Patent abgelaufen, Gefahr nicht vorbei: Wann ein Passwort-Reset Jahre später noch Schadenersatz kostet
Ein längst ausgerollter „Passwort vergessen“-Prozess kann noch teuer werden, obwohl das Patent dahinter bereits abgelaufen ist. Genau das zeigt eine Entscheidung des OGH: Nicht die Marketingbeschreibung Ihrer Login-Sicherheit entscheidet, sondern wie eine durchschnittliche Fachperson den Patentanspruch technisch versteht. Und daran können Rechnungslegung und Schadenersatz für die Vergangenheit hängen.
Der eigentliche Streit: nicht E-Mail gegen SMS, sondern die Sicht der Fachperson
Die Patentinhaberin warf einem Unternehmen vor, mit dem Passwort-Zurücksetzen auf seiner Website ein europäisches Patent zu verletzen. Der Ablauf wirkte auf den ersten Blick alltäglich: Nutzer klicken auf „Passwort vergessen“, erhalten einen Code per E-Mail oder SMS und setzen damit ein neues Passwort.
Genau dieser Standardprozess wurde zum Streitfall. Die Vorinstanzen meinten, das Patent verlange eine sehr enge technische Struktur, nämlich eine eindeutige 1:1-Zuordnung zwischen einem Sicherheitscode und einem Zusatzcode je Transaktion. Weil sie diese starre Zuordnung im beanstandeten Ablauf nicht sahen, verneinten sie eine Patentverletzung.
Die Patentinhaberin hielt dagegen: Der Patentanspruch sei zu eng gelesen worden. Entscheidend sei nicht, welche Sicherheitslogik ein Gericht selbst für plausibel halte, sondern wie eine durchschnittliche Fachperson aus dem betroffenen Technikbereich die Anspruchsmerkmale versteht.
Warum die Vorinstanzen zu schnell waren
Gerade bei technischen Schutzrechten liegt der Fehler oft nicht in der Schlussfolgerung, sondern schon einen Schritt früher: bei der Auslegung des Patentanspruchs. Wer den Anspruch zu eng oder zu weit liest, beantwortet die Verletzungsfrage auf einer falschen Grundlage.
Die unteren Instanzen hatten die Formulierung des Patents eigenständig mit allgemeinen Sicherheitsüberlegungen unterlegt. Das ist heikel. Ein Patent wird nicht so ausgelegt, wie es einem Richter oder einer Prozesspartei technisch sinnvoll erscheint, sondern so, wie eine durchschnittliche Fachperson es am Prioritätstag verstehen würde.
Genau hier setzte der OGH an. Ohne Feststellungen zum technischen Verständnis dieser Fachperson fehlt die notwendige Grundlage, um den Schutzbereich seriös zu bestimmen. Erst danach lässt sich prüfen, ob der konkrete Passwort-Reset-Ablauf die einzelnen Merkmale des Patentanspruchs erfüllt.
Was der OGH klargestellt hat
Der OGH hob die Entscheidungen der Vorinstanzen auf und verlangte eine neue Beurteilung. Maßgeblich ist die Entscheidung 4 Ob 182/24w vom 19.11.2024.
Der Kern der Entscheidung ist für Unternehmen mit digitalen Produkten besonders wichtig: Wenn der Anspruchstext nicht glasklar ist, braucht es Feststellungen dazu, wie eine durchschnittliche Fachperson den Anspruch versteht. Diese technische Perspektive wird regelmäßig durch ein Sachverständigengutachten abgesichert.
Mit anderen Worten: Die Frage, ob Ihr Login-, OTP- oder Reset-Flow eine Patentverletzung ist, hängt oft nicht am Quellcode allein, sondern an der fachmännischen Deutung des Schutzbereichs. Diese Deutung kann enger sein als von der Klägerin behauptet — oder weiter als von der Beklagten gehofft.
Welche Regeln dahinterstehen
§ 22a PatG bestimmt vereinfacht, dass sich der Schutzbereich eines Patents nach den Patentansprüchen richtet. Die Beschreibung und Zeichnungen dienen dazu, diese Ansprüche richtig zu verstehen.
