lagen.
Patent- och marknadsöverdomstolen

737-25

Domstol
Patent- och marknadsöverdomstolen
Avgörandedatum
2026-06-10
Målnummer
737-25
Rättsområde
Upphovsrättsliga mål

Källa

Målet gäller en tvist mellan två mjukvaruföretag. I målet har Patent- och marknadsöverdomstolen behandlat frågan om upphovsrättsligt skydd till källkod och angrepp på företagshemligheter. I likhet med underinstansen har Patent- och marknadsöverdomstolen ogillat talan om upphovsrättsintrång. Patent- och marknadsöverdomstolen har dock, till skillnad från Patent- och marknadsdomstolen, bedömt att källkoden var företagshemlig och att den angripits genom obehörigt tillägnande och utnyttjande. Patent- och marknadsöverdomstolen har tillåtit att domen överklagas till Högsta domstolen.

SVEA HOVRÄTT Patent- och marknadsöverdomstolen Rotel 020115

DOM

2026-06-10 Stockholm

Mål nr

PMT 737-25

ÖVERKLAGAT AVGÖRANDE

Patent- och marknadsdomstolens dom 2024-12-12 i mål nr PMT 4830-23, se bilaga A

PARTER

Klagande Phenixid AB

Ombud: Jur.kand. M.T och jur.kand. D.B.Z Next Law KB

Ombud: Advokaten H.B Advokatfirman Delphi KB

Motpart

Fortifiedid AB

Ombud: Advokaten K.L

Advokatfirman Titov & Partners KB

SAKEN

Upphovsrättsintrång m.m.

DOMSLUT 1. Patent- och marknadsöverdomstolen ändrar Patent- och marknadsdomstolens dom, punkterna 2 och 3 i domslutet, på följande sätt. a. Patent- och marknadsöverdomstolen förbjuder Fortifiedid AB att, vid vite om 1 000 000 kr, utnyttja eller röja uppgifter i Phenixid AB:s källkod som anges i Patent- och marknadsdomstolens aktbilaga 121 med undantag för de filer som anges i Patent- och marknadsöverdomstolens aktbilaga 47.

b. Patent- och marknadsöverdomstolen förpliktar Fortifiedid AB att till Phenixid AB betala 750 000 kr jämte ränta på beloppet enligt 6 § räntelagen från den 3 juli 2023 till dess betalning sker.

c. Patent- och marknadsöverdomstolen förpliktar Fortifiedid AB att ersätta Phenixid AB för kostnaden att sprida information om domen i målet genom införande av en annons i någon av tidningarna Dagens Nyheter, Svenska Dagbladet eller Dagens industri upp till en kostnad om 100 000 kr.

d. Patent- och marknadsöverdomstolen befriar Phenixid AB från skyldigheten att ersätta Fortifiedid AB:s rättegångskostnader i Patent- och marknadsdomstolen och förordnar att vardera parten ska stå sina rättegångskostnad där.

2 Patent- och marknadsöverdomstolen fastställer Patent- och marknadsdomstolens beslut i punkten 1 i domslutet.

3 Det som Patent- och marknadsdomstolen har förordnat om sekretess ska fortsätta gälla med undantaget att 36 kap. 2 § offentlighets- och sekretesslagen (2009:400) inte längre ska vara tillämplig på uppgifterna i Patent- och marknadsdomstolens aktbilagor 30 och 32.

4 Patent- och marknadsöverdomstolen förordnar att sekretessen enligt 36 kap. 2 § offentlighets- och sekretesslagen (2009:400) ska fortsätta att vara tillämplig för uppgifter som förekommer i Patent- och marknadsdomstolens aktbilagor 1 (p. 7.5, 7.14, 7.31–34, 7.49 och 8.9), 6, 9–13, 15, 31, 33, 48, 50, 51, 58, 81, 82, 93, 95, 119, 121, 197–199, 201–208, 210, 213, 214, 231–233 och 236 samt för uppgifterna i Patent- och marknadsöverdomstolens aktbilagor 47–50, 55–61 och 64, vilka har lagts fram vid Patent- och marknadsöverdomstolens huvudförhandling inom stängda dörrar och som, såvitt avser Patent- och marknadsdomstolens aktbilaga 121 och Patent- och marknadsöverdomstolens aktbilaga 47, hänvisas till i domslutet. 5. Vardera parten ska stå sin rättegångskostnad i Patent- och marknadsöverdomstolen. Innehållsförteckning

