Urladers (14) zum Laden von neuer Betriebssoftware in dem Datenträger (1),
[M6+7]- Bereitstellen eines Terminalzertifikats in dem Terminal (2), das die Berechtigung zur Übertragung eines Ladeschlüssels (501) nachweist,
[M8] - Übertragen (104) des Terminalzertifikats im Rahmen der Authentisierung des Terminals (2) an den Datenträger (1),
[M9] - Prüfung des Terminalzertifikats durch den Datenträger (1),
[M10] - Übertragen eines Ladeschlüssels (501) an den Datenträger (1),
[M11] - Übergabe der Betriebskontrolle des Datenträgers (1) an den Urlader (14),
[M12] - Löschen der Betriebssoftware (13) des Datenträgers (1) durch den Urlader (14),
[M13] - Übertragen der neuen Betriebssoftware (131) unter Verwendung des Ladeschlüssels (501) an den Datenträger (1),
[M14] - Aktivieren der neuen Betriebssoftware (131) durch den Urlader (14),
[M15] - Übergabe der Kontrolle des Datenträgers von dem Urlader (14) an die neue Betriebssoftware (131)."
XIII. Anspruch 1 des Hilfsantrags 1 unterscheidet sich vom erteilten Anspruch 1 durch kleinere editorische Korrekturen sowie dadurch, dass das kennzeichnende Merkmal aus dem früheren Anspruch 2 hinzugefügt wurde, nämlich,
"... dadurch gekennzeichnet, dass in dem Terminal (2) oder bei einem vertrauenswürdigen Hintergrundsystem des Herausgebers des Datenträgers (1) ein Prüfschlüssel (502) gebildet und in das Terminalzertifikat eingefügt wird."
XIV. Anspruch 1 des Hilfsantrags 2 unterscheidet sich von dem des Hilfsantrags 1 dadurch, dass zusätzlich das folgende Merkmal angefügt wurde:
"... wobei unter Verwendung des durch Einfügen des Prüfschlüssels modifizierten Terminalzertifikats die Terminalauthentisierung durchgeführt wird."
XV. Anspruch 1 des Hilfsantrags 3 unterscheidet sich von dem des Hilfsantrags 2 durch die weitere Ergänzung
"... und das Terminal (2) damit einem Chip (10) des Datenträgers (1) eine Berechtigung zum Zugriff und zur Veränderung von in einer Speicheranordnung (12) des Datenträgers (1) gespeicherter Daten nachweist."
XVI. Anspruch 1 des Hilfsantrags 4 unterscheidet sich von dem des Hilfsantrags 3 durch die weitere Ergänzung
"... wobei das Terminal (2) im Rahmen der Terminalauthentisierung dem Datenträger (1) eine Kette von Zertifikaten, die von den der Betriebssoftware (13) des Datenträgers (1) geprüft wird, sendet."
XVII. Anspruch 1 des Hilfsantrags 5 unterscheidet sich von dem des Hilfsantrags 4 durch die weitere Ergänzung
"... und das letzte Zertifikat der Kette das modifizierte Terminalzertifikat ist."
XVIII. Anspruch 1 des Hilfsantrags 6 unterscheidet sich von dem des Hilfsantrags 5 durch die weitere Ergänzung
"... und der Prüfschlüssel (502) durch Bildung eines MACs über den Code der neuen Betriebssoftware (131) erzeugt wird."
XIX. Am Ende der Verhandlung verkündete der Vorsitzende die Entscheidung der Kammer.
Die Erfindung
1. Die Erfindung befasst sich mit sogenannten "ressourcenbeschränkten tragbaren Datenträgern", wie sie etwa in maschinenlesbaren Ausweisen verwendet werden (Absatz [1] und [2]). Mit zunehmender Nutzungsdauer solcher Datenträger kann es nötig werden, die vorinstallierte Betriebssoftware - sowie die kryptographische Bibliothek - auszutauschen (vgl. Absätze [5], [35] und [38]). Das Patent befasst sich mit der Aufgabe, diesen Austausch in sicherer Weise durchzuführen.
1.1 Das Patent betont die besonderen Sicherheitsanforderungen der betrachteten "Datenträger" wegen der gespeicherten personenbezogenen Daten und verweist darauf, dass die vom BSI herausgegebene Richtlinie TR-03110 (vgl. D5) geeignete Mechanismen zur Absicherung dieser Daten enthalte (Absatz [2]). An vielen weiteren Stellen wird auf die Richtlinie Bezug genommen (etwa in den Absätzen [24], [30], [40], [43], und [44]). Die Richtlinie stelle sicher, dass nur berechtigte Terminals auf die in einem maschinenlesbaren Ausweis gespeicherten Daten (lesend) zugreifen könnten, gehe aber auf das "Einbringen von Daten", etwa zum Austausch der Betriebssoftware, nicht ein (Absätze [3] und [4]). Das sei bisher nicht nötig gewesen, weil die einschlägigen Ausweise eine nur kurze Lebensdauer hätten und damit bei Änderungsbedarf an der Betriebssoftware einfach neue Ausweise herausgegeben werden konnten. Mit zunehmender Nutzungsdauer (vgl. Absatz [5]) sei ein solches Vorgehen aber nicht mehr vertretbar, und es müsse eine Möglichkeit geschaffen werden, die Betriebssoftware "im Feld" auszutauschen (vgl. Absätze [9] und [11]).