Art 69 EPÜ ergänzt dieses Prinzip auf europäischer Ebene: Weder ein rein wörtliches Lesen noch ein völlig freies Hineininterpretieren ist richtig. Gesucht wird ein fairer Ausgleich zwischen Patentschutz für den Inhaber und Rechtssicherheit für Dritte.
Für die Praxis bedeutet das: Wer ein technisches Feature entwickelt oder vertreibt, darf sich nicht darauf verlassen, dass eine scheinbar enge Wortwahl im Patent automatisch Sicherheit schafft. Sobald mehrere technische Lesarten möglich sind, wird die Sicht der durchschnittlichen Fachperson zentral.
Patent abgelaufen — warum das finanziell trotzdem nicht erledigt ist
Während des Verfahrens lief das Patent ab. Viele Unternehmen würden an dieser Stelle aufatmen. Zu früh.
Der Ablauf des Patents beendet zwar den Schutz für die Zukunft. Ansprüche für die Zeit, in der das Patent noch in Kraft war, können aber bestehen bleiben. Dazu zählen insbesondere Rechnungslegung und Schadenersatz. Wer eine geschützte Technik in einem Kundenportal, Onlineshop oder SaaS-Produkt jahrelang eingesetzt hat, trägt dieses Risiko also nicht automatisch mit dem Kalender aus dem Unternehmen hinaus.
Gerade bei digitalen Funktionen ist das brisant. Passwort-Reset, Zwei-Faktor-Authentifizierung, TAN-Prozesse oder Multi-Channel-Codes laufen oft millionenfach im Hintergrund. Wenn eine solche Funktion später als patentverletzend qualifiziert wird, betrifft das nicht bloß eine technische Randfrage, sondern unter Umständen ein skalierendes Haftungsthema.
Wo Vertriebsunternehmen das Thema unterschätzen
Der Fall betrifft nicht nur Softwarehersteller. Auch im Vertriebsrecht schlägt das Risiko auf mehreren Ebenen auf.
Wenn Sie als Reseller, Distributor, Franchisegeberin oder White-Label-Anbieter digitale Plattformen vertreiben, kann ein IP-Konflikt in der Lieferkette nach unten weitergereicht werden. Endkunden verlangen dann nicht nur technische Abhilfe, sondern oft Freistellung, Support, Updates und Ersatz der eigenen Abwehrkosten.
Wenn Sie als Handelsunternehmen externe Entwickler oder Integratoren einsetzen, stellt sich die nächste Frage: Wer trägt das Risiko, wenn eine Authentifizierungsfunktion Rechte Dritter verletzt? Ohne saubere Vertragsklauseln bleibt die wirtschaftliche Last häufig bei jener Stelle hängen, die dem Kunden am nächsten ist.
Wenn Ihr Vertrieb mit Aussagen wie „einzigartig sichere Transaktion“ oder „besonders geschützter Authentifizierungsprozess“ wirbt, kann das außerdem später unangenehme Nebenwirkungen haben. Denn Marketingaussagen und technische Dokumentation sollten zusammenpassen. Alles andere schafft Angriffsfläche.
Vier Situationen, in denen Sie jetzt genauer hinschauen sollten
- Wenn Sie gerade einen Passwort-Reset, OTP-Flow oder Multi-Faktor-Login in Shop, App oder Kundenportal einführen.
- Wenn Sie von SMS-Codes auf E-Mail- oder App-Codes umstellen oder Mischformen anbieten.
- Wenn Sie fremde Software als OEM-, SaaS-, Reseller- oder Franchise-Modell vertreiben.
- Wenn nach Patentablauf die Annahme im Raum steht, frühere Nutzung sei „ohnehin erledigt“.
Was Unternehmer jetzt vertraglich und technisch prüfen sollten
- Freedom-to-Operate-Prüfung: Vor Go-Live sollte geprüft werden, ob sicherheitsrelevante Abläufe fremde Patente berühren könnten.