YRKANDEN............................................................................................................... 5

Phenixids yrkanden i Patent- och marknadsöverdomstolen...................................... 5

Fortifiedids inställning............................................................................................... 7

Kostnadsyrkanden i Patent- och marknadsöverdomstolen........................................ 8

PARTERNAS TALAN............................................................................................... 8

Phenixid..................................................................................................................... 8

Fortifiedid.................................................................................................................. 10

UTREDNINGEN I PATENT- OCH MARKNADSÖVERDOMSTOLEN........... 10

DOMSKÄL.................................................................................................................. 10

Inledning.................................................................................................................... 10

Frågan om källkoden utgör ett upphovsrättsligt skyddat verk.................................. 12

Frågan om utvecklingsresultatet åtnjuter upphovsrättsligt skydd............................. 19

Frågan om Fortifiedid har angripit Phenixids företagshemligheter........................... 20

Förbudets utformning................................................................................................ 29

Yrkandet om att utvecklingsresultatet ska återlämnas............................................... 31

Skadestånd enligt lagen om företagshemligheter...................................................... 31

Yrkandet om informationsspridning.......................................................................... 37

Fastställelseyrkandet.................................................................................................. 38

Rättegångskostnader................................................................................................. 38

Sekretess.................................................................................................................... 39

Överklagande............................................................................................................. 39

HUR MAN ÖVERKLAGAR, SE BILAGA B......................................................... 39

SKILJAKTIG MENING........................................................................................... 40

Sid 5

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

YRKANDEN M.M.

Phenixids yrkanden i Patent- och marknadsöverdomstolen

Phenixid har inskränkt sin talan

Phenixid AB (Phenixid) har i Patent- och marknadsöverdomstolen inskränkt sin talan genom att

- på det sätt som anges nedan snäva in de i Patent- och marknadsdomstolen framställda förbudsyrkandena till att endast avse vissa delar av den i målet ingivna källkoden,

- begränsa de intrångs-/angreppsperioder som görs gällande,

- precisera det ”utvecklingsresultat” som bolaget menar är skyddat som ett

upphovsrättsligt skyddat verk och som företagshemligheter, samt

- frånfalla yrkandet om att Fortifiedid AB (Fortifiedid) ska förbjudas att

medverka till att annan framställer exemplar av de påstådda verken.

Phenixid har i Patent- och marknadsöverdomstolen yrkat enligt följande.

Yrkanden om förbud med stöd av upphovsrättslagen

Phenixid har i första hand yrkat att Patent- och marknadsöverdomstolen ska, vid vite om 1 000 000 kr för varje överträdelse eller annat kraftigt verkande vite som

domstolen finner skäligt, förbjuda Fortifiedid att framställa exemplar av

- hela eller delar av källkoden som anges i Patent- och marknadsdomstolens aktbilaga 121 med undantag för de källkodsfiler som anges i aktbilaga 47, och

- utvecklingsresultatet som anges i aktbilaga 48.

Phenixid har i andra hand yrkat att Patent- och marknadsöverdomstolen ska, vid vite om 1 000 000 kr för varje överträdelse eller annat kraftigt verkande vite som

domstolen finner skäligt, förbjuda Fortifiedid att framställa exemplar av de delar av källkoden som anges i aktbilaga 49.

Sid 6

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

Phenixid har i tredje hand yrkat att Patent- och marknadsöverdomstolen ska, vid vite om 1 000 000 kr för varje överträdelse eller annat kraftigt verkande vite som

domstolen finner skäligt, förbjuda Fortifiedid att framställa exemplar av de delar av källkoden som anges i aktbilaga 50.

Phenixid har förtydligat att yrkandena avser det ovan nämnda materialet oavsett om

det förekommer i ursprunglig form, bearbetat eller ändrat skick och oavsett om

materialet förekommer i skriftlig, digital eller annan form.

Yrkanden om förbud med stöd av lagen om företagshemligheter

Phenixid har i första hand yrkat att Patent- och marknadsöverdomstolen ska, vid vite om 1 000 000 kr för varje överträdelse eller annat kraftigt verkande vite som

domstolen finner skäligt, förbjuda Fortifiedid att röja eller utnyttja

- hela eller delar av källkoden som anges i Patent- och marknadsdomstolens aktbilaga 121 med undantag för de källkodsfiler som anges i aktbilaga 47, och

- utvecklingsresultatet som anges i aktbilaga 48.

Phenixid har i andra hand yrkat att Patent- och marknadsöverdomstolen ska, vid vite om 1 000 000 kr för varje överträdelse eller annat kraftigt verkande vite som domstolen finner skäligt, förbjuda Fortifiedid att röja eller utnyttja de delar av källkoden som anges i aktbilaga 49.

Phenixid har i tredje hand yrkat att Patent- och marknadsöverdomstolen ska, vid vite om 1 000 000 kr för varje överträdelse eller annat kraftigt verkande vite som domstolen finner skäligt, förbjuda Fortifiedid att röja eller utnyttja de delar av källkoden som anges i aktbilaga 50.

Phenixid har förtydligat att yrkandena avser det ovan nämnda materialet oavsett i vilken form eller på vilket datamedium som materialet förekommer.

Sid 7

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

Phenixids övriga yrkanden i sak

Phenixid har yrkat att Patent- och marknadsöverdomstolen ska, vid vite om

1 000 000 kr eller det belopp som domstolen finner skäligt, förplikta Fortifiedid att återlämna samtliga kopior av utvecklingsresultatet som anges i aktbilaga 48 och som Fortifiedid har i sin besittning, oavsett i vilken form eller på vilket datamedium som materialet förekommer.

Phenixid har yrkat att Patent- och marknadsöverdomstolen ska förplikta Fortifiedid att betala skadestånd till Phenixid med 2 000 000 kr, eller det belopp som domstolen finner skäligt, plus ränta på beloppet enligt 4 och 6 §§ räntelagen från dagen för delgivning av stämningsansökan den 3 juli 2023 till dess betalning sker.

Phenixid har yrkat att Patent- och marknadsöverdomstolen ska förplikta Fortifiedid att bekosta publicering av information om domslut i målet i en annons i Dagens industri, Svenska Dagbladet eller Dagens Nyheter till en högsta kostnad om 200 000 kr.

Phenixid har yrkat att Patent- och marknadsöverdomstolen ska fastställa att bolaget har bättre rätt till utvecklingsresultatet som anges i aktbilaga 48.

Yrkande om ersättning för rättegångskostnaderna i Patent- och marknadsdomstolen

Phenixid har även yrkat att Patent- och marknadsöverdomstolen ska befria bolaget från skyldigheten att ersätta Fortifiedid för dess rättegångskostnad i Patent- och marknads­domstolen samt förplikta Fortifiedid att i stället ersätta Phenixid för dess rättegångs­kostnad där.

Fortifiedids inställning

Fortifiedid har motsatt sig ändring av Patent- och marknadsdomstolens dom. Fortifiedid har förtydligat att bolaget även bestrider Phenixids justerade yrkanden.

Sid 8

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

Kostnadsyrkanden i Patent- och marknadsöverdomstolen

Parterna har yrkat ersättning för sina rättegångskostnader i Patent- och marknads-överdomstolen.

PARTERNAS TALAN

Parterna har, i relevanta delar för den kvarstående prövningen av målet, åberopat

samma omständigheter och utvecklat sin talan på i huvudsak samma sätt som i Patent-

och marknadsdomstolen, dock med följande justeringar och förtydliganden.

Phenixid

I första hand görs det gällande att hela eller delar av den ingivna källkoden (Patent-och marknadsdomstolens aktbilaga 121), med undantag för den öppna källkoden som anges i aktbilaga 47, är ett upphovsrättsligt skyddat verk och bolagets företags­hemligheter (jfr s. 5 i Patent- och marknadsdomstolens dom). Källkoden utgör ett urval av källkoden till bolagets mjukvaror PAS, Pocket Pass och Signing Workflow. Även det utvecklingsresultat som anges i aktbilaga 48 åtnjuter upphovsrättsligt skydd som ett verk och utgör Phenixids företagshemligheter. Utvecklingsresultatet består av de filer som A.A, M.F, A.B och J.A har checkat in i Fortifiedids källkodsbibliotek (repositories) under tiden de var anställda hos Phenixid och som återfinns i någon av Fortifiedids produkter Integrity eller Fortified ID App (jfr s. 12 i Patent- och marknadsdomstolens dom).

I andra- och tredje hand görs det gällande att de delar av källkoden som omfattas av bolagets i andra- och tredje hand framställda förbudsyrkanden är upphovsrättsligt skyddade verk och Phenixids företagshemligheter. Andrahands- och tredjehands­yrkandena avser de delar av källkoden som påträffades hos Fortifiedid vid intrångsund­ersökningen i målet samt de filer där det förekommer en loggfilsöverensstämmelse. Det görs inte gällande att bolagets produkter PAS, Pocket Pass och Signing Workflow eller designmaterialet till dessa produkter i sig skulle utgöra företagshemligheter eller

Sid 9

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

upphovsrättsligt skyddade verk, utan talan tar i stället sikte på den i målet ingivna källkoden till dessa produkter (jfr s. 5–7 i Patent- och marknadsdomstolens dom).

När det gäller det påstådda upphovsrättsintrånget har Phenixid gjort följande förtydliganden. Fortifiedid har gjort upphovsrättsintrång från och med den 4 april 2022 då bolaget bildades till och med den 19 april 2023 då intrångsundersökningen genomfördes. Fortifiedid har under den perioden olovligen framställt exemplar av utvecklingsresultatet i aktbilaga 48 samt hela eller delar av källkoden i Patent- och marknadsdomstolens aktbilaga 121. Detta har skett både genom att Fortifiedids anställda har laddat ner kopior av Phenixids källkod på sina datorer och genom att kopior av Phenixids källkod har registrerats i Fortifiedids källkodshanteringssystem GitHub genom en s.k. commit. Varje sådan nedladdning och registrering av Phenixids källkod innebär en olovlig exemplarframställning.

Phenixid har klargjort att det yrkade skadeståndet avser ersättning enligt 6, 9 och 11 §§ lagen om företagshemligheter (2018:558) samt ersättning för ytterligare skada enligt 54 § andra stycket upphovsrättslagen (1960:729). Yrkandet omfattar inte längre skälig ersättning för utnyttjandet enligt 54 § första stycket upphovsrättslagen (jfr s. 11 andra stycket i Patent- och marknadsdomstolens dom).

Phenixid har utvecklat sin talan avseende angrepp på företagshemligheter enligt följande. Fortifiedid har från och med utförandet av konsultuppdraget (sommaren och hösten 2022) till och med den 19 april 2023 anskaffat hela eller delar av Phenixids källkod i strid med 6 § lagen om företagshemligheter. Detta har skett genom att kopiera och utnyttja nämnda företagshemligheter samt genom att inte lämna tillbaka dessa efter upphörandet av konsultuppdraget den 1 november 2022. Fortifiedid har därtill, i strid med 7 § lagen om företagshemligheter, under perioden den 4 april 2022 till och med den 19 april 2023 angripit hela eller delar av källkoden som Phenixids f.d. anställda eller någon annan dessförinnan har anskaffat och röjt för Fortifiedid.

Sid 10

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

Fortifiedid

Källkoden består alltjämt till stor del av öppen källkod och åtnjuter varken skydd som upphovsrättsligt skyddade verk eller som företagshemligheter. Den ingivna källkoden är inte heller ett sammanhållet alster, utan består av slumpmässigt utvalda

källkodsfiler. Även av det skälet kan talan inte bifallas. Det ifrågasätts dock inte att Phenixid har äganderätt till själva produkterna PAS, Pocket Pass och Signing Workflow (jfr s. 13 andra stycket i Patent- och marknadsdomstolens dom).

Fortifiedid har tillagt att bolaget vid utförandet av konsultuppdraget fick använda källkodshanteringssystemet GitHub, där material senare påträffades vid intrångs­undersökningen. När konsultuppdraget upphörde raderade Fortifiedid den källkod som bolaget hade fått tillgång till. Det var därför som ett antal filer och sökvägar påträffades i mappen ”deleted repos” vid intrångsundersökningen. Materialet som påträffades vid intrångsundersökningen är därmed i allt väsentligt rester från konsultuppdraget och visar inte på någon olovlig användning av källkoden från Fortifiedids sida.

UTREDNINGEN I PATENT- OCH MARKNADSÖVERDOMSTOLEN

Parterna har åberopat samma utredning som i Patent- och marknadsdomstolen. Patent-

och marknadsöverdomstolen har tagit del av den muntliga bevisningen genom

uppspelning av förhören i Patent- och marknadsdomstolen.

DOMSKÄL

Inledning

Phenixid är ett mjukvaruföretag som har utvecklat produkter för autentisering och identitetshantering, dvs. säker verifiering av användare vid inloggning och digital signering. Tre av bolagets produkter är mjukvarorna PAS (Phenixid Authentication Services), Pocket Pass och Signing Workflow.

Sid 11

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

Under 2022 hoppade ett antal anställda på Phenixid av bolaget och startade

konkurrenten Fortifiedid. I november 2022 lanserade Fortifiedid autentiserings-

produkten Integrity och appen Fortified ID App. Det blev upprinnelsen till den aktuella tvisten.

Phenixids talan går i korthet ut på att det s.k. utvecklingsresultatet samt den i målet ingivna källkoden till bolagets produkter PAS, Pocket Pass och Signing Workflow åtnjuter upphovsrättsligt skydd, att dessa rättigheter tillkommer Phenixid och att Fortifiedid har gjort intrång i dessa rättigheter genom att framställa exemplar av källkoden vid utvecklingen av Fortifiedids produkter. Enligt Phenixid utgör källkoden och utvecklingsresultatet även bolagets företagshemligheter som Fortifiedid har angripit genom att kopiera koden och utnyttja den vid utvecklingen av Fortifiedids produkter.

Fortifiedid har bestritt att källkoden och utvecklingsresultatet utgör företags-

hemligheter eller åtnjuter upphovsrättsligt skydd och har bl.a. gjort gällande att den i målet ingivna koden består av ett hopplock av ett stort antal ospecificerade filer och som därtill, till stor del, utgörs av s.k. öppen källkod eller bygger på öppna standarder. För det fall att domstolen skulle bedöma att källkoden är skyddad som företags­hemlighet eller som ett verk har Fortifiedid bestritt att rätten till källkoden tillkommer Phenixid. Fortifiedid har även bestritt intrångs- och angreppspåståendena och bl.a. gjort gällande att den kod som påträffats hos bolaget vid intrångsundersökningen är rester från konsultuppdraget som bolaget utförde för Phenixids räkning 2022.

Innan domstolen kommer in på sin bedömning av dessa frågor finns det skäl att inledningsvis säga något allmänt om mjukvaruutveckling.

Datorprogram, mobilapplikationer och andra former av mjukvaror skrivs i källkod med hjälp av ett eller flera programmeringsspråk (exempelvis Java). Källkoden är skriven i form av bokstäver och andra tecken och utgör en uppsättning instruktioner som en dator tolkar och utför. För att ett datorprogram ska fungera och kunna användas i en

Sid 12

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

dator behöver källkoden först omvandlas (kompileras) till s.k. objektkod, vilket utgör den maskinläsbara formen av programmet.

Under utveckling av mjukvaror kan källkodshanteringssystem användas där utvecklare kan lagra och uppdatera källkoden och spåra ändringar som gjorts i koden över tid. BitBucket och GitHub är två exempel på källkodshanteringssystem som förekommer i det här målet. I källkodshanteringssystem kan källkoden sparas i olika

källkodsbibliotek (s.k. repository). När källkoden sparas, eller checkas in, i

källkodsbiblioteket, skapas en s.k. commit i en loggfil. Commiten innehåller de förändringar som en utvecklare utfört på källkoden tillsammans med information om när förändringen gjordes, av vem och incheckningens unika serienummer (s.k. hash­kod).

Patent- och marknadsöverdomstolen kommer i det följande inleda med att pröva Phenixids talan på upphovsrättslig grund. Den första frågan blir då om källkoden (i något av de utföranden som anges i förbudsyrkandena) åtnjuter upphovsrättsligt skydd.

Frågan om källkoden utgör ett upphovsrättsligt skyddat verk

Rättsliga utgångspunkter

Patent- och marknadsöverdomstolen ansluter sig till de rättsliga utgångspunkter som

Patent- och marknadsdomstolen har redogjort för beträffande tillämpningen av

upphovsrättslagen (s. 35 och 36) och tillägger följande.

Som Patent- och marknadsdomstolen har angett kan ett datorprogram åtnjuta upphovs-rättsligt skydd som ett verk. Begreppet verk är ett självständigt unionsrättsligt begrepp som ska tolkas och tillämpas på ett enhetligt sätt. Det är alltså ett och samma verks­begrepp som ska användas vid bedömningen av ett datorprograms upphovsrättsliga skydd som hos andra typer av alster. Enligt EU-domstolens praxis förutsätter ett verk att två kumulativa förutsättningar är uppfyllda. För det första ska alstret uppfylla kravet på originalitet i den meningen att det är upphovsmannens egen intellektuella skapelse.

Sid 13

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

För det andra är det endast element i alstret som ger uttryck för ett sådant skapande som kan kvalificeras som verk. (Se EU-domstolens dom den 16 juli 2009, Infopaq International, C-5/08, EU:C:2009:465, punkterna 27, 28, 37 och 39, dom den 12 september 2019, Cofemel, C-683/17, EU:C:2019:721, punkterna 29–32 och dom den 11 juni 2020, Brompton Bicycle, C-833/18, EU:C:2020:461, punkt 22.)

Den första av dessa förutsättningar är alltså kravet på originalitet. Enligt EU-dom­stolens praxis är ett alster originellt när det återspeglar upphovsmannens personlighet, genom att ge uttryck för dennes fria och kreativa val. Om ett alster är resultatet av tekniska överväganden, regler eller krav som inte lämnar utrymme för något utövande av en kreativ frihet, ska alstret i fråga inte anses ha den originalitet som krävs för att utgöra ett verk (se Brompton Bicycle, punkt 24 samt, för ett liknande resonemang, EU-domstolens dom den 22 december 2010, BSA, C-393/09, EU:C:2010:816, punkt 49). Ett alster som uppfyller kravet på originalitet kan emellertid åtnjuta upphovsrättsligt skydd även om alstret tillkommit utifrån tekniska överväganden, under förutsättning att de tekniska övervägandena inte har hindrat upphovsmannen från att återspegla sin personlighet i alstret genom att ge uttryck för fria och kreativa val (se Brompton Bicycle, punkt 26). Den här gränsdragningen mellan tekniska överväganden och kreativa val kan sägas vara särskilt aktuell när det gäller just datorprogramalster eftersom tekniska aspekter påverkar utformningen av den kod som ett datorprogram består av (jfr Agne Lindberg och Daniel Westman, Praktisk IT-rätt, tredje upplagan, s. 287 f.).

Av EU-domstolens praxis framgår vidare att även när upphovsmannen har gjort val som inte beror på tekniska eller andra begränsningar, kan det inte presumeras att dessa val är av kreativ karaktär. Domstolen ska därför söka efter och identifiera de kreativa valen. (Se EU-domstolens dom den 4 december 2025, Mio m.fl., i de förenade målen C 580/23 och C-795/23, EU:C:2025:941, punkt 65.)

Det andra kravet som anges ovan – ett skapande uttryck – förutsätter att det finns ett alster som kan identifieras med tillräcklig precision och objektivitet. Kravet på att det

Sid 14

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

ska finnas ett alster som kan identifieras återspeglar den grundläggande upphovs-rättsliga principen att idéer i sig inte skyddas, utan endast det uttryck som upphovs­mannen har gett sin idé. (Se EU-domstolens dom den 13 november 2018, Levola Hengelo, C-310/17, EU:C:2018:899, punkterna 39 och 40.)

Utgångspunkten i upphovsrätten är att även delar av ett verk kan åtnjuta upphovs-rättsligt skydd. EU-domstolen har framhållit att upphovsrätten till delar av ett verk inte ska bedömas annorlunda än hela verk. Det innebär att delar av ett verk skyddas om de innehåller vissa av de element som ger uttryck för upphovsmannens egen intellektuella skapelse och i sig bidrar till originaliteten hos verket i sin helhet. (Se Infopaq,

punkterna 38 och 39, Mio m.fl., punkt 66, och EU-domstolens dom den 23 januari 2014, Nintendo m.fl., C-355/12, EU:C:2014:25, punkt 22.)

Frågan om det föreligger ett verk i unionsrättslig mening är en rättslig bedömning. Det ankommer alltså på domstolen att bedöma om beskrivningen av verket – utifrån de omständigheter som åberopas till stöd för skydd – uppfyller ovan nämnda krav på originalitet och identitet som ställts upp i EU-domstolens praxis.

Som Patent- och marknadsdomstolen angett är det upphovsrättsliga skyddet för datorprogram harmoniserat genom datorprogramdirektivet1. Skyddsobjektet för direktivet är ett datorprograms alla uttrycksformer som möjliggör att det kan

mångfaldigas i olika datorspråk, exempelvis i form av källkod och objektkod (se BSA, punkt 35). Det som alltså först och främst kan bli föremål för skydd är den konkreta utformningen av källkod eller objektkod (dvs. hur den beskrivs och anges i enskilda kommandon), men även den övergripande strukturen i koden kan skyddas om den bidrar till originaliteten hos verket som helhet (jfr Sanna Wolk, Datorprogramalster i upphovsrätten, 2016, s. 48 och Agne Lindberg och Daniel Westman, Praktisk IT-rätt, tredje upplagan, s. 230).

1 Europaparlamentets och rådets direktiv 2009/24/EG av den 23 april 2009 om rättsligt skydd för datorprogram.

Sid 15

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

I likhet med andra typer av alster är upphovsmannens fria och kreativa val avgörande för originalitetsbedömningen av datorprogram, dvs. valmöjligheterna vid utformningen av programmet. Originalitetsbedömningen har dock inget i sig att göra med hur enkelt eller komplicerat ett program är, dess estetiska egenskaper eller programmets funktion som sådan (jfr Sanna Wolk, Datorprogramalster i upphovsrätten, 2016, s. 48. och 71– 74).

Vid utvecklingen av datorprogram används inte sällan öppen källkod, dvs. källkod som är fritt tillgänglig på t.ex. internet. I mjukvaruutveckling används även olika former av standarder och programmeringsverktyg. Det kan exempelvis röra sig om standard-betonade algoritmer och kodmoduler eller rutiner för olika funktioner i ett datorprogram. Öppen källkod och andra former av standarder kan begränsa det upphovsrättsliga skapandeutrymmet. (Jfr Agne Lindberg och Daniel Westman, Praktisk IT-rätt, tredje upplagan, s. 287 f.) Användningen av sådana standarder utesluter dock inte att datorprogrammet kan uppfylla kravet på originalitet i den meningen att det är upphovsmannens egen intellektuella skapelse genom exempelvis de val som gjorts vid urvalet och implementeringen av dessa standarder.

Med dessa utgångspunkter övergår nu Patent- och marknadsöverdomstolen till att pröva om källkoden åtnjuter upphovsrättsligt skydd.

Patent- och marknadsöverdomstolens bedömning

Frågan om källkoden kan anses utgöra ett verk

Phenixid har i Patent- och marknadsöverdomstolen i första hand – efter förtydligande – gjort gällande att hela eller delar av den ingivna källkoden (Patent- och marknads­domstolens aktbilaga 121), med undantag för den öppna källkoden som anges i

aktbilaga 47, är ett upphovsrättsligt skyddat verk. Enligt bolaget ger källkoden uttryck för originalitet både i utformningen av den egenskrivna programkoden och i

implementeringen av tredjepartskomponenter och standardbibliotek. De fria och

Sid 16

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

kreativa valen kommer enligt Phenixid till uttryck bl.a. i urval, sammanställning, disposition, kombination och formulering av de element som ingår i källkoden.

Patent- och marknadsöverdomstolen konstaterar inledningsvis att ett alster som består av källkodsfiler skiljer sig från många andra typer av alster på så sätt att rätten inte kan bedöma hur dess olika delar förhåller sig till varandra genom en visuell granskning. En sådan bedömning kan knappast heller göras av någon som inte har sakkunskap på området.

Som angetts ovan har Phenixid uppgett att den ingivna källkoden utgör delar av källkoden till bolagets produkter PAS, Pocket Pass och Signing Workflow. Enligt bolaget bör PAS och applikationen Pocket Pass ses som en helhet i vilket PAS är det centrala och nödvändiga bakomliggande systemet som möjliggör Pocket Pass funktionalitet. Produkten Signing Workflow, som endast har berörts översiktligt, avser å sin sida digital signering av filer.

Det är klarlagt att den totala mängden källkod för produkterna är betydligt större än den ingivna källkoden. Avgränsningen har enligt Phenixid gjorts i syfte att precisera yrkandet om vitesförbud. Det har dock inte framkommit hur urvalet har gjorts, vilket innebär att Patent- och marknadsöverdomstolen inte vet vilka delar av källkoden till produkterna som har utelämnats och varför. I utlåtandet från den 27 augusti 2024 av professorerna R.F och S.A, som ingavs samtidigt som den USB-sticka där källkoden återfinns, anges det endast att Phenixid har valt att göra ”ett centralt urval” av sin källkod tillgänglig för rätten utan att det beskrivs utifrån vilka kriterier detta urval gjorts.

Viss information avseende innehållet har lämnats sakframställningsvis i Patent- och marknadsöverdomstolen genom att Phenixid kortfattat har beskrivit de elva filmappar (källkodsbibliotek) som finns på USB-stickan. Som exempel uppgavs den första filmappen ”Bankid_client_api” innehålla:

”API-klient för tjänsten BankID, till produkten PAS.

Uppfyller BankID:s specificerade kontrakt med PhenixIDs

Sid 17

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

egna företagsspecifika implementering. Implementations- och testkod.”.

Utifrån bolagets beskrivning framstår det som att vissa filmappar innehåller grunden för respektive produkt medan andra mappar avser mer specifik funktionalitet. Det står även klart att varje filmapp i sin tur innehåller ett antal undermappar i flera nivåer. Varje källkodsfil ingår alltså i en mappstruktur. Någon närmare utredning har inte lagts fram avseende innehållet i filmapparna samt hur de förhåller sig till varandra och till programvarorna i sin helhet, åtminstone inte på ett strukturerat och övergripande sätt.

Det kan i sammanhanget nämnas att Phenixid har åberopat viss utredning gällande hur kodbasen till PAS och Pocket Pass är uppbyggd, bl.a. i form av en teknisk beskrivning. Av den framgår det att programvaran består av olika delkomponenter, som i sin tur innehåller ett antal källkodsfiler/klassfiler som ofta grupperas i s.k. JAR-filer. Beskrivningen innehåller även en grafisk struktur över hur ett urval av delkom­ponenterna i PAS är strukturerade internt och vilka närliggande relationer till andra delkomponenter som finns. Phenixid har dock inte berört hur strukturen förhåller sig till den ingivna källkoden, vilket innebär att redogörelsen inte bidrar till någon förståelse för hur det påstådda verket är uppbyggt. Det har inte heller klargjorts hur PAS förhåller sig till Signing Workflow, trots att fyra av de elva filmapparna i den ingivna källkoden i vart fall delvis verkar avse den sistnämnda produkten.

Det ovan anförda innebär sammanfattningsvis att det inte är klarlagt vilka

datorprogram (dvs. serier av instruktioner) eller vilken kombination av datorprogram som den ingivna källkoden hänför sig till. Det är inte heller klarlagt om och vilket samband som de olika delarna av källkoden har med varandra. Med andra ord saknas det grundläggande information gällande den ingivna källkodens övergripande innehåll och struktur.

Enligt Patent- och marknadsöverdomstolen får detta till följd att det inte är möjligt att

identifiera det aktuella verket och därmed inte heller bedöma om