1.2 Typischerweise hätten die betrachteten Datenträger keine eigene Benutzerschnittstelle. Daher erfolge der Austausch der Betriebssoftware über ein Terminal (vgl. Merkmal M1).
1.3 Anspruchsgemäß stellt das Terminal, nach Authentisierung (M3), die neue Betriebssoftware (M4) bereit, darüber hinaus einen Ladeschlüssel und ein Terminalzertifikat, das die Berechtigung zur Übertragung des Ladeschlüssels nachweist (M6, M7). Darüber wird ein Urlader für die Betriebssoftware bereitgestellt (M5).
1.4 Der Austausch erfolgt, nach Übertragung des Terminalzertifikats an (M8) und seine Prüfung durch den Datenträger (M9), sowie nach Übertragung des Ladeschlüssels (M10), unter Kontrolle des Urladers (M11). Dieser löscht die alte Betriebssoftware vom Datenträger (M12), überträgt die neue Betriebssoftware "unter Verwendung des Ladeschlüssels" (M13), aktiviert sie (M14) und überträgt anschließend die Kontrolle an die neue Betriebssoftware (M15).
Anspruchsauslegung
2. Eine wesentliche Uneinigkeit zwischen den Parteien besteht darin, wie der Wortlaut der Ansprüche auszulegen ist. Was Anspruch 1 des erteilten Patents betrifft, geht es dabei vor allem um die Begriffe des ressourcenbeschränkten, tragbaren Datenträgers, des Terminalzertifikats und des Ladeschlüssels, sowie ihre jeweilige anspruchsgemäße Verwendung.
2.1 Die Beschwerdegegnerin betont das Erfordernis, die Ansprüche im Lichte der Beschreibung auszulegen, und meint, die Auslegung der Ansprüche müssten sich an dem in der Patentschrift betonten Szenario einer als notwendig erkannten Ergänzung der Richtlinie TR-03110 richten. Insbesondere seien die beanspruchten Datenträger als maschinenlesbare Ausweisdokumente zu verstehen, auf die sich die Richtlinie TR-03110 bezieht, das zwischen Terminal und "Datenträger" ablaufende Protokoll sei ein in TR-03110 definiertes (vgl. Absatz [40]), das beanspruchte Terminalzertifikat sei als eines auszulegen, das überwiegend dem in der Richtlinie beschriebenen entspreche, aber erfindungsgemäß modifiziert sei (vgl. Absatz [35]), und der beanspruchte Austausch der Betriebssoftware müsse "im Feld" sicher durchzuführen sein.
2.2 Die Kammer stimmt der Beschwerdegegnerin darin zu, dass Ansprüche grundsätzlich im Lichte der Beschreibung auszulegen sind (vgl. bspw. T 1817/14, Gründe 7.3, T 3097/19, Gründe 29, sowie T 1473/19, Gründe 3.3). Gleichzeitig aber folgt sie der Rechtsprechung, dergemäß eine Auslegung "im Lichte der Beschreibung" in der Regel nicht dazu führen kann, beschränkende Merkmale in einen im Übrigen eindeutigen und technisch sinnvollen Anspruchswortlaut "hineinzulesen". Die Entscheidung T 1473/19 spricht hier vom "Anspruchs-primat" ("primacy of the claims", vgl. Gründe 3.16.1).
2.3 Der Wortlaut des Anspruchs 1 aller Anträge verweist jedenfalls ausdrücklich weder auf maschinenlesbare Ausweise, noch auf einen Austausch "im Feld" oder die Richtlinie TR-03110. Weder aus der Verwendung des Begriffs "Terminalzertifikats" noch dem beanspruchten Austausch"protokoll" folgt, dass der Fachmann den Anspruchswortlaut quasi "richtlinienkonform" auslegen muss. Das ist konsistent mit dem Umstand, dass die Patentschrift selbst die TR-03110 an den meisten Stellen als nur optional offenbart (vgl. Absatz [11], "wenn die in der TR-03110 beschriebenen Mechanismen genutzt werden"; Absatz [30], "Zweckmäßig können [...] die in der TR-03110 beschriebenen Protokolle ausgeführt werden. [...] Alternativ [...] können andere Protokolle [..] durchgeführt werden"; Absatz [40], "kann zweckmäßig unter Verwendung des PACE-ProtOkolls gemäß der TR-03110 erfolgen"; Absatz [43], "etwa gemäß der TR-03110"; Absatz [44], "Zweckmäßig [...] gemäß der TR-03110").