- Design-Around dokumentieren: Halten Sie technische Alternativen fest, falls ein Flow später angepasst werden muss.
- IP-Freistellung in der Kette: Hersteller, Distributor, Reseller und Endkunde brauchen Back-to-back-Regelungen, damit das Risiko nicht an der falschen Stelle landet.
- Haftungsgrenzen sauber bauen: Ein allgemeiner Haftungsdeckel ohne IP-Carve-out ist bei solchen Konstellationen oft wirtschaftlich unbrauchbar.
- Entwicklungsunterlagen archivieren: Architekturentscheidungen, Release-Notes und Varianten helfen später als Beweismittel.
FAQ: Was Unternehmer dazu tatsächlich googlen
Kann ein abgelaufenes Patent noch Probleme machen?
Ja. Für die Zukunft nicht mehr, für die Vergangenheit sehr wohl. Wenn eine Nutzung während aufrechten Patentschutzes stattgefunden hat, können Rechnungslegung und Schadenersatz weiter im Raum stehen.
Reicht der Wortlaut des Patentanspruchs nicht aus?
Nicht immer. Der Anspruch ist der Ausgangspunkt, aber entscheidend ist sein technisches Verständnis aus Sicht einer durchschnittlichen Fachperson. Genau daran scheitern oder gewinnen viele Patentprozesse.
Ich vertreibe nur Software eines Herstellers — hafte ich trotzdem?
Das kann passieren. Ob und in welchem Umfang, hängt von Ihrer Rolle, Ihren Verträgen und Ihrem Auftreten gegenüber Kunden ab. Ohne passende Freistellungs- und Rückgriffsregelungen tragen Vertriebsstufen oft mehr Risiko, als ihnen bewusst ist.
Brauche ich bei Passwort-Reset und Login-Prozessen wirklich eine IP-Prüfung?
Wenn die Funktion geschäftskritisch ist oder in großer Stückzahl ausgerollt wird, ist das jedenfalls sinnvoll. Gerade Standardprozesse wirken harmlos, sind aber häufig Gegenstand technischer Schutzrechte. Das wirtschaftliche Risiko entsteht nicht durch die Sichtbarkeit der Funktion, sondern durch ihre Reichweite.
Probleme im Vertriebsrecht? Wir beraten Sie.
Unsere Rechtsanwaltskanzlei in 1010 Wien berät Hersteller, Importeure, Handelsvertreter, Vertragshändler und Franchisenehmer in allen Fragen des Vertriebs- und Handelsrechts. Beratungstermin vereinbaren oder anrufen: 01/513 07 00.
Dieser mit KI-Unterstützung erstellte Beitrag dient ausschließlich der allgemeinen Information über das österreichische Recht. Er stellt keine Rechtsberatung im Sinne der RAO dar und ersetzt nicht die individuelle anwaltliche Beratung . Die Anwendung gesetzlicher Bestimmungen und höchstgerichtlicher Judikatur auf einen konkreten Lebenssachverhalt erfordert stets eine einzelfallbezogene Prüfung durch einen Rechtsanwalt. Durch das Lesen, Speichern, Teilen oder Weiterleiten dieses Beitrags kommt kein Auftrags- oder Beratungsverhältnis mit der Pichler Rechtsanwalt GmbH oder einer ihrer Rechtsanwältinnen oder Rechtsanwälte zustande. Ein Mandat entsteht ausschließlich nach individueller Beauftragung. Soweit dieser Beitrag auf Entscheidungen des OGH, EuGH oder anderer Gerichte Bezug nimmt, geben wir die jeweilige Geschäftszahl und allenfalls einen Direktlink zum Rechtsinformationssystem des Bundes (RIS) an. Maßgeblich ist stets der vollständige Wortlaut der Originalentscheidung, nicht die Zusammenfassung in diesem Beitrag. Für eine auf Ihren konkreten Sachverhalt zugeschnittene Beurteilung vereinbaren Sie bitte eine Erstberatung , schreiben Sie an wien@anwaltskanzlei-pichler.at oder rufen Sie uns unter 01/5130700 an.