Patent- und Markenrecht

Wirkungslosigkeit dieser Entscheidung

Aktenzeichen  2 Ni 22/16 (EP)

Datum:
7.6.2018
Rechtsgebiet:
Gerichtsart:
BPatG
Gerichtsort:
München
Dokumenttyp:
ECLI:
ECLI:DE:BPatG:2018:070618U2Ni22.16EP.0
Spruchkörper:
2. Senat

Tenor

In der Patentnichtigkeitssache


betreffend das europäische Patent EP 1 320 012 (DE 602 41 341)
hat der 2. Senat (Nichtigkeitssenat) des Bundespatentgerichts auf Grund der mündlichen Verhandlung vom 7. Juni 2018 unter Mitwirkung des Vorsitzenden Richters Guth sowie der Richterin Hartlieb und der Richter Dipl.-Ing. Baumgardt, Dipl.-Phys. Dr. Forkel und Dipl.-Ing. Hoffmann
für Recht erkannt:
I. Das europäische Patent 1 320 012 wird mit Wirkung für das Hoheitsgebiet der Bundesrepublik Deutschland für nichtig erklärt.
II. Die Beklagte hat die Kosten des Rechtsstreits zu tragen.
III. Das Urteil ist gegen Sicherheitsleistung in Höhe von 120% des jeweils zu vollstreckenden Betrages vorläufig vollstreckbar.