3. Die Kammer stimmt der Beschwerdeführerin darin zu, dass der beanspruchte Datenträger nicht dadurch besonders charakterisiert ist, dass er "ressourcenbeschränkt" ist, weil das - im allgemeinen - immer der Fall ist. Insbesondere ist der beanspruchte Datenträger nicht zwingend ein maschinenlesbarer elektronischer Ausweis, wie die Patentschrift übrigens ausdrücklich festhält (Absatz [19]). Ebenso geht das Merkmal M2 nicht darüber hinaus, was der Fachmann ohnehin unter einer "Betriebssoftware" verstehen würde.
4. Die Kammer ist der Ansicht, dass der Fachmann, an den sich der Wortlaut der Ansprüche und die Beschreibung richtet (vgl. insbesondere "Terminalzertifikat" und "Ladeschlüssel" in Anspruch 1, aber auch abhängige Ansprüche 3, 4, und 8; siehe auch Absatz [2]; sowie die TR-03110 selbst, siehe D5, Abschnitt 3.1), ein Verständnis von Verschlüsselungsverfahren mitbringen muss, das symmetrische und asymmetrische Verschlüsselung, PKI (Public-Key Infrastruktur) und die Verwendung digitaler Zertifikate umfasst. Die Kammer meint weiter, dass dieses allgemeine Fachwissen nicht im Einzelnen druckschriftlich belegt werden muss, wäre aber auch geneigt gewesen, die für den Nachweis vorgelegten Druckschriften E9 bis E13 als (insofern) sehr relevant ins Verfahren zuzulassen. Da allerdings die Beschwerdegegnerin konkrete Annahmen über das allgemeine Fachwissen jedenfalls grundsätzlich nicht bestritten hat (vgl. Beschwerdeerwiderung, Seite 11, vorletzter Absatz), kann diese Frage dahinstehen.
4.1 Unter einem "Zertifikat" wird der Fachmann typischerweise eines verstehen, wie es in einer Public-Key-Infrastruktur (PKI) verwendet wird. Diese Auslegung mag nicht zwingend sein, sie ist aber wenigstens möglich und technisch sinnvoll und ein grundsätzlich anderes Verständnis dieses Begriffs wurde nicht vorgetragen.
4.1.1 Der Fachmann weiß, wie ein solches Zertifikat typischerweise aufgebaut ist: In der Regel handelt es sich um ein digitales Dokument, das von einer vertrauenswürdigen Stelle mit ihrem privatem Schlüssel elektronisch signiert ist. Das notwendige Vertrauen in die Authentizität des Zertifikats ist dadurch begründet, dass das Zertifikat mit dem öffentlichen Schlüssel der ausgebenden Stelle entschlüsselt werden kann. Es ist ebenfalls fachüblich, dass ein Zertifikat einen öffentlichen Schlüssel des zertifizierten Akteurs, hier des Terminals, enthält (vgl. bspw. D5, Abschnitt 3.4.1). Auf diese Weise begründet die als vertrauenswürdig bekannte, zertifizierende Stelle das Vertrauen in die verschlüsselte Kommunikation mit dem zertifizierten Akteur ("chain of trust"). Die Kammer merkt ausdrücklich an, dass sie das Konzept der PKI-Infrastruktur dem allgemeinen Fachwissen zurechnet, obwohl es durch eine ganze Anzahl komplexer Einzelelemente definiert ist.
4.1.2 Unter einem "Terminalzertifikat" würde der Fachmann ein Zertifikat, das ein Terminal zertifiziert, verstehen. Anspruchsgemäß soll es "die Berechtigung zur Übertragung eines Ladeschlüssels nachweis[en]".
4.1.3 Dieses Recht sowie der Begriff der "Übertragung" sind auslegungsbedürftig, da ein Terminal einen Ladeschlüssel immer senden - und damit in einem einfachen Sinne übertragen - kann. Die Formulierung in Absatz [24] des Patents klärt diese Frage nicht abschließend. Tatsächlich geht es in der Patentschrift jedoch nicht um die Übertragung des Ladeschlüssels im engeren Sinne, sondern um seine Verwendung im Zuge des Schreibens auf den Datenträger.
4.1.4 Ungeachtet dessen wird der weitere Inhalt des Zertifikats nicht bestimmt durch die Festlegung, dass es ein bestimmtes Recht einräumt. Grundsätzlich tritt die Wirkung eines Zertifikats erst auf Empfängerseite ein und abhängig davon, welches Vertrauen der Empfänger dem Zertifikat beimisst. Es ist beispielsweise möglich, dass ein gegebenes Zertifikat von einem Empfänger akzeptiert und von einem anderen ignoriert wird, weil nur einer der signierenden Stelle vertraut. Ebenso ist es denkbar, dass das Zertifikat nur nachweist, dass das Terminal vertrauenswürdig ist, und der Datenträger alle weiteren, speziellen Berechtigungen des Terminals aus dieser allgemeinen Einschätzung ableitet. Die beanspruchte Prüfung des Zertifikats stellt sicher, dass das Zertifikat die notwendigen Operationen erlaubt. Wie im Einzelnen die Erlaubnis im Zertifikat kodiert ist, legt der Anspruch nicht fest.
4.2 Die Übertragung der neuen Betriebssoftware erfolgt anspruchsgemäß "unter Verwendung" eines Ladeschlüssels, der zuvor an den Datenträger übertragen wird (M10, M13). Wenn auch die spezifische Verwendung des Ladeschlüssels nicht ausdrücklich beansprucht wird, wie die Beschwerdeführerin richtig feststellt, ist die Kammer der Ansicht, dass der Fachmann eine kryptographisch gesicherte Übertragung annehmen würde, wobei also die übertragene Betriebssoftware mit dem Ladeschlüssel verschlüsselt oder digital signiert wäre. Dabei bleibt offen, ob es sich um eine symmetrische oder asymmetrische Verschlüsselung handelt. Beide sind denkbar, technisch sinnvoll und im Übrigen wohlbekannt.
4.3 Schließlich merkt die Kammer an, dass der Anspruchswortlaut nicht ausdrücklich verlangt, dass die Eignung des bereitgestellten Zertifikats geprüft, oder dass, sollte diese Prüfung scheitern, das Verfahren (an geeigneter Stelle) abgebrochen würde. Aber die Kammer ist der Ansicht, dass der genannte Fachmann den Anspruchswortlaut so verstehen würde.
Erfinderische Tätigkeit, Hauptantrag, Patent wie erteilt
5. Das Dokument E1 betrachtet in Abschnitt 13.5.1 Chipkarten-Mikrocontroller, die ausschließlich einen (mehrfach beschreibbaren) Flashspeicher aufweisen. Bei solchen sei es nötig, nach Herstellung die Betriebssoftware von einem "Terminal" auf den Chip zu laden. Dazu würde ein "Urlader" verwendet werden, der die Betriebssoftware in den Flashspeicher lädt. E1 offenbart dort auch die Notwendigkeit einer "Authentisierung" zwischen Chipkarte und Terminal.
5.1 Wie die Beschwerdegegnerin betont, wird Abschnitt 13.5.1 im Zusammenhang mit der "Komplettierung des Betriebssystems" offenbart (Abschnitt 13.5), also der "Initialisierung" einer Chipkarte während der Herstellung mit der notwendigen Software. Eine solche Initialisierung in der sicheren Umgebung des Herstellers sei grundsätzlich verschieden von einem Softwareaustausch im unsicheren "Feld". Daher sei E1 ein ungeeigneter (sogar "abwegiger") Ausgangspunkt zur Bewertung der erfinderischen Tätigkeit der vorliegenden Ansprüche (vgl. Schreiben vom 9. Dezember 2022, Seite 27).
5.2 Die Kammer ist jedoch der Ansicht, dass die erfinderische Tätigkeit grundsätzlich ausgehend von jedem Dokument betrachtet werden kann (vgl. T 1742/12, Gründe 9), und erinnert im Übrigen daran, dass der Anspruchswortlaut die Umgebung des Austauschs, ihre Sicherheit und die zu beachtenden Sicherheitsanforderungen unbestimmt lässt. Weder schließt er aus, dass auch der Austausch in der sicheren Umgebung eines Herstellers erfolgt, noch dass ein möglicher Grad an Unsicherheit untolerierbar wäre.
5.3 Die Kammer geht bei ihrer Analyse daher von E1 aus.
6. E1 bezieht sich auf die Erstausstattung einer Chipkarte mit der nötigen Betriebssoftware, nicht aber auf einen späteren Austausch (vgl. Merkmal M1) und die Notwendigkeit, eine schon vorliegende Betriebssoftware im Zuge der Übertragung zu löschen (vgl. Merkmal M12). Darüber hinaus offenbart E1 keine Details der Authentisierung zwischen Chipkarte und Terminal, kein Terminalzertifikat, das übertragen und überprüft würde, und keinen Ladeschlüssel, der selbst übertragen und dann bei der Übertragung der Betriebssoftware verwendet würde. E1 offenbart somit auch die Merkmale M6 bis M10 und M13 nicht.
6.1 Diese Unterschiede lösen nach Ansicht der Kammer zwei Aufgaben. Zum einen ermöglichen sie es, dass eine neue Betriebssoftware zum Einsatz gebracht werden kann, und zum anderen steigern sie die Sicherheit beim Einbringen der Betriebssoftware in den Datenträger.
6.1.1 Die Kammer kann nicht erkennen, dass der Fachmann einen ausdrücklichen Anlass bräuchte, um sich diesen Aufgaben zu widmen. Neue Versionen einer Betriebssoftware werden aus unterschiedlichen, wohlbekannten Gründen fällig, und der Fachmann braucht keinen ausdrücklichen Hinweis, um einen Gegenstand in einer bekannten Dimension (hier Sicherheit) verbessern zu wollen.
6.1.2 Eine Synergie zwischen beiden Wirkungen kann die Kammer auch nicht erkennen. Eine Austausch der Betriebssoftware kann ebenso unter den Sicherheitsbedingungen der E1 erfolgen - wenn beispielsweise der Datenträger zum Austausch an den Hersteller zurückgeschickt wird - wie auch die Sicherheit für die Erstausstattung des Datenträgers gemäß E1 gesteigert werden kann.
6.1.3 Einen Antrag der Beschwerdegegnerin, den Vortrag zweier Teilaufgaben als verspätet nicht zuzulassen, hat die Kammer verworfen, insbesondere weil die zugrundeliegende Überlegung, wenn auch nicht in diesen Worten, schon (wenigstens) in ihrer vorläufigen Meinung enthalten war.
6.2 Die Kammer ist der Ansicht, dass es grundsätzlich naheliegend ist, eine neue Betriebssoftware durch Austausch auf eines alten Datenträgers in Verkehr zu bringen und einen Austausch des Datenträgers selbst nicht zu verlangen. Auch meint sie, dass der Fachmann ein Verfahren, dass zur Initialisierung der Chipkarte mit Betriebssoftware bekannt ist, ohne Weiteres auch für einen Austauschvorgang in Betracht ziehen würde.
6.2.1 Dass beides, wie die Beschwerdegegnerin vorträgt, (insbesondere im Zusammenhang mit der TR-03110) nicht üblich oder nicht erlaubt gewesen sei, wird nicht bestritten, steht dem aber auch nicht entgegen. Wenn ein Austausch der Betriebssoftware gewünscht ist und er sicher nur im Herstellerumfeld geschehen kann, gibt es kein technisches Hindernis, den betreffenden Datenträger etwa einzuschicken und den Austausch ebendort vorzunehmen. Praktische oder finanzielle Gründe, die dagegen sprechen könnten, sind bei der technischen Bewertung des Sachverhalts unerheblich.
6.2.2 Dass bei einem Austausch der Betriebssoftware der Speicherbereich auf der Chipkarte noch durch Löschen einer alten Betriebssoftware bereinigt wird, ist unmittelbar naheliegend. Es ist daher nicht einmal relevant, dass (oder ob) bei Flash-Speicher - der in E1 erwähnt ist, aber auf den der Anspruchswortlaut nicht beschränkt ist - jedem Überschreiben ein Löschen zwingend vorausgeht.
6.3 E1 erwähnt eine Authentisierung, führt diese aber nicht weiter aus.
6.3.1 Die Beschwerdegegnerin verweist darauf, dass im Handbuch, dem E1 entnommen ist, als konkrete Form der Authentisierung ein Challenge/Response-Verfahren offenbart ist (vgl. K4, Abschnitte 7.4 und 7.4.2), das insbesondere keine Zertifikate verwendet, und dass der Fachmann keinen Anlass hätte, dieses Verfahren zu ersetzen. Es sei festgestellt, dass die Kammer K4 als sehr relevant ins Verfahren zulässt.
6.3.2 Die Kammer stellt jedoch fest, dass in der K4 ausdrücklich andere Authentisierungsverfahren erwähnt sind, darunter asymmetrische, also auf RSA oder ähnlichen Algorithmen aufbauende, die "zur Zeit" aus Geschwindigkeitsgründen "noch" nicht verwendet würden, aber deren größere Relevanz in Zukunft "absehbar" sei (vgl. K4, Seite 180, Absatz 1). E1 und K4 stehen also nicht nur einer alternativen Authentisierung nicht im Wege, sondern sie weisen den Fachmann ausdrücklich auf eine solche Möglichkeit hin.
6.3.3 Die Kammer ist der Meinung, dass zum Prioritätszeitpunkt des Patents die Bereitstellung eines digital signierten "Zertifikats" durch das Terminal zur Überprüfung durch die Chipkarte als fachübliche Umsetzung einer Authentisierung gelten muss. Auch für naheliegend hält die Kammer in dieser Hinsicht das Absichern eines Zertifikats mittels einer PKI, selbst wenn ihr Einsatz eine Reihe teilweise komplexer Einzelmaßnahmen umfasst.
6.3.4 Die Authentisierung nach E1 stellt ein "Vertrauen" zwischen Chipkarte und Terminal her, auf dessen Grundlage die weitere Kommunikation zwischen beiden beruht. Insbesondere kann die Chipkarte darauf vertrauen, dass die vorgesehene Betriebssoftware von einem vertrauenswürdigen Terminal stammt.
6.3.5 Es ist, wie oben ausgeführt, nicht nötig, dass die Authentisierung nach E1 Berechtigung für notwendige Einzeloperationen separat erlaubt.
6.3.6 Gleichzeitig legt, wie ebenfalls oben erläutert, Anspruch 1 nicht fest, wie im Einzelnen das Terminalzertifikat die behauptete Berechtigung zur Übertragung eines Ladeschlüssels nachweist. Der Anspruchswortlaut umfasst die Möglichkeit, dass das Terminalzertifikat das Terminal "als Ganzes" authentisiert, und der Datenträger dieser Authentisierung die Berechtigung zur Übertragung eines Ladeschlüssels nur implizit entnimmt. Aus dieser Perspektive sind die Merkmale M6 und M7, soweit sie das Terminalzertifikat überhaupt einschränken, gegenüber E1 nahegelegt.
6.3.7 Der Fachmann, der von E1 ausgeht und dafür sorgen möchte, dass die Chipkarte darauf vertrauen kann, dass die bereitgestellte Betriebssoftware tatsächlich vom Terminal stammt, würde die Betriebssoftware durch das Terminal digital signieren lassen. Es wäre zu diesem Zweck der Chipkarte einen öffentlichen Schlüssels des Terminals zur Verfügung stellen, was üblicherweise mittels eines Zertifikats geschieht. Dieses Zertifikat und dieser öffentliche Schlüssel entsprechen dem "Terminalzertifikat" bzw. dem "Ladeschlüssel" gemäß Anspruch 1.
7. Zusammenfassend stimmt die Kammer der Beschwerdeführerin darin zu, dass Anspruch 1 des Patents (Hauptantrag) gegenüber E1 und dem allgemeinen Fachwissen nicht erfinderisch ist.
Zulassung der Hilfsanträge
8. Die Beschwerdeführerin ist der Ansicht, dass die Hilfsanträge mangels Substantiierung nicht zuzulassen seien und stützt sich in dieser Hinsicht insbesondere auf die Entscheidung T 319/18 der Beschwerdekammern. Im dort zugrundeliegenden Fall (vgl. Entscheidungsgründe 2 ff.) hatte die Patentinhaberin mit der Beschwerdeerwiderung einen Hilfsantrag wieder vorgelegt, der schon der Einspruchsabteilung vorgelegen, über deren Zulassung die Einspruchsabteilung aber nicht zu entscheiden hatte, da schon ein höherrangiger Antrag Erfolg hatte. Die Kammer in T 319/19 war der Meinung, dass allein die Tatsache, dass der Hilfsantrag schon im Einspruchsverfahren "formal eingereicht" worden sei, diesen nicht automatisch zum Teil der Beschwerdesache macht, da die Einspruchsabteilung über ihre Zulassung noch nicht entschieden habe (vgl. Gründe 2.2, Übersetzung durch die Kammer). Es wird zudem die Entscheidung T 1732/10, Gründe 1.5, als Beleg dafür angeführt, es sei ständige Rechtsprechung der Beschwerdekammern, dass Anträge, die nicht selbsterklärend seien, erst mit ihrer Substantiierung wirksam gestellt ("effective") seien. T 1732/10 (vgl. Gründe 1.5) enthält diese Feststellung tatsächlich, wenn auch qualifiziert durch ein "normalerweise".
9. Nach Artikel 12(4) VOBK 2007, der nach Artikel 25(2) VOBK 2020 hier anzuwenden ist, wird das gesamte Vorbringen der Beteiligten nach Artikel 12(1) VOBK 2007 von der Kammer berücksichtigt, wenn und soweit es sich auf die Beschwerdesache bezieht und die Erfordernisse nach Artikel 12(2) VOBK 2007 erfüllt. Eine Ausnahme von dieser Regel besteht nur für Vorbringen, das bereits im erstinstanzlichen Verfahren hätte vorgebracht werden können oder dort nicht zugelassen worden ist.
9.1 Die Hilfsanträge 1-6 wurden in Vorbereitung auf die mündliche Verhandlung vor der Einspruchsabteilung fristgerecht vorgelegt (insbes. vor Ablauf der Frist nach Regel 116(2) EPÜ), und zwar "rein vorsorglich [...], falls die Einspruchsabteilung von ihrer vorläufigen Meinung abweich[en]" sollte (ibid.) und ohne inhaltliche Diskussion. Die Kammer ist der Ansicht, dass die Anträge damit "wirksam" gestellt sind und kann nicht erkennen, dass dafür ein weiteres Begründungserfordernis besteht. Die erstgenannte Ausnahme nach Artikel 12(4) VOBK 2007 ist damit nicht einschlägig.
9.2 Eine Nichtzulassungsentscheidung der Einspruchsabteilung ist nicht erfolgt. Damit ist auch die zweitgenannte Ausnahme nach Artikel 12(4) VOBK 2007 nicht einschlägig. Es ist nach Ansicht der Kammer für diesen Schluss nicht erforderlich, wie die T 319/18 impliziert, dass die Einspruchsabteilung überhaupt schon über die Zulassung entschieden hat.
9.3 Es bleibt die Frage, ob sich die Hilfsanträge "auf die Beschwerdesache bezieh[en] und die Erfordernisse nach" Artikel 12(2) VOBK 2007 erfüllen.
9.3.1 Ein zentraler Aspekt der "Beschwerdesache" ist es sicher, ob "die angefochtene Entscheidung aufzuheben, abzuändern oder zu bestätigen" ist (vgl. Artikel 12(2) VOBK 2007). Darüber hinaus ist aber dem Artikel 12 VOBK 2007 nichts Konkretes zu diesem Begriff zu entnehmen. Sache der Beschwerdegegnerin ist vorliegend, die Entscheidung zu bestätigen, hilfsweise auf Grundlage der Hilfsanträge 1-6 abzuändern. Die Hilfsanträge 1-6 sind somit nach Überzeugung der Kammer zweifelsfrei Teil der "Beschwerdesache" gemäß VOBK 2007.
9.3.2 Die "Erfordernisse nach" Artikel 12(2) VOBK 2007 umfassen, dass in der Beschwerdebegründung und Erwiderung "deutlich und knapp an[zu]geben" ist, "aus welchen Gründen die Entscheidung aufzuheben, abzuändern oder zu bestätigen ist" und dass "spezifisch alle Tatsachen, Argumente und Beweismittel angeführt werden sollen". Die Beschwerdegegnerin erläutert in der Beschwerdeerwiderung ausführlich, warum die Entscheidung, das Patent wie erteilt aufrechtzuerhalten, zu bestätigen ist, und führt spezifisch alle Tatsachen, Argumente und Beweismittel auf. Ihr Vortrag bezieht sich, wie die Beschwerde selbst, ausschließlich auf den Einspruchsgrund nach Artikel 100(a) und 56 EPÜ. Es ist daher unmittelbar ersichtlich, dass sie den Gegenstand der Hilfsanträge 1-6 wie den des Patents - und umso mehr - für nicht naheliegend hält, auch wenn weitergehende Gründe dafür in der Beschwerdeerwiderung nicht vorgetragen wurden. Es kann nach Ansicht der Kammer nicht Gegenstand der Zulassungsprüfung nach Artikel 12(4) i.V.m. (2) VOBK 2007 sein, ob die vorgebrachten Gründe, Tatsachen, Argumente und Beweismittel in der Sache Erfolg haben, oder ob ein Antrag "selbsterklärend" ist. Das muss in aller Regel der sachlichen Prüfung vorbehalten bleiben. Die Kammer hält damit das - als schwach verstandene - Begründungserfordernis des Artikels 12(2) VOBK 2007 für erfüllt.
9.4 Zusammenfassend liegt somit ein Nichtzulassungsgrund nach Artikel 12(4) VOBK 2007 nicht vor.
9.5 Der Vollständigkeit halber merkt die Kammer an, dass ihr dennoch unter Artikel 114(2) EPÜ ein Nichtzulassungsermessen für verspätete Tatsachen und Beweismittel bleibt, die hinsichtlich dieser Hilfsanträge vorgebracht werden. Im vorliegenden Verfahren ist nur ein solcher Nichtzulassungsantrag ausdrücklich erfolgt, den die Kammer allerdings verworfen hat (siehe unten).
Zurückverweisung
10. Die Beschwerdegegnerin beantragte die Zurückverweisung der Sache zur weiteren Entscheidung über die Hilfsanträge 1-6, da diese vor der Einspruchsabteilung noch nicht zur Sprache gekommen seien.
10.1 Eine Zurückverweisung nach Artikel 111(1) EPÜ ist nur dann sachdienlich, wenn nach Einschätzung der Kammer wenigstens die Möglichkeit besteht, dass die vorgelegten Änderungen die Erfordernisse des EPÜ erfüllen. Das ist hier nicht der Fall.
10.2 Die Beschwerdegegnerin betont, dass die Kammer von der Einschätzung der nach Zurückverweisung zuständigen Einspruchsabteilung abweichen könnte, wie der vorliegende Fall deutlich macht.
10.3 Es verkennt allerdings die Rolle der Beschwerdekammern, vorzuschlagen, dass die Kammer ihre sachliche Beurteilung hinter eine möglicherweise großzügigere - oder grundsätzlich nur andere - Beurteilung der Einspruchsabteilung zurückstellen solle. Außerdem widerspricht ein solches Vorgehen der Präferenz gemäß Artikel 11 VOBK 2020.
10.4 Die Kammer hat daher in der mündlichen Verhandlung nach eingehender Diskussion mit der Beschwerdegegnerin über die Erfolgsaussichten der Hilfsanträge 1-6 entschieden, dem Antrag auf Zurückverweisung nicht stattzugeben, sondern nach Artikel 111(1) EPÜ im Rahmen der Zuständigkeit der Einspruchsabteilung zu entscheiden.
Erfinderische Tätigkeit, Hilfsanträge 1-6
11. Gemäß Hilfsantrag 1 wird ein "Prüfschlüssel" gebildet und in das Terminalzertifikat eingefügt. Das Verfahren nach Anspruch 1 erwähnt die Verwendung eines Prüfschlüssels nicht ausdrücklich, impliziert eine solche Verwendung aber auch nicht anderweitig. Anspruch 1 des Hilfsantrags unterscheidet sich daher von Anspruch 1 des Patents dadurch, dass das verwendete Terminalzertifikat um ein nicht verwendetes Element ergänzt wurde. Diesem Unterschied kommt im beanspruchten Verfahren keine technische Wirkung zu, so dass er nicht zur erfinderischen Tätigkeit beitragen kann.
12. Gleiches gilt für Anspruch 1 des Hilfsantrags 2. Die Terminalauthentisierung entspricht in Anspruch 1 der Prüfung des Terminalzertifikats. Diese Prüfung wird nicht erkennbar dadurch verändert, dass mit dem Prüfschlüssel ein zusätzliches Element in das Zertifikat eingefügt wird. Auch Anspruch 1 des Hilfsantrags 2 fehlt es somit an erfinderischer Tätigkeit.
13. Anspruch 1 des Hilfsantrags 3 formuliert das durch das Terminalzertifikat nachgewiesene Recht ausführlicher. Wie oben erläutert, ergibt sich jedoch die Wirkung eines solchen Rechts erst dann, wenn - und abhängig davon wie - es empfängerseitig verwendet wird. Da am beanspruchten Verfahren keine Änderungen vorgenommen wurden, steht das hinzugefügte Merkmal einer breiten Auslegung wie oben dargestellt nicht entgegen.
14. Anspruch 1 des Hilfsantrags 4 formuliert, dass die Betriebssoftware eine Kette von Zertifikate prüft, und der des Hilfsantrags 5, dass das (modifizierte) Terminalzertifikat das letzte in dieser Kette ist. Dass die Prüfung des Terminalzertifikats durch die (nicht weiter spezifizierte) Betriebssoftware des Datenträgers erfolgt, ist unmittelbar naheliegend. Dass weiter die Vertrauenswürdigkeit eines Zertifikats entlang einer Kette von weiteren Zertifikaten führt, die schließlich zu einer vertrauenswürdigen Zertifizierungsstelle führt, ist ein bekanntes Merkmal einer Public-Key-Infrastruktur. Da PKI schon bei der Analyse des Hauptantrags dem allgemeinen Fachwissen zugerechnet wurde, tragen die neuen Merkmale nichts weiter zur erfinderischen Tätigkeit bei.
15. Anspruch 1 des Hilfsantrags 6 fügt das Merkmal hinzu, dass der Prüfschlüssel aus der Betriebssoftware gebildet wird. Zunächst ist festzustellen, dass weiterhin keine Verwendung des Prüfschlüssels ausdrücklich beansprucht ist.
15.1 Die Beschwerdegegnerin war der Meinung, dass der Fachmann aus dem Begriff des "Prüfschlüssels" und der Art seiner Bestimmung seine bestimmungsgemäße Verwendung erkennen würde und dass die Wirkung einer solchen Verwendung dem Anspruchsgegenstand zuzuschreiben sei.
15.2 Die Kammer hat daher untersucht, ob der in spezifischer Weise gebildete Schlüssel eine technische Wirkung wenigstens eindeutig ermöglicht, die dann, wenn sie dem Schlüssel zugeschrieben werden könnte, eine erfinderische Tätigkeit stützen könnte.
15.3 Der Fachmann würde dem Wortlaut des Anspruchs entnehmen, dass der Prüfschlüssel aus der unverschlüsselten Betriebssoftware abgeleitet wird. Ein solcher Prüfschlüssel kann, so würde der Fachmann verstehen, beispielsweise dazu verwendet werden, um sicherzustellen, dass die Betriebssoftware während der Übertragung nicht verändert wurde. Je nachdem, welches Verfahren beim "Übertragen der neuen Betriebssoftware unter Verwendung des Ladeschlüssels" eingesetzt würde, ließe sich aber eine Veränderung bei Übertragung schon bei Entschlüsselung feststellen. Die Sicherheitsrelevanz des Prüfschlüssels im Kontext des vorliegenden Anspruchs ist somit unklar. Der Fachmann würde zur weiteren Klärung dieser Frage die Beschreibung heranziehen. Diese offenbart in den Absätzen [51] und [52], dass das Abbild des neuen Betriebssystems mit dem Prüfschlüssel geprüft wird, bevor es mit dem Ladeschlüssel entschlüsselt wird. Dementsprechend müsste der Prüfschlüssel aus dem schon verschlüsselten Betriebssystem abgeleitet werden, was dem offenbaren Wortlaut des Anspruchs widerspricht. Insgesamt kommt die Kammer daher zum Ergebnis, dass die Verwendung des Prüfschlüssels weder beansprucht noch durch den Anspruchswortlaut eindeutig impliziert ist, und dass ihre Wirkung aufgrund des breiten Anspruchswortlauts und eines Widerspruchs zwischen Anspruchswortlaut und Beschreibung nicht deutlich genug festgestellt werden kann, dass sie dem Prüfschlüssel alleine zugeschrieben werden könnte. Das neue Merkmal kann also eine erfinderische Tätigkeit ebenfalls nicht begründen.
16. Insgesamt kommt die Kammer zum Ergebnis, dass der Einspruchsgrund unter Artikel 100(a) i.V.m. Artikel 56 EPÜ der Aufrechterhaltung des Patents wie erteilt ebenso wie in geänderter Form entgegen steht, Artikel 101(2) und (3)b). Das Patent ist daher zu widerrufen.
Aus diesen Gründen wird entschieden:
1. Die angefochtene Entscheidung wird aufgehoben.
2. Das europäische Patent wird widerrufen.