Tatbestand

1  Die Nichtigkeitsklage betrifft das am 11. Dezember 2002 in der Verfahrenssprache Englisch angemeldete, die Prioritäten zweier US-Anmeldungen vom 12. Dezember 2001 und vom 12. Februar 2002 beanspruchende und am 19. Oktober 2011 veröffentlichte europäische Patent(Streitpatent) mit der Bezeichnung „System and method for providing distributed access control to secured items“.
EP 1 320 012 B1
2  Das Streitpatent umfasst 8 Patentansprüche, von denen die Ansprüche 1 und 5 nebengeordnet, die Unteransprüche 2 bis 4 auf den Patentanspruch 1 und die Patentansprüche 6 bis 8 auf den Patentanspruch 5 unmittelbar oder mittelbar rückbezogen sind.
3  Die Ansprüche 1 und 5 des Streitpatents lauten in der Verfahrenssprache Englisch jeweils mit einer Gliederung versehen:
4  :
Anspruch 1
5  A distributed access control system adapted to restrict access of a user to secured items, said system comprising:
M1 1.
6  a central server (500) having a server module (502) adapted to provide overall access control;
M1.1
7  wherein the access control, performed by said central server (500), is adapted to operate to permit or deny an access request of the user to the secured items in accordance with access privileges granted to the requesting user and access rules (229) in the secured items;
M1.1.1
8  characterized by
9  a plurality of local servers (570) coupled to the central server (500), each of said local servers (570) including a local module (572) adapted to provide local access control to a group of designated users;
M1.2
10  wherein the access request by the user is processed in a distributed manner by one or more of said local servers (570); and
M1.2.1
11  wherein, when the access request is processed in said local server (570), the requesting user is granted access to the secured items without having to access said central server (500) when the access privileges of the requesting user are permitted by the access rules (229) in the secured items.
M1.2.2
12  Anspruch 5:
13  A method used in a distributed access control system, the method comprising:
M5
5  14  providing overall access control by a server module (502) in a central server (500);
M5.1
15  wherein the access controls, performed by said central server (500) operates to permit or deny an access request to the secured items by a requesting user in accordance with access privileges granted to the requesting user and access rules (229) in the secured items;
M5.1.1
16  characterized by
17  providing local access control to a group of designated uses by a local module (572) respectively provided in local servers (570), wherein the local servers (670) are coupled to the central server (600);
M5.2
18  wherein the access request by the user is processed in a distributed manner by one or more of said local servers (570); and
M5.2.1
19  wherein, when the access request is processed in said local server (570), the requesting user is granted access to the secured items without having to access said central server (500) when the access privileges of the requesting user are permitted by the access rules (229) in the secured items.
M5.2.2
20  Hinsichtlich des Wortlauts der weiteren Patentansprüche 2 bis 4 und 6 bis 8 wird auf die Patentschrift verwiesen.
21  Die Beklagte verteidigt das Streitpatent in vollem Umfang und hilfsweise mit den Hilfsanträgen 1 bis 6.
22  Anspruch 1 deshat – unter Kenntlichmachung der Unterschiede zum Hauptantrag – folgenden Wortlaut:
Hilfsantrags 1
23  A distributed access control system adapted to restrict access of a user to secured items, said system comprising:
H1-M1
including executable code
24  a central server (500) having a server module (502) adapted to provide overall access control;
M1.1
25  wherein the access control, performed by said central server (500), is adapted to operate to permit or deny an access request of the user to the secured items in accordance with access privileges granted to the requesting user and access rules (229) in the secured items;
M1.1.1
26  characterized by
27  a plurality of local servers (570) coupled to the central server (500), each of said local servers (570) including a local module (572) adapted to provide local access control to a group of designated users;
M1.2
28  wherein the access request by the user is processed in a distributed manner by one or more of said local servers (570); and
M1.2.1
29  wherein, when the access request is processed in said local server (570), the requesting user is granted access to the secured items without having to access said central server (500) when the access privileges of the requesting user are permitted by the access rules (229) in the secured items.
M1.2.2
30  Anspruch 1 deshat – unter Kenntlichmachung der Unterschiede zum Hauptantrag – folgenden Wortlaut:
Hilfsantrags 2
31  A distributed access control system adapted to restrict access of a user to secured items, said system comprising:
M1
32  a central server (500) having a server module (502) adapted to provide overall access control;
H2-M1.1
, wherein the server module in the central server maintains a database that includes a list of users and corresponding access privileges
33  wherein the access control, performed by said central server (500), is adapted to operate to permit or deny an access request of the user to the secured items in accordance with access privileges granted to the requesting user and access rules (229) in the secured items;
M1.1.1
34  characterized by
35  a plurality of local servers (570) coupled to the central server (500), each of said local servers (570) including a local module (572) adapted to provide local access control to a group of designated users;
H2-M1.2
, wherein the local module is a copy or a subset of the server module
36  wherein the access request by the user is processed in a distributed manner by one or more of said local servers (570); and
M1.2.1
37  wherein, when the access request is processed in said local server (570), the requesting user is granted access to the secured items without having to access said central server (500) when the access privileges of the requesting user are permitted by the access rules (229) in the secured items.
M1.2.2
38  Anspruch 1 deshat – unter Kenntlichmachung der Unterschiede- folgenden Wortlaut:
Hilfsantrags 3
zum Hilfsantrag 2
39  A distributed access control system adapted to restrict access of a user to secured items, said system comprising:
M1
40  a central server (500) having a server module (502) adapted to provide overall access control, wherein the server module in the central server maintains a database that includes a list of users and corresponding access privileges,;
H3-M1.1
wherein the access privileges specify membership in one or more user groups
41  wherein the access control, performed by said central server (500), is adapted to operate to permit or deny an access request of the user to the secured items in accordance with access privileges granted to the requesting user and access rules (229) in the secured items;
M1.1.1
42  a plurality of local servers (570) coupled to the central server (500), each of said local servers (570) including a local module (572) adapted to provide local access control to a group of designated users, wherein the local module is a copy or a subset of the server module;
H2-M1.2
43  wherein the access request by the user is processed in a distributed manner by one or more of said local servers (570); and
M1.2.1
44  wherein, when the access request is processed in said local server (570), the requesting user is granted access to the secured items without having to access said central server (500) when the access privileges of the requesting user are permitted by the access rules (229) in the secured items.
M1.2.2
45  Anspruch 1 deshat – unter Kenntlichmachung der Unterschiede- folgenden Wortlaut:
Hilfsantrags 4
zum Hilfsantrag 3
46  A distributed access control system adapted to restrict access of a user to secured items, said system comprising:
M1
47  H4-M1.0
a user authentication process (600) for authenticating the user before being able to access secured items;
48  a central server (500) having a server module (502) adapted to provide overall access control, wherein the server module in the central server maintains a database that includes a list of users and corresponding access privileges, wherein the access privileges specify membership in one or more user groups;
H3-M1.1
49  wherein the access control, performed by said central server (500), is adapted to operate to permit or deny an access request of the user to the secured items in accordance with access privileges granted to the requesting user and access rules (229) in the secured items;
M1.1.1
50  a plurality of local servers (570) coupled to the central server (500), each of said local servers (570) including a local module (572) adapted to provide local access control to a group of designated users, wherein the local module is a copy or a subset of the server module;
H2-M1.2
51  wherein the access request by the user is processed in a distributed manner by one or more of said local servers (570); and
M1.2.1
52  wherein, when the access request is processed in said local server (570), the requesting user is granted access to the secured items without having to access said central server (500) when the access privileges of the requesting user are permitted by the access rules (229) in the secured items.
M1.2.2
53  Anspruch 1 deshat – unter Kenntlichmachung der Unterschiede- folgenden Wortlaut:
Hilfsantrags 5
zum Hilfsantrag 4
54  A distributed access control system adapted to restrict access of a user to secured items, said system comprising:
H1-M1
including executable code
55  a user authentication process (600) for authenticating the user before being able to access secured items;
H4-M1.0
56  a central server (500) having a server module (502) adapted to provide overall access control, wherein the server module in the central server maintains a database that includes a list of users and corresponding access privileges, wherein the access privileges specify membership in one or more user groups;
H3-M1.1
57  wherein the access control, performed by said central server (500), is adapted to operate to permit or deny an access request of the user to the secured items in accordance with access privileges granted to the requesting user and access rules (229) in the secured items;
M1.1.1
58  a plurality of local servers (570) coupled to the central server (500), each of said local servers (570) including a local module (572) adapted to provide local access control to a group of designated users, wherein the local module is a copy or a subset of the server module;
H2-M1.2
59  wherein the access request by the user is processed in a distributed manner by one or more of said local servers (570); and
M1.2.1
60  wherein, when the access request is processed in said local server (570), the requesting user is granted access to the secured items without having to access said central server (500) when the access privileges of the requesting user are permitted by the access rules (229) in the secured items.
M1.2.2
61  Anspruch 1 deshat – unter Kenntlichmachung der Unterschiede- folgenden Wortlaut:
Hilfsantrags 6
zum Hilfsantrag 5
62  A distributed access control system adapted to restrict access of a user to secured items including executable code, said system comprising:
H1-M1
63  a user authentication process (600) for authenticating the user before being able to access secured items;
H4-M1.0
64  a central server (500) having a server module (502) adapted to provide overall access control, wherein the server module in the central server maintains a database that includes a list of users and corresponding access privileges;
H2-M1.1
, wherein the access privileges specify membership in one or more user groups
65  wherein the access control, performed by said central server (500), is adapted to operate to permit or deny an access request of the user to the secured items in accordance with access privileges granted to the requesting user and access rules (229) in the secured items;
M1.1.1
66  a plurality of local servers (570) coupled to the central server (500), each of said local servers (570) including a local module (572) adapted to provide local access control to a group of designated users, wherein the local module is a copy or a subset of the server module;
H2-M1.2
67  wherein the access request by the user is processed in a distributed manner by one or more of said local servers (570); and
M1.2.1
68  wherein, when the access request is processed in said local server (570), the requesting user is granted access to the secured items without having to access said central server (500) when the access privileges of the requesting user are permitted by the access rules (229) in the secured items.
M1.2.2
69  Die Klägerin begründet die Klage mit dem Nichtigkeitsgrund der fehlenden Patentfähigkeit, insbesondere der fehlenden Neuheit. Schriftsätzlich hat die Klägerin die weiteren Nichtigkeitsgründe der mangelnden Ausführbarkeit und der unzulässigen Erweiterung hinsichtlich der Hilfsanträge geltend gemacht.
70  Sie stützt ihr Vorbringen auf die nachstehend genannten Dokumente
71  NK6
US 5 495 533 A
NK7
US 6 064 656 A
NK8, 8a, 8d
BEA WebLogic Server
NK9
US 2001 / 7 133 A1
NK10
EP 0 672 991 A2
NK11
US 5 933 498 A
NK12
EP 0 447 339 A2
72  sowie
73  – STEINER, J.G. et al.: Kerberos: An Authentication Service For Open Network Systems. In: Usenix Conference Proceedings, Februar 1988, pp. 191 – 202
NK6b
74  – Gutachten Prof. Dr. R…
NK13
75  – SINHA, Pradeep K.: Distributed Operating Systems, Concepts and Design. IEEE Press, 1997 (Auszüge)
NK15
76  – Windows NT 3.5 Guidelines for Security, Audit, and Control. Microsoft Press, 1994 (Auszüge)
NK16
77  – Internet Security Glossary RFC 2828, Mai 2000, page 94
NK17
78  – SPANIOL, O.: Sicherheit in Kommunikationsnetzen. Skript zur Vorlesung an der RWTH Aachen, korrigierte erste Fassung, 14. Juli 2000, Kapitel 7: Kerberos
NK18
79  – The Kerberos Network Authentication Service (V5), Network Working Group, Protokoll RFC 1510, September 1993, pp. 1 – 47
NK19
80  In Ergänzung seines ersten Hinweises hat der Senat mit weiterem Hinweis die folgenden beiden Druckschriften als Beleg für das Fachwissen des Durchschnittsfachmanns in das Verfahren eingeführt:
81  NK6 Reference 8: Steiner, J.G. et al.: Kerberos: An Authentication Service For Open Network Systems, Usenix Conference Proceedings, pp. 183 – 190, February 1988 (erwähnt inSp. 4 Z. 5 – 8)
D1
NK6
82  Security Model von Windows NT, zitiert ausSp. 4 Z. 29 ff. und Figur 2, Figur 3.
D2
US 6 308 274 B1
83  Die Klägerin ist der Ansicht, das Streitpatent sei nicht patentfähig, weil die Druckschriften,,,undsämtliche Merkmale der Ansprüche 1 und 5 neuheitsschädlich vorwegnähmen oder weil die Ansprüche jedenfalls ausgehend von den Entgegenhaltungen,mitbzw.und vonin Verbindung mitnahegelegt seien. Die zusätzlichen Merkmale der Unteransprüche seien vom Stand der Technik gemäß,sowiebisvorweggenommen oder durch diesen nahegelegt. Die vom Senat eingeführten Entgegenhaltungenundbeinhalteten zum Prioritätszeitpunkt des Streitpatents bereits allgemein bekanntes Fachwissen, wie auch etwa die Unterlagenundsowie,und,zeigten.
NK6
NK7
NK8
NK9
NK10
NK7
NK11
NK6
NK7
NK12
NK6
NK9
NK7
NK6
NK11
D1
D2
NK15
NK6
NB5
NK17
NB7
NK18
84  Der Gegenstand von Hilfsantrag 1 sei nicht neu, gegenüberbisund ausgehend vonnahegelegt. Die Ansprüche 1 und 3 gemäß Hilfsantrag 2 seien nicht ausführbar, unklar, gegenübernicht neu bzw. beruhten ausgehend vonin Verbindung mitoderin Verbindung mitergänzt durchnicht auf erfinderischer Tätigkeit, ebenso wie ausgehend von.
NK6
NK10
NK11
NK6
NK6
D1
NK6
D2
NK16
NK9
85  Anspruch 1 gemäß Hilfsantrag 3 sei – auch den Schutzbereich betreffend – unzulässig erweitert, und beruhe nicht auf erfinderischer Tätigkeit gegenüberin Verbindung mit dem Kerberos-Server gemäß,,oder auch mit dem Betriebssystem Windows NT gemäß. Dies gelte im Wesentlichen auch für die Hilfsanträge 4, 5 und 6.
NK6
NK15
NK18
NK19
D2
86  Die Klägerin stellt den Antrag,
87  das europäische Patent 1 320 012 mit Wirkung für das Hoheitsgebiet der Bundesrepublik Deutschland in vollem Umfang für nichtig zu erklären.
88  Die Beklagte stellt den Antrag,
89  die Klage abzuweisen,
90  hilfsweise
91  unter Klageabweisung im Übrigen das europäische Patent 1 320 012 dadurch teilweise für nichtig zu erklären, dass seine Patentansprüche die Fassung eines der Hilfsanträge 1 und 2 vom 20. Oktober 2017, weiter hilfsweise die Fassung eines der Hilfsanträge 3 bis 6 in der Fassung vom 7. Juni 2018, in dieser Reihenfolge, erhalten.
92  Die Beklagte erklärt, dass sie die Patentansprüche nach Hauptantrag und Hilfsanträgen jeweils als geschlossene Anspruchssätze versteht, die jeweils in ihrer Gesamtheit beansprucht werden.
93  Die Beklagte tritt der Argumentation der Klägerin in vollem Umfang und hilfsweise beschränkt mit sechs Hilfsanträgen entgegen.
94  Sie ist der Meinung, die vom Senat eingeführten Entgegenhaltungenundseien als Beleg für allgemeines Fachwissen nicht geeignet. Auch werde der Zeitpunkt der Veröffentlichung derbestritten.
D1
D2
D1
95  Das Streitpatent unterscheide streng zwischen Authentifizierung und Autorisierung.
96  Das streitpatentgemäße Zugangskontrollsystem beruhe – funktional getrennt – einerseits auf Zugangsprivilegien, die die Identitätsfeststellung eines Benutzers beträfen und ausschließlich auf einem zentralen Server hinterlegt seien, sowie andererseits auf Zugangsregeln, die in den gesicherten Elementen hinterlegt seien und die bestimmten, ob ein bestimmter identifizierter Benutzer über bestimmte Zugriffsrechte verfüge. Der zentrale Server sei in der Lage, die Gesamtzugangskontrolle im Hinblick auf den Zugriff auf ein gesichertes Element bereitzustellen und übermittle in diesem Rahmen die Zugangsprivilegien an den lokalen Server.
97  Keine der Entgegenhaltungen zeige eine solche zeitgleiche, zweigeteilte Speicherung der zugriffsrelevanten Informationen an zentraler Stelle und in gesicherten Elementen oder lege diese nahe. Insbesondere offenbare das Kerberos-Ticket der, die auf einem fundamental anderen Sicherungsmechanismus beruhe, nämlich auf einem Archiv zur Verteilung von kryptographischen Schlüsseln, jedenfalls nicht das gleichzeitige Vorhandensein eines anspruchsgemäßen zentralen Servers und gesicherten Elementen mit darin enthaltenen Zugangsregeln als auch das gleichzeitige Vorhandensein von lokalen Servern und gesicherten Elementen und auch nicht designierte Benutzer, die einem lokalen Server zugeordnet sind.
NK6
98  Außerdem hätte der Fachmann wedernochzur Lösung der Aufgabe des Streitpatents herangezogen, da dort keine zweigeteilte Speicherung von autorisierungsbezogenen Daten offenbart sei.
D1
D2
99  Jedenfalls aber sei das Streitpatent in der Fassung der zulässigen Hilfsanträge bestandsfähig, deren Lehre ursprünglich offenbart und ausführbar sei. Keine der Entgegenhaltungen offenbare gesicherte Dateien mit einem ausführbaren Code. Eine zweiteilige Speicherung der für die Autorisierung des anfragenden Benutzers benötigten Daten sei ebenfalls nicht im Stand der Technik beschrieben oder durch diesen nahegelegt. Insbesondere handele es sich bei dem der Authentifizierung – der dann eine Autorisierung folgen könne – dienenden „Kerberos-Ticket“ nicht um ein Zugangsprivileg im Sinne des Streitpatents.
100  Hierzu bezieht sie sich auf die folgenden Dokumente:
101  – Wikipedia: Server
NB2
102  – Internet Security Glossary RFC 2828, Mai 2000, pp. 1 – 18, p. 212
NB3
103  – LI GONG, C.L. et al.: User Authentication and Authorization in the Java Platform. In: Proceedings of the 15th Annual Computer Security Applications Conference, Dezember 1999 (6 Seiten)
NB4
104  – KABAY, M.E.: Identification, Authentication and Authorization on the World Wide Web. ICSA White Paper, 1997, pp. 1 – 33
NB5
105  – PESANTE, Linda: Introduction to Information Security. Carnegie Mellon University, 2008
NB6
106  – SPANIOL, O.: Sicherheit in Kommunikationsnetzen. Skript zur Vorlesung an der RWTH Aachen, korrigierte erste Fassung, 14. Juli 2000, Kapitel 5: Authentifizierungssysteme
NB7
107  In der mündlichen Verhandlung hat die Beklagte noch zwei Schaubilder („Handouts“) eingereicht:
108  – „Vorläufiges Verständnis des Senats der“
NK6
109  – „: Keine untrennbare Verbindung zwischen Ressourcen und Access Control Lists“
NK16
110  Wegen der weiteren Einzelheiten wird auf den Akteninhalt verwiesen.

Entscheidungsgründe

111  Die Klage, mit der u. a. der Nichtigkeitsgrund der fehlenden Patentfähigkeit (Artikel II § 6 Absatz 1 Nr. 1 IntPatÜG, Artikel 138 Abs. 1 lit. a) EPÜ i. V. m. Artikel 54 Absatz 1, 2 und Artikel 56 EPÜ) geltend gemacht wird, ist zulässig.
112  Sie ist auch begründet. Das Streitpatent hat weder in der erteilten Fassung nach Hauptantrag noch in der Fassung eines der Hilfsanträge 1 bis 6 Bestand, da ihm in jeder dieser Fassungen der Nichtigkeitsgrund der fehlenden Patentfähigkeit entgegensteht. Es bedarf daher keiner abschließenden Entscheidung, ob den Ansprüchen des Streitpatents in der Fassung der Hilfsanträge auch die geltend gemachten Nichtigkeitsgründe der unzulässigen Erweiterung oder der fehlenden Ausführbarkeit entgegenstehen.
I.
113  Das Streitpatent ist in der erteilten Fassung (Hauptantrag) nicht patentfähig, da die mit den unabhängigen Patentansprüchen 1 und 5 beanspruchte Lehre sich für den Fachmann in naheliegender Weise aus dem Stand der Technik ergab (Artikel II § 6 Absatz 1 Nr. 1 IntPatÜG, Artikel 138 Abs. 1 lit a) EPÜ i. V. m. Artikel 56 EPÜ).
114  Das Streitpatent betrifft den Schutz von Daten in Unternehmensumgebungen und insbesondere ein System und ein Verfahren zur Bereitstellung eines umfassenden Zugriffsschutzes für digitale Inhalte in einem verteilten Unternehmensnetzwerk (siehe Streitpatentschrift Abs. [0001], [0014], [0017]).
1  115  Hierzu war es beispielsweise vorbekannt, in einem verteilten System mit einem zentralen Speicher für medizinische Datensätze einen zentralen Server vorzusehen, der für die gesamte Zugriffssteuerung bzw. -kontrolle zuständig war (siehe Absatz [0006]), oder die Zugriffssteuerung auf mehrere Server zu verteilen (siehe Absatz [0007] u. a.).
116  Alsdes Streitpatents ist in Absatz [0024] angegeben, einen generischen Sicherungsmechanismus bereitzustellen, der geschützte „digitale Werte“ (‘digital assets‘, siehe Abs. [0031]) unter allen Umständen schützen kann. Insbesondere soll es durch das beanspruchte System und Verfahren möglich werden, die geschützten Werte (in Form von Dateien) auch dann noch abrufen zu können, wenn ein zentraler Sicherheits-Server nicht in Betrieb oder nicht erreichbar ist (siehe z. B. Absatz [0019]).
Aufgabenstellung
117  Der Patentanspruch 1 in der erteilten Fassung (in der Verfahrenssprache Englisch, mit der Merkmalsgliederung der Klägerin gemäß Anlage) ist oben im Tatbestand aufgeführt.
2  NK5
118  Eine vom Senat bereinigte deutsche Übersetzung lautet:
119  Verteiltes Zugangskontrollsystem, das dafür ausgelegt ist, den Zugang eines Benutzers zu geschützten Elementen zu beschränken, wobei das System Folgendes umfasst:
M1 1.
120  einen zentralen Server (500) mit einem Servermodul (502), das dafür ausgelegt ist, eine Zugangskontrolle für das gesamte System bereitzustellen;
M1.1
121  wobei die durch den zentralen Server (500) durchgeführte Zugangskontrolle dafür ausgelegt ist zu wirken, um eine Zugangsanforderung des Benutzers zu den geschützten Elementen zu gestatten oder zu verweigern entsprechend – dem anfordernden Benutzer gewährten Zugangsberechtigungen, und – Zugangsbedingungen (229) in den gesicherten Elementen;
M1.1.1
122  gekennzeichnet durch
123  mehrere mit dem zentralen Server (500) gekoppelte lokale Server (570), wobei jeder der lokalen Server (570) ein lokales Modul (572) umfasst, das dafür ausgelegt ist, lokale Zugangskontrolle für eine Gruppe von designierten Benutzern bereitzustellen;
M1.2
124  wobei die Zugangsanforderung des Benutzers durch einen oder mehrere der lokalen Server (570) auf verteilte Weise verarbeitet wird; und
M1.2.1
125  wobei, wenn die Zugangsanforderung in dem lokalen Server (570) verarbeitet wird, dem anfordernden Benutzer Zugang zu den geschützten Elementen gewährt wird, ohne auf den zentralen Server (500) zugreifen zu müssen, wenn die Zugangsberechtigungen des anfordernden Benutzers die Zugangsbedingungen (229) in den gesicherten Elementen erfüllen.
M1.2.2
126  Zum nebengeordneten Verfahrensanspruch 5, dessen Patentfähigkeit auch nach Ansicht der Parteien nicht anders als der Patentanspruch 1 zu beurteilen ist, wird auf die Streitpatentschrift sowie auf Anlageverwiesen.
3  NK5
127  Einige Begriffe des Patentanspruchs 1 bedürfen einer Auslegung, wobei von der Verfahrenssprache Englisch ausgegangen wird.
4  128  distributed access control (verteilte Zugangskontrolle)
4.1
129  Der Begriff bezieht sich auf die Zugriffssteuerung bzw. -kontrolle in einem verteilten Rechnersystem, wie es beispielsweise Figur 1B des Streitpatents zeigt: Es gibt demnach (einige) lokale Server 104, die ggf. auch räumlich an unterschiedlichen Orten stehen können, welche über ein Netzwerk 108 untereinander und mit einem zentralen Server 106 verbunden sind. Sie sind jeweils für (mehrere) Einzelcomputer 102 – aus Sicht des Systems: Client-Rechner – zuständig (vgl. Abs. [0051] / [0052]). Dabei macht das Adjektiv ‘distributed‘ deutlich, dass die Zugriffssteuerung nicht allein von dem zentralen Server abhängt, sondern zum Teil auch lokal erfolgt bzw. erfolgen kann (vgl. Abs. [0019]).
130  secured items (geschützte Elemente)
4.2
131  Der Ausdruck kommt im Streitpatent (außer in den Patentansprüchen) nicht vor. Der Begriff ‘item‘ ist in den Absätzen [0011] und [0083] kurz erwähnt, dort in Verbindung mit dem in der übrigen Beschreibung häufiger verwendeten Ausdruck ‘secured document‘ (vgl. Abs. [0018], [0021] bis [0023] u. a.). Absatz [0024] nimmt in diesem Zusammenhang Bezug auf ‘secured digital assets‘ – siehe dazu noch Abs. [0031] / [0033].
132  Die Definition in Absatz [0031] beschreibt die beanspruchten ‘items‘ am besten. Demnach handelt es sich um digitale Daten in beliebiger Form – jede Art von digitalen Objekten, wie zum Beispiel Dateien für Dokumente, Multimedia, ausführbaren Code, Bilder und Texte, aber auch Streaming-Daten, dynamische oder statische Daten. Diese sollen durch das beanspruchte Verfahren „geschützt“ werden im Sinne von Abs. [0033], dass der Zugriff auf sie nur durch Erfüllen der Schutzbedingungen möglich ist.
133  In den nachfolgenden Ausführungen werden die geschützten Elemente meist als „Dateien“ bezeichnet. Dies darf jedoch gegenüber den genannten Streaming-Daten, dynamischen oder statischen Daten nicht beschränkend verstanden werden.
134  access privileges (Zugangsberechtigungen)
4.3
135  Der Ausdruck bezeichnet Berechtigungen eines Benutzers in Bezug auf geschützte Dateien, so wie sie etwa in den Tabellen der Figuren 5B.1 und 5D i. V. m. Abs. [0128] zum Ausdruck kommen – speziell, was der Benutzer mit Dateien tun darf (nur lesen, ändern, drucken, kopieren …), z. B. in Form eines Rechte-Levels, und erlaubte Zugriffszeiten, Zugriffsorte usw. (vgl. Abs. [0037]).
136  access rules (Zugangsbedingungen)
4.4
137  Der Ausdruck bezeichnet Bedingungen, welche einer geschützten Datei zugeordnet sind und erfüllt werden müssen, damit Zugriff auf die Datei genommen werden darf (siehe Abs. [0038]). Beispiele für solche Zugangsbedingungen sind in Figur 2A (204) i. V. m. Abs. [0059] (‘…determine or regulate who and/or how the document 200, once secured, can be accessed. In some cases … also determine or regulate when or where the document 200 can be accessed‘) und in den Abs. [0068] / [0069] dargestellt. Die Bedingungen sollen anspruchsgemäß „in“ der geschützten Datei enthalten sein (Abs. [0059]: z. B. ‘included in the header 206‘).
138  Vergleich der ‘access privileges‘ und ‘access rules‘
4.5
139  Beim Vergleich der ‘access privileges‘ und ‘access rules‘ zeigt sich, dass sich die „Berechtigungen“ und die „Bedingungen“ auf identische Gegebenheiten beziehen können, vgl. etwa die Berechtigungen betreffend den User Dell und bestimmte Uhrzeiten (Abs. [0128] Seite 19 oben) mit den Bedingungen betreffend bestimmte Benutzer und Uhrzeiten (Abs. [0069]). Als Unterscheidungskriterium wird verstanden, dass die Berechtigungen (privileges) den Benutzern (oder Benutzergruppen) zugeordnet sind, während die Bedingungen (rules) den Dateien bzw. Daten zugeordnet sind.
140  central server / local server – Frage der räumlichen Trennung
4.6
141  Im Hinblick auf die Patentfähigkeit kommt der Frage, ob der zentrale Server und die lokalen Server „räumlich getrennt voneinander“ angeordnet sind, keine Bedeutung zu. Denn dem Fachmann war die Alternative eines „virtuellen Servers“, der sich physikalisch in einem beliebigen Rechner befinden kann, geläufig und lag für ihn in jedem Fall, d. h. in Verbindung mit jeder der Entgegenhaltungen nahe (was auch durch das Privatgutachtenindirekt bestätigt wird).
NK13
142  Damit ergibt sich als technische Lehre des erteilten Patentanspruchs 1 ein (verteiltes) Zugangskontrollsystem für den Zugriff von Benutzern auf geschützte Daten, insbesondere Dateien (), welches zunächst auf einem zentralen Server 500 beruht, der für das gesamte System die Zugangskontrolle „bereitstellt“, d. h. sämtliche Benutzerrechte und Zugangsbedingungen verwalten und eine Zugriffsanforderung prüfen kann; all dies erfolgt durch ein Servermodul 502 ().
5  M1
M1.1
143  Der Zugriffsschutz besteht darin, dass „in“ den geschützten Dateien Zugangsbedingungen enthalten sind, und den System-Benutzern Zugangsberechtigungen zugeordnet sind (für deren Art, Umfang und Speicherort der Patentanspruch keine Festlegung trifft). Der Zentralserver gestattet oder verweigert den Zugriff eines Benutzers auf eine bestimmte geschützte Datei abhängig davon, ob die Zugangsbedingungen der Datei durch die Zugangsberechtigungen des Benutzers erfüllt werden (M1.1.1).
144  Darüber hinaus sind mit dem Zentralserver gekoppelte Lokalserver 570 vorgesehen, die mittels eines lokalen Moduls 572 jeweils eine lokale Zugangskontrolle für eine Gruppe (Untermenge) von Benutzern vornehmen (M1.2). Die Zugangsanforderung eines Benutzers wird durch einen oder mehrere der Lokalserver bearbeitet, und zwar als „verteilte“ Zugangskontrolle (‘in an distributed manner‘) (M1.2.1).
145  Demgemäß wird einem anfordernden Benutzer durch den Lokalserver 570 Zugang zu den geschützten Dateien gewährt, wenn seine Berechtigungen mit den Bedingungen in den geschützten Dateien übereinstimmen, „ohne auf den zentralen Server (500) zugreifen zu müssen“.
146  Die Beschreibung gibt Beispiele an, wie diese Forderung realisiert werden kann: nämlich indem das lokale Modul 572 eine Kopie oder eine Teilmenge („subset“) des Servermoduls 502 sein soll (Abs. [0111], [0127] / [0128]; Unteranspruch 3).
147  Dass die geschützten Dateien verschlüsselt sein sollen, und der Zugriff eines Benutzers durch den Zugriff auf die jeweilige Schlüsseldatei erfolgt, mit der die geschützte Datei entschlüsselt werden kann (Abs. [0021]), ist nicht Gegenstand des Hauptanspruchs.
148  Als, der mit der Aufgabe betraut wird, einen verbesserten Sicherungsmechanismus für Daten bzw. Dateien in einem verteilten Unternehmensnetzwerk bereitzustellen, der auch dann noch wirkt, wenn ein zentraler Sicherheitsserver nicht in Betrieb oder nicht erreichbar ist, ist ein Informatiker oder Netzwerktechniker mit Hochschul- oder Fachhochschulabschluss und mehrjähriger Berufserfahrung im Bereich verteilter IT-Systemarchitektur und der Erstellung von IT-Sicherheitskonzepten anzusehen.
6  Fachmann
149  Der Gegenstand des erteilten Patentanspruchs 1 ergab sich bereits vor dem frühesten Prioritätstag des Streitpatents (12. Dezember 2001) in naheliegender Weise aus dem Stand der Technik.
7  150  Als nächstkommenden Stand der Technik sieht der Senat die Druckschrift(US 5 495 533 A) an. Für einen Vergleich mit der Lehre des Patentanspruchs 1 des Streitpatents ist von dem „erweiterten Verfahren“ (‘enhanced method‘) gemäßSpalte 8 Zeile 46 ff. auszugehen, in Verbindung mit einem gemeinsamen Authentifizierungs- und Personal Key Server (Figur 6: 66, Figur 7: 75).
7.1
NK6
NK6
151  Die Druckschriftschlägt einen Zugangsschutz für beliebige Dateien vor (Spalte 6 Zeile 11: files or databases … stored on servers 2 … or on user computers 16), der auf einer Verschlüsselung der jeweiligen Datei mit einem ‘file encryption key‘ beruht. Dieser ‘file encryption key‘ wird mit einem weiteren Schlüssel (‘control key‘) verschlüsselt und zusammen mit einer Zugangsliste derjenigen Nutzer, denen ein Zugriff auf die Datei erlaubt ist, und der Index-Nummer des ‘control key‘ im Header der Datei (siehe Figur 8) abgespeichert (außerdem ein mit demselben „control key“ verschlüsseltes ‘message authentication check field‘, das eine Modifikation des Headers verhindern soll). Die ‘control keys‘ sind auf einem zentralen Server 66, 75 hinterlegt.
NK6
152  Um Zugriff auf eine geschützte Datei ( = ‘secured item‘ – Merkmalohne ‘distributed‘) erhalten zu können, muss sich der Benutzer vorab beim zentralen Server 66, 75 authentisieren (‘user authentication‘ Spalte 2 Zeile 61 ff., insbes. „Kerberos“ Spalte 3 Z. 10 ff.): er meldet sich mit seiner User-ID und seinem Passwort dort an und erhält, falls erfolgreich, ein „Ticket“ zurück, welches ihn zukünftig im Netzwerk identifiziert. Der zentrale Server 66, 75 führt insoweit die Zugangskontrolle durch (Teil der ‘overall access control‘, Merkmal).
M1
M1.1
153  Wenn nun der so authentifizierte Benutzer auf eine geschützte Datei zugreifen will, werden gemäß Spalte 9 Zeile 42 ff. der Datei-Header und das Authentisierungs-Ticket des Benutzers vom Client des Benutzers an den zentralen Server 66, 75 gesendet. Der zentrale Server holt anhand der Index-Nummer im Header den ‘control key‘ aus seinem Speicher und überprüft das ‘message authentication check field‘. Wenn die Prüfung positiv ausfällt, d. h. wenn der Header nicht manipuliert wurde, vergleicht der zentrale Server das Benutzer-Ticket mit der Zugangsliste des Headers. (Nur) wenn der durch das Ticket authentifizierte Benutzer in der Zugangsliste gefunden wird, entschlüsselt der zentrale Server anhand seines ‘control key‘ den ‘file encryption key‘ und sendet ihn an den Client des Benutzers zurück, welcher die Datei damit entschlüsseln kann, wodurch der Zugriff auf die Datei gewährt wird.
154  Sonach wird hier durch den zentralen Server (zweiter Teil von Merkmal) eine Zugangskontrolle durchgeführt basierend auf dem Authentisierungs-Ticket des Benutzers und den Zugangsbedingungen in den gesicherten Elementen (Zugangsliste). Dabei ist in dereine differenzierte Festlegung unterschiedlicher Benutzerberechtigungen (‘access privileges‘) zwar nicht unmittelbar beschrieben. Dennoch wird deutlich, dass der Benutzer durch sein Ticket hier „alle“ Berechtigungen für einen Zugriff erhält, vgl. etwaSpalte 9 Z. 42 ‘when a file is acessed (both forand for)‘. Das Ticket verleiht somit eine „allgemeine”, unspezifische (nicht differenzierte) Autorisierung = ‘one or more rights a user may have with respect to a secured file or secured document‘ (Streitpatent Absatz [0037]), womit das Merkmalin einer allgemeinen, unspezifischen Form erfüllt ist.
M1.1
NK6
NK6
M1.1.1
reading
updates
155  Darüber hinaus entnimmt der Fachmann derdie Lehre, den „zentralen Server“ des Systems auf lokale Rechner zu replizieren. So gibt etwa Spalte 6 Zeile 46 bis 49 den Hinweis: ‘If required by an installation, the Personal Key Server may be replicated on multiple computers, using the techniques described in reference 4, in order to improve operational reliability‘. Hier wird also vorgeschlagen, aus Gründen der Zuverlässigkeit (Ausfallsicherheit) die Funktion des zentralen Servers auf mehrere Computer zu replizieren; d. h. die Zugangskontrolle soll auf andere Server „ausgelagert“ werden, wobei diese jeder für sich in einem „verteilten System“ die vollständige Zugangskontrolle abwickeln könnten. Diese „mehreren Computer“ entsprechen den lokalen Servern des Merkmals, welche damit eine „lokale Zugangskontrolle“ bereitstellen. Dass dies „für einer Gruppe von designierten Benutzern“ geschieht, ergänzt der Fachmann aufgrund seines Wissens über größere Firmennetzwerke ganz automatisch (vgl. – rein beispielhaft –Figur 1 und zugeh. Beschreibung, oderSeite 604 letzter Absatz ‘…multiple Kerberos servers …each responsible for a subset of users and servers‘).
NK6
M1.2
NK12
NK15
156  Die Merkmaleund(sowie das ‘distributed‘ des Merkmals) leiten sich aus der Maßnahme einer Replikation des Zentralmoduls automatisch und zwangsläufig ab. Hier ist ebenfalls einzuräumen, dass beim Vorgehen gemäßdifferenzierte Prüfung von ‘access privileges‘ stattfindet. Wenn man aber davon ausgeht, dass in einem System ohne dezidierte Berechtigungszuweisungen der Benutzer grundsätzlich „alle“ benutzerbezogenen Berechtigungen besitzt, ist das Teilmerkmal ‘when the access privileges of the requesting user are permitted by the access rules in the secured items‘ bereits durch die Bedingung, dass der anfragende Benutzer in der Liste der berechtigten Benutzer im Header einer Datei eingetragen sein muss, erfüllt.
M1.2.1
M1.2.2
M1
NK6
keine
157  Zusammenfassend ergeben sich sonach alle Merkmale des erteilten Patentanspruchs 1 für den Fachmann, unter Einbeziehung seines Fachwissens (hier insbesondere über verteilte Firmen-Netzwerke), aus der Druckschrift.
NK6
158  Die gegen eine solche Beurteilung gerichtete Argumentation der Beklagten hat nicht überzeugt.
7.2
159  Soweit die Beklagte vorträgt, die Ausführungsform der, in welcher ein zentraler Server als Kombination von Authentifizierungs-Server und Personal Key Server beschrieben ist (das „erweiterte Verfahren“ gemäß Spalte 6 Zeile 58 ff., Spalte 8 Zeile 46 ff.), gebe nicht die Lehre, dieseauf andere Computer zu replizieren, sowie Spalte 6 Zeile 46 bis 49 beziehe sich ausdrücklich nur auf den Personal Key Server, greift eine solche Beurteilung zu kurz. Zwar betrifft der Vorschlag einer Replikation in Spalte 6 Zeile 46 bis 49 tatsächlich nur den Personal Key Server. Das liegt aber daran, dass sich der zugrundeliegende Absatz Spalte 6 Zeile 39 bis 49 auf Figur 4 bezieht, welche eine Trennung zwischen Authentifizierungs-Server 34 und Personal Key Server 32 vorsieht. Erst später (Figur 6 / 7) wird ein gemeinsamer Authentifizierungs- und Personal Key Server 66, 75 vorgeschlagen. Der Fachmann wird hier ganz selbstverständlich mitlesen, dass sich der Vorschlag einer Replikation dann auf diesen gemeinsamen Server beziehen lässt.
7.2.1
NK6
beide
160  Unabhängig davon war dem Fachmann das zugrundeliegende Problem der möglichen Blockierung des gesamten Systems bei einem Ausfall des Zentralservers schon lange vertraut, und er kannte die Maßnahme einer Replikation als typische Lösung dafür. Hierzu kann beispielhaft auf den inSpalte 4 Zeile 5 zitierten Artikel „Reference 8: Steiner, J.G. et al.: Kerberos … Usenix Conference Proceedings … Februar 1988“ verwiesen werden, der als Anlagevorliegt. Im dortigen Abschnitt 5.3 „Database Replication“ (Seite 197 / 198) werden Vor- und Nachteile einer Replikation der „Kerberos authentication database“ erläutert. Auch in der Druckschriftfindet sich auf Seite 606 in Absatz 3 der Hinweis: „Kerberos supports replication of the Kerberos server“.
NK6
NK6b
NK15
161  Somit ist festzustellen, dass die Lehre einer Replikation eines „zentralen“ Servers, auch eines Authentifizierungs-Servers wie Kerberos, dem Fachmann für verteilte Datenverarbeitung und Client-Server-Systeme zum Prioritätszeitpunkt vertraut war, und zwar für den offensichtlichen Zweck, eine Zugangskontrolle auch dann zu ermöglichen, wenn der zentrale Server nicht erreichbar sein sollte. Mit einer solchen Replikation und mit seinem Fachwissen über große Firmennetzwerke mit Gruppen von designierten Benutzern gelangte der Fachmann ohne erfinderische Tätigkeit zum Merkmal.
M1.2
162  Gemäß dem Verständnis der Beklagten verfolge das Streitpatent einen gegenüber derfundamental unterschiedlichen Sicherungsmechanismus: das Streitpatent betreffe ein regelbasiertes Zugangskontrollsystem, wohingegen die Lehre derauf einem Archiv zur Verteilung von kryptographischen Schlüsseln beruhe. Hieraus ergäben sich wesentliche Unterschiede.
7.2.2
NK6
NK6
163  Nach der Lehre des Streitpatents dienten die Benutzernamen in der Datenbank des zentralen Servers zur Authentifizierung, wohingegen die Zugangsprivilegien (Berechtigungen) und Zugangsregeln (Bedingungen) zur Autorisierung dienten. Die Authentifizierung regele dabei nicht den Zugriff auf die geschützten Elemente, sondern diene nur zur Durchführung einer verifizierten Anmeldung eines Benutzers am Gesamtsystem. Von zentraler Bedeutung für die Lehre des Streitpatents sei die darüber hinausgehende Zweiteilung der für die Autorisierung erforderlichen Daten in Zugangsberechtigungen, welche im zentralen Server hinterlegt und den Benutzern zugeordnet seien, und in Zugangsbedingungen, welche in den geschützten Elementen enthalten seien. Eine solche zweigeteilte Autorisierung sei dernicht zu entnehmen.
NK6
164  Hierzu ist festzustellen, dass die Begriffe „Authentisierung“ und „Autorisierung“ im Patentanspruch 1 nicht vorkommen. Auch dass die Zugangsberechtigungen (‘access privileges‘) im Zentralserver gespeichert und dort den Benutzern zugeordnet sein sollten, lässt sich der Formulierung des Patentanspruchs 1 nicht entnehmen. Das Merkmal(und ähnlich das Merkmal) bezieht sich nur ganz allgemein auf ‘access privileges granted to the requesting user‘, ohne weiter festzulegen, wo und wie diese ‘access privileges‘ gespeichert sein sollen. Zwar gibt die Beschreibung des Streitpatents entsprechende Beispiele, insbesondere in Form der Zuordnungstabellen gemäß Figur 5B und Figur 5D (vgl. dazu auch Abs. [0050] / [0051]); Ausführungsbeispiele schränken einen Patentanspruch jedoch nicht ein (BGH GRUR 2007, 309 –).
M1.1.1
M1.2.2
Schussfädentransport
165  Die von der Beklagten vorgenommene Auslegung des Patentanspruchs 1 ist somit als eine „einengende“ Auslegung eines an sich breiter gefassten Patentanspruchs zu verstehen, die gerade im Nichtigkeitsverfahren zur Begründung einer Schutzfähigkeit nicht zulässig ist (BGH GRUR 2004, 47 –).
Blasenfreie Gummibahn I
166  Weil der Patentanspruch 1 in der erteilten Fassung keine Vorgabe zum Speicherort und zur Speicherart für die ‘access privileges‘ macht, wird nach dem Verständnis des Senats das ganz allgemein formulierte Teilmerkmal ‘access privileges granted to the requesting user‘ durch implizite, nicht ausdrücklich gespeicherte Berechtigungen, wie sie der Lehre derzugrundeliegen, mit erfüllt.
NK6
167  Das vorhergehende Argument ergänzend, verweist die Beklagte auf die Formulierung „privilege“ in den Anspruchsmerkmalenund. Dem Plural komme hier eine besondere Bedeutung zu – damit werde zum Ausdruck gebracht, dass eine Menge (im mathematischen Sinn)Berechtigungvorgesehen sei, welche mit der Menge von in der Datei gespeicherten Bedingungen verglichen werden müsse. Die Lehre derbeschränke sich auf die Bedingungen im Header der Datei. Auch könne es eine „unspezifische“ Autorisierung nicht geben, weil eine Autorisierung immer spezifisch sein müsse.
7.2.3
M1.1.1
M1.2.2
NK6
s
unterschiedlicher
en
168  Dem ist entgegenzuhalten, dass dem Fachmann die grundsätzliche Möglichkeit, unterschiedliche Berechtigungen (Plural) vorzusehen, geläufig war (siehe z.B.Spalte 9 Zeile 42 „when a file is acessed (both forand for)“,Seite 192 rechte Spalte Zeile 7 / 8 „In order to determinate what each user is able toor“,Seite 605 Kapitel 11.5 „Access Control“, insbes. Abschnitt 1 „possible operations may be Read, Write and Execute“;Absatz [0008], u. a.). Wenn ein Zugangsschutzsystem wie das in dererläuterte keine unterschiedlichen Benutzerberechtigungen beschreibt, wird der Fachmann erwarten, dass ein angemeldeter Benutzer mit seiner Authentifizierung implizit „jede mögliche“ Berechtigung, also „alle Berechtigungen“ erhält. Dies rechtfertigt die vom Senat gesehene Übereinstimmung mit der Plural-Formulierung „Berechtigungen“, auch ohne dass gleich eine Verwaltung unterschiedlicher Berechtigungen vorgesehen sein müsste –beschreibt eine Zugangskontrolle, um eine Zugangsanforderung des Benutzers zu den geschützten Elementen zu gestatten oder zu verweigern ‘in accordance with access privileges granted to the requesting user‘ – also in Übereinstimmung mit(denkbaren, möglichen) Berechtigungen, die der Benutzer allein durch sein Authentifizierungs-Ticket erhält – ‘and access rules in the secured items‘ (Spalte 9 Zeile 50 bis 53: ‘… compares the accessor’s name (from the ticket) against … the names in the access control list‘, wobei die ‘access control list‘ gemäß Figur 8 und Spalte 8 Zeile 46 ff. im Header der geschützten Datei enthalten sein kann).
NK6
NK6b
NK15
NK9
NK6
NK6
NK6
reading
updates
read
modify
allen
169  In diesem Sinne besteht die Möglichkeit einer unspezifischen Autorisierung, wenn ein Benutzer allein mit seiner Anmeldung „alle möglichen“ Autorisierungen erhält, so wie es in den Anfangsjahren der Datenverarbeitung und insbesondere bei Einzelplatzsystemen häufig der Fall war.
170  Mit dem Patentanspruch 1 fällt der nebengeordnete Patentanspruch 5, der nicht anders als der Patentanspruch 1 zu beurteilen ist (s. o. Abschnitt); damit fällt auch der gesamte Hauptantrag – in Übereinstimmung mit der Erklärung der Beklagten, die einzelnen Anträge stellten geschlossene Anspruchssätze dar, die jeweils in ihrer Gesamtheit beansprucht würden.
8  3  II.
171  Die sechs Hilfsanträge sind nicht günstiger zu beurteilen. Auch bei Berücksichtigung der jeweils hinzugenommenen Merkmale muss festgestellt werden, dass die damit beanspruchte Lehre für den Fachmann nahelag (Artikel II § 6 Absatz 1 Nr. 1 IntPatÜG, Artikel 138 Abs. 1 lit a EPÜ i. V. m. Artikel 56 EPÜ).
172  Der Hilfsantrag 1 hat keinen Erfolg, weil sich das zusätzliche Merkmal seines Patentanspruchs 1 ebenfalls aus der Druckschriftergibt und im Übrigen für den Fachmann keine Besonderheit darstellte.
1  NK6
173  Beim Hilfsantrag 1 wird das Merkmaldes Patentanspruchs 1 des Hauptantrags folgendermaßen ergänzt:
1.1
M1
174  A distributed access control system adapted to restrict access of a user to secured items, said system comprising:
H1-M1
including executable code
175  D.h. es sollen (nur noch) solche Dateien durch die beanspruchte Lehre geschützt werden, die einen ausführbaren Code beinhalten.
176  Die Beklagte trägt hierzu vor, die Erfinder hätten erkannt, dass die streitpatentgemäß verteilte Autorisierung anhand von Zugangsberechtigungen und Zugangsbedingungen im geschützten Element gerade bei ausführbarem Code technisch besonders vorteilhaft sei. Gerade Dateien mit ausführbarem Code bedürften in Computernetzwerken eines besonderen Zugriffsschutzes, z. B. im Hinblick auf schädlichen Programmcode (wie z. B. Viren); sie dürften nur von berechtigten Personen (z. B. Systemadministrator) ausgeführt werden können.
1.2
177  Diebeschäftige sich hingegen ausschließlich mit einem Zugangsschutz für Datendateien („data files“, vgl., Spalte 4, Zeilen 61-64). Insbesondere basiere das Grundprinzip derdarauf, Datendateien kryptografisch zu verschlüsseln und nur auf eine Zugangsanfrage hin zu entschlüsseln. Ein solches Vorgehen mache jedoch bei ausführbaren Programmen, welche typischerweise um Größenordnungen mehr Datenvolumen umfassten, für den Fachmann aus Effizienzgründen keinen Sinn, weshalb der Fachmann dieschon nicht heranziehen würde.
NK6
NK6
NK6
NK6
178  Dem kann nicht gefolgt werden.
1.3
179  Zunächst wird der Fachmann die Lehre derkeinesfalls als auf Daten-Dateien beschränkt verstehen (vgl.Spalte 6 Zeile 11: files or databases … stored on servers 2 … or on user computers 16). Aber selbst wenn man von einer derartigen Beschränkung ausginge, hätte der Fachmann kein Problem, die Lehre auf Programm-Dateien zu übertragen; ob der Aufwand für die Verschlüsselung die dadurch ggf. verringerte Effizienz rechtfertigt oder nicht, wäre lediglich als fachmännisches Abwägen von bekannten Vor- und Nachteilen zu beurteilen (es gab im Übrigen schon immer auch „kleine“ Programm-Dateien und „große“ Daten-Dateien, wie etwa Videodateien).
NK6
NK6
180  Unabhängig davon ist noch darauf zu verweisen, dass auch Daten-Dateien, wie sie derfraglos entnehmbar sind, ausführbaren Code enthalten können (so z. B. Microsoft-Office-Dokumente mit Makros in Visual-Basic-Code).
NK6
181  Und schließlich ist auch nicht nachvollziehbar, dass die Erfinder den besonderen Vorteil des streitpatentgemäßen Verfahrens für ausführbaren Code erkannt hätten. „Executable code“ ist überhaupt nur in den Absätzen [0017] und [0031] des Streitpatents erwähnt, und zwar an beiden Fundstellen in einer Aufzählung als eine beliebige von mehreren Möglichkeiten. Dass die Lehre des Streitpatents gerade für Dateien mit ausführbarem Code einen besonderen Vorteil böte, lässt sich dem Streitpatent nirgends entnehmen. Zwar wird die Rechtsprechung des Bundesgerichtshofs dahingehend verstanden, dass es zulässig ist, Vorteile einer Erfindung zur Begründung der erfinderischen Tätigkeit nachzubringen (vgl. etwa Schulte, PatG, 10. Auflage (2017), § 4 Rn. 156 m. Nachw.). Dies soll abersein, wenn dadurch – wie hier beim Hilfsantrag 1 – die offenbarte Lehre erst ihren eigentlichen Sinn erhalten würde (Schulte, a. a. O. unter Bezug u. a. auf BGH GRUR 1960, 542 –: „Soll nach der Verteidigung des Patentinhabers im Nichtigkeitsverfahren ein von ihm behaupteter Vorteil das eigentliche Wesen der Erfindung ausmachen und die Ausnutzung des Vorteils der Befolgung der gegebenen Lehre erst ihren eigentlichen Sinn geben, so muss dieser Vorteil, wenn er patentbegründend sein soll, in der Patentschrift offenbart sein“).
ausgeschlossen
Flugzeugbetankung
182  Die vorgenommene Ergänzung mag daher als Einschränkung auf eine von mehreren der in Abs. [0017] oder [0031] genannten Möglichkeiten zwar zulässig sein; das Vorliegen einer erfinderischen Tätigkeit kann damit aber nicht begründet werden.
183  Mit dem Patentanspruch 1 fällt der gesamte Hilfsantrag 1 (vgl. oben).
1.4
I. 8.
184  Dem Hilfsantrag 2 kann nicht gefolgt werden, weil der Gegenstand seines Patentanspruchs 1, ausgehend von der Druckschriftund dem Fachwissen des Durchschnittsfachmanns, nicht auf einer erfinderischen Tätigkeit beruht.
2  NK6
185  Beim Hilfsantrag 2 werden die Merkmaleunddes Patentanspruchs 1 des Hauptantrags in folgender Weise ergänzt:
2.1
M1.1
M1.2
186  a central server (500) having a server module (502) adapted to provide overall access control;
H2-M1.1
, wherein the server module in the central server maintains a database that includes a list of users and corresponding access privileges
187  
188  a plurality of local servers (570) coupled to the central server (500), each of said local servers (570) including a local module (572) adapted to provide local access control to a group of designated users;
H2-M1.2
, wherein the local module is a copy or a subset of the server module
189  D. h. das Modul im zentralen Server, welches eine Zugangskontrolle für das gesamte System bereitstellt, soll eine Datenbank führen, welche eine Liste von Benutzern und zugehörige Zugangsberechtigungen umfasst; und das lokale Modul, welches eine lokale Zugangskontrolle bereitstellt, soll eine Kopie oder eine Teilmenge des Servermoduls (sinngemäß zu ergänzen: aus dem zentralen Server) sein.
190  Die Beklagte erläutert, mit dem ergänzten Merkmalkomme nunmehr die wesentliche Idee des Streitpatents deutlich zum Ausdruck, eine zweigeteilte Autorisierung mit Benutzerberechtigungen (‘access privileges‘), welche in einer Tabelle im Zentralserver gespeichert seien, und Zugriffsbedingungen in den geschützten Dateien vorzunehmen. Eine gespeicherte Tabelle mit Benutzerberechtigungen lasse sich dernicht entnehmen, es gebe auch keinen Anlass für eine solche zusätzliche Maßnahme.
2.2
H2-M1.1
NK6
191  Erst dadurch lasse sich aber ein durchgehender, vom jeweils verwendeten Dateizugriffssystem unabhängiger Schutz der Dateien gewährleisten, der zudem (mittels der gewährten ‘access privileges‘) flexibel an geänderte Anforderungen anpassbar sei.
192  Auch das auf diese Weise eingeschränkt beanspruchte Zugangskontrollsystem war dem Durchschnittsfachmann jedoch nahegelegt.
2.3
193  Als nächstkommender Stand der Technik ist unverändert die Druckschriftanzusehen.
NK6
194  Von der ‘enhanced method‘ derin Verbindung mit dem dort ebenfalls beschriebenen gemeinsamen Authentication Server und Personal Key Server, wie es oben im Abschnitterläutert wurde, unterscheidet sich die Lehre des Patentanspruchs 1 nach Hilfsantrag 2 i. w. in folgenden zwei Punkten:
NK6
I. 7.1
195  Nach erfolgreicher Authentisierung erhält der Nutzer bei dem Verfahren dervom zentralen Server 66, 75 ein „Ticket“ zurück, welches ihn im Netzwerk identifiziert. Der zentrale Server führt für diesen Zweck eine Liste von Benutzern und deren Passworten (sieheSpalte 3 Zeile 10 bis 12). Von differenzierten Zugangsberechtigungen für die bekannten Benutzer (und einer entsprechenden Datenbank im zentralen Server) ist in derjedoch keine Rede.
a)
NK6
NK6
NK6
196  beschreibt keine lokalen Server „mit einer zugeordneten Gruppe von designierten Benutzern“ (Merkmal), welche ihre Dienste für eine bestimmte Gruppe von Benutzern bzw. Client-Computern oder für einen bestimmten Ort anbieten. Diegeht von einem Zentralserver für die Zugangskontrolle aus. Dass solche lokale Server eine lokale Zugangskontrolle durchführen könnten, basierend jeweils auf einer Kopie oder einem Subset des Zugangskontrollmoduls des zentralen Servers, ist dernicht explizit entnehmbar.
b)
NK6
M1.2
NK6
NK6
197  Zum ersten Punkt: ‘… central server maintains a database that includes a list of users and corresponding access privileges‘
2.3.1
198  Mit Recht hat die Beklagte geltend gemacht, dass die Lehre dernur die Authentifizierung der Systembenutzer verlangt, ihnen aber keine unterschiedlichen Zugangsberechtigungen zuordnet.
NK6
199  Der Fachmann, der mit Sicherungsmechanismen in verteilten Unternehmens-Netzwerken vertraut war (s. o.), erkannte diesen Teil der Lehre derim Jahr der Priorität des Streitpatents (2001) jedoch als veraltet. Schon lange waren Systeme bekannt, welche differenzierte Zugangsberechtigungen für einzelne Nutzer oder für Nutzergruppen anboten, z. B. im Rahmen der verschiedenen UNIX-Distributionen oder auch bei MicrosoftWindows-NT.
I. 6.
NK6
®
200  Rein beispielhaft hat der Senat hierzu auf die Druckschrift(US 6 308 274 B1) hingewiesen (wobei es nicht auf die in dieser Druckschrift diskutierte Erfindung ankommt, sondern allein auf die Beschreibung des Zugangsschutzmechanismus von Windows NT in Spalte 4 Zeile 29 bis Spalte 6 Zeile 4, i. V. m. Figur 2 / 3). Ähnliches ist auch der Druckschriftentnehmbar.
D2
NK16
201  Das „Security Model“ von Windows NT kennt bereits eine Berücksichtigung von Benutzergruppen mit Zuordnung von Berechtigungen (vgl.Spalte 4 Zeile 52 bis 58;Seite 34, Seite 36). Hier erhält ein Benutzer bei erfolgreicher Anmeldung ein „access token 60“ (Figur 2), das gewissermaßen eine Weiterbildung des Kerberos-Tickets derdarstellt. Es umfasst neben der User-SID auch Gruppen-SIDs und Berechtigungen (Privilege… Privilege), und es stammt vom zentralen Sicherheitsmodul (vgl.Seite 36 Absatz 2). D. h. es gibt im zentralen Sicherheitsmodul eine (zentrale) Datenbank, welche eine Liste von Benutzern und zugehörige Zugangsprivilegien umfasst (Seite 36 Absatz 2: ‘The Security Account Manager compares the user account name and password to the domain’s database of users … also downloads information about the user, such as account privileges…‘ – Merkmal).
D2
NK16
D2
NK6
NK16
NK16
H2-M1.1
1  m
202  Darüber hinaus umfasst das geschützte Objekt 72 (Figur 3) einen ‘Security Descriptor‘ 76 „in dem geschützten Element“, im Sinne von Merkmal.
D2
M1.1.1
203  Wenn der Fachmann die bereits 1994 angemeldete Lehre deran aktuelle Weiterentwicklungen (im Jahr 2001) anpassen wollte und das Prinzip der Berücksichtigung von Benutzergruppen, wie es von UNIX oder Windows NT her bekannt war, auf die Lehre deranwendete, gelangte er zwangsläufig zu einer zentralen Datenbank, welche eine Liste von Benutzern und zugehörige Zugangsberechtigungen umfasst, wohingegen die Zugangsregeln in den geschützten Elementen gespeichert blieben.
NK6
NK6
204  Somit lag die Berücksichtigung von spezifischen Berechtigungen für einzelne Benutzer oder Benutzergruppen im Sinne des obigen „Unterschied“ für den Fachmann nahe, wenn er die Lehre der Druckschriftan inzwischen übliche Sicherheitsmechanismen anpassen wollte.
a)
NK6
205  Zum zweiten Punkt: lokale Server / ‘a copy or a subset of the server module‘
2.3.2
206  Lokale Server „mit einer zugeordneten Gruppe von designierten Benutzern“, welche ihre Dienste für eine Benutzergruppe oder z. B. für einen bestimmten Standort einer Firma anbieten, waren lange vor dem Zeitrang des Streitpatents aus verteilten Rechnersystemen z. B. mit einem Gateway-Server (Figur 1) allgemein bekannt. Allein schon um den Zugang in einem solchen Standortsystem bei einer eventuellen Störung des Zugriffs auf den zentralen Server nicht zu blockieren, hätte der Fachmann die in(Spalte 6 Zeile 46 bis 49, vgl. oben Abschnitt) gefundene Anregung einer Replikation (vgl. auchAbschnitt 5.3,Seite 606 Absatz 3) aufgegriffen und etwa die lokalen Gateway-Server eines Standorts mit einer Kopie oder einem Subset des Zugangskontroll-Moduls des zentralen Servers ausgerüstet (vgl. oben/).
NK12
NK6
I. 7.2.1
NK6b
NK15
I. 7.1
7.2.1
207  Damit ergab sich das als „Unterschied“ Geschilderte als naheliegende Anwendung der Lehre der Druckschriftbei einem über mehrere Standorte verteilten Rechnersystem.
b)
NK6
208  Nachdem die beiden erörterten Unterschiede unabhängig voneinander sind und die beiden für den Fachmann, ausgehend vonund seinem Fachwissen, naheliegenden Maßnahmen – die Aktualisierung auf den aktuellen Stand der IT-Sicherheitstechnik durch benutzerbezogene Berechtigungen, und die Anwendung auf verteilte Rechnersysteme mit lokalen Servern für Benutzergruppen – sich nicht gegenseitig beeinflussen, so dass kein kombinatorischer Effekt entsteht, beruht der Gegenstand des Patentanspruchs 1 von Hilfsantrag 2 nicht auf einer erfinderischen Tätigkeit.
2.3.3
NK6
209  Die dagegen gerichteten Argumente der Beklagten führen zu keiner anderen Beurteilung.
2.4
210  Insbesondere hat die Beklagte angeführt, dass der Sicherheitsmechanismus von Windows NT keine Regeln (Bedingungen) „den geschützten Elementen“ aufweise. Für die geschützten Objekte seien etwa gemäßSpalte 4 Zeile 66 ff. Sicherheits-Deskriptoren 76 des „Kernel-Levels“ zuständig. Diese Deskriptoren (die gemäßFigur 3 die beanspruchten ‘rules‘ enthalten können) seien nicht „in“ dem Objekt gespeichert, sondern diesem nur zugeordnet, in der Art eines Zeigers, der auf einen tatsächlichen Speicherort im Kernel verweist. Auch inSeite 34 Zeile 3 / 4 heiße es ‘security descriptorthe file‘, nicht ‘ithe file’. GemäßSeite 42 gehöre die ‚access control list‘ für Dateien (files) zum File Manager, nicht zur Datei.
2.4.1
D2
D2
NK16
NK16
in
for
n
211  Der Senat sieht darin jedoch kein Hindernis. Entscheidend ist, dass die Lehre dereine Speicherung „in“ den geschützten Elementen vorbeschreibt. Zwar geht sie allein von einer einfachen Authentifizierung des Benutzers aus und kennt keine Vergabemöglichkeiten für differenzierte Benutzerberechtigungen; wie ausgeführt, waren differenzierte Benutzerberechtigungen im Jahr des Zeitrangs des Streitpatents jedoch allgemein üblich.
NK6
212  Um die Lehre deran den aktuellen „Stand der Technik“ anzupassen, hätte der Fachmann allein diesen Aspekt (Tabelle mit Benutzerberechtigungen) von damals üblichen Betriebssystemen wie UNIX oder Windows NT auf die Lehre derübertragen, ohne dabei aber den Ablageort der inbeschriebenen „Bedingungen“ („access control list“, sieheFigur 8) im Header der Datei zu verändern.
NK6
NK6
NK6
NK6
213  Unabhängig davon ist die von der Beklagten beschriebene Lücke im Schutzmechanismus, falls Dateien ohne die zugeordneten Berechtigungen kopiert würden (vgl. das in der mündlichen Verhandlung vorgelegte Handout „NK16: Keine untrennbare Verbindung …“) derart offensichtlich, dass der Fachmann (s. o.) sie niemals zugelassen hätte. Dabei setzt ein lückenloser Schutz aber nicht voraus, dass die Zugriffsbedingungen„in“ der jeweiligen Datei gespeichert sind. Es kommt vielmehr auf eine lückenlose Zuordnung an, vor allem dass sie bei jeder Dateiweitergabe mitgegeben werden. Das ist in einem geschützten Dateisystem aber ohne Weiteres auch dann möglich, wenn eine im Kernel gespeicherte Liste zu der jeweiligen Datei nur zugeordnet ist (z. B. durch einen Pointer).
I. 6.
physikalisch
214  So auch das Streitpatent, wo es in Abs. [0059] heißt: ‘A set of access rules 204 for the document 200 is received anda header 206 … Depending on an exact implementation, the security information can be entirely included in a headerthat is included in the header.’als „Stand der Technik” beschreibt den Header mit den ‘rules’ ebenfalls so: ‘The header may be associated with the file in a number of ways:, or as a trailer at the end of the file,,, or in a local database.’ Von dem den hier zuständigen Fachmann werden die beiden Möglichkeiten (Speicherung unmittelbar in der Datei, oder durch Pointer verknüpft) demnach alsbeurteilt.
associated with
or pointed to by a pointer
as the first few bytes of the file
or stored in the file’s directory entry
or in a separate area associated with the file’s directory entry
NK6
gleichwertig
215  Den, die Lehre derentsprechend abzuändern sieht der Senat darin, dass die im Jahr 1994 zum Patent angemeldete Lehre der, welche nur eine „einfache“ Benutzer-Authentifizierung beinhaltete, im Jahr 2001 (frühester Zeitrang des Streitpatents: 12. Dezember 2001) nicht mehr zeitgemäß war. Denn angesichts zahlreicher damals bekannter verbreiteter Betriebssysteme, welche eine differenzierte Benutzer-Autorisierung vorsahen, hätte der Fachmann die Lehre der(wie beschrieben) dem allgemeinen Fortschritt und den Verbesserungen der Technik folgend entsprechend angepasst.
2.4.2
NK6
NK6
NK6
Anlass
216  Der Gegenstand des Patentanspruchs 1 nach Hilfsantrag 2 stellt sich sonach lediglich als naheliegende Aktualisierung der Lehre derfür aktuelle Betriebssysteme und als fachmännische Anwendung auf ein auf mehrere Standorte oder Benutzergruppen verteiltes Rechnersystem dar.
2.5
NK6
217  Mit dem Patentanspruch 1 fällt der gesamte Hilfsantrag 2 (s. o.).
I. 8.
218  Der Hilfsantrag 3 ist nicht günstiger zu beurteilen.
3  219  Der Patentanspruch 1 des Hilfsantrags 3 beruht auf dem Anspruch 1 des Hilfsantrags 2 mit dessen Merkmalenund(siehe oben), wobei das Merkmalzusätzlich ergänzt wird:
3.1
H2-M1.1
H2-M1.2
2.1
M1.1
220  a central server (500) having a server module (502) adapted to provide overall access control, wherein the server module in the central server maintains a database that includes a list of users and corresponding access privileges;
H3-M1.1
, wherein the access privileges specify membership in one or more user groups
221  D.h. die Benutzerberechtigungen sollen eine Zugehörigkeit zu einer oder zu mehreren Benutzergruppen spezifizieren.
222  Die Beklagte trägt dazu vor, das ergänzte Merkmalbringe den Unterschied zur Lehre der Druckschriftnoch deutlicher zum Ausdruck, dennkenne keine Benutzergruppen.
3.2
H3-M1.1
NK6
NK6
223  Es kann dahinstehen, ob dieses Merkmal so wie nun beansprucht auch ursprünglich offenbart ist. Denn wie oben inausgeführt, kennt der Fachmann Benutzergruppen und -berechtigungen, die einer Benutzergruppe zugeordnet sind, von bereits vor dem Zeitrang des Streitpatents üblichen Betriebssystemen wie UNIX oder Windows NT, vgl. etwaSpalte 5 Zeile 18 ff. oderSeite 41 ‘… list of groups to which the user belongs …‘. Der Fachmann hätte die hier explizit beanspruchte Spezifizierung in Form der Zugehörigkeit zu einer oder zu mehreren Benutzergruppen bei der „Aktualisierung“ der Lehre der Druckschrift(vgl. oben) automatisch mit übernommen.
3.3
II. 2.3.1
D2
NK16
NK6
II. 2.3.1, 2.4.2
224  Mit der angegebenen Ergänzung des Merkmalskann das Vorliegen einer erfinderischen Tätigkeit gegenüber der Anspruchsfassung gemäß Hilfsantrag 2 daher nicht begründet werden.
M1.1
225  Auch der Hilfsantrag 4 kann nicht günstiger als die Hilfsanträge 2 und 3 beurteilt werden.
4  226  Der Patentanspruch 1 des Hilfsantrags 4 geht aus von Anspruch 1 gemäß Hilfsantrag 3 mit dessen Merkmalenund(siehe oben,) wobei zwischen den Merkmalenundnoch als zusätzliches Merkmal eingefügt wird:
4.1
H3-M1.1
H2-M1.2
II.
3.1
2.1
M1
H3-M1.1
227  H4-M1.0
a user authentication process (600) for authenticating the user before being able to access secured items;
228  Damit soll zum Ausdruck gebracht werden, dass der Authentifizierungsprozess dem Zugriff auf die gesicherten Elemente und der zugehörigen Autorisierung ausdrücklichist.
vorgelagert
229  Die Beklagte trägt hierzu vor, das Kerberos-Ticket dersei allenfalls für den nun im Anspruch ausdrücklich erwähnten Authentifizierungsprozess von Bedeutung, nicht aber für die nachfolgende Autorisierung von Zugangsanforderungen anhand von Zugangsprivilegien und Zugangsregeln. Durch das zusätzliche Merkmal sollte die Trennung in zwei Phasen (Authentifizierung / Autorisierung) deutlicher zum Ausdruck gebracht werden.
4.2
NK6
230  In der Beurteilung als „für den Fachmann naheliegend“ ergibt sich dadurch aber kein Unterschied.
4.3
231  Schon die Lehre derallein zeigt eine erste, vorgelagerte Phase der Benutzer-Authentifizierung (Spalte 2 Zeile 61 bis Spalte 3 Zeile 16), welche als Ergebnis das Benutzer-Ticket liefert. Mit diesem kann der Benutzer dann in einer zweiten Phase auf geschützte Dateien zugreifen (Spalte 3 Zeile 16 bis 22 u. a.). In dieser Hinsicht geschieht auch bei Windows NT nichts anderes (vgl.Spalte 4 Zeile 46 ff., Zeile 61 ff.) Daher ist das zusätzliche Merkmal des Hilfsantrags 4 im gegebenen Kontext vorbekannt. Zu den übrigen Merkmalen wird auf die obige Argumentation betreffend die Hilfsanträge 2 und 3 verwiesen.
NK6
D2
232  Die Hilfsanträge 5 und 6 haben ebenfalls keinen Erfolg.
5  233  Beim Hilfsantrag 5 wird das Merkmaldes Patentanspruchs 1 des Hilfsantrags 4 – genauso wie beim Hilfsantrag 1 im Vergleich mit dem Hauptantrag – um den Ausdruckergänzt, d. h. hier sollen wieder (nur noch) solche Dateien durch die beanspruchte Lehre geschützt werden, die einen ausführbaren Code beinhalten.
5.1
M1

including executable code‘
234  Der Patentanspruch 1 gemäß Hilfsantrag 6 stimmt mit dem Patentanspruch 1 des Hilfsantrags 5 überein mit der einzigen Ausnahme, dass das (im Hilfsantrag 3 hinzugekommene) Teilmerkmal ’wherein the access privileges specify membership in one or more user groups‘ist.
gestrichen
235  Für die Beurteilung der Ergänzung im Patentanspruch 1 des Hilfsantrags 5 gilt das zum Hilfsantrag 1 Ausgeführte in gleicher Weise (s. o.: „das Vorliegen einer erfinderischen Tätigkeit kann damit nicht begründet werden“).
5.2
II.
1.3
236  Der Hilfsantrag 5 kann daher nicht anders als Hilfsantrag 4 beurteilt werden.
237  Diese Beurteilung kann sich auch nicht dadurch ändern, dass gemäß Hilfsantrag 6 das Teilmerkmal ’wherein the access privileges specify membership in one or more user groups‘ gestrichen, also nicht mit beansprucht wird.
5.3
238  Der Hilfsantrag 6 kann daher nicht anders als Hilfsantrag 5 beurteilt werden.
239  Da die Hilfsanträge jeweils als geschlossene Anspruchssätze beansprucht werden, fallen mit den jeweiligen Hauptansprüchen auch die jeweiligen Anspruchssätze insgesamt (siehe auch oben unter I. Ziff. 8).
6  III.
240  Die Kostenentscheidung beruht auf § 84 Abs. 2 PatG i. V. m. §§ 91 Abs. 1 Satz 1 ZPO.
241  Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 99 Abs. 1 PatG i. V. m. § 709 Satz 1 und 2 ZPO.

Ähnliche Artikel

Insolvenzrecht

Räumungspflicht des Gewerbegrundstücks im Insolvenzverfahren: Teilweise Räumung als Masseverbindlichkeit; Instandsetzung der entfernten, mit der Mietsache verbundenen Einrichtung als Masseverbindlichkeit
Mehr lesen

Arbeitsrecht

Notarkostenrecht: Ermäßigte Gebühr für Beurkundungsverfahren bei Teilaufhebung
Mehr lesen
Kommentare

Es wurde noch kein Kommentar zu diesem Artikel hinterlassen. Seien Sie der Erste und regen Sie eine Diskussion an.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Nach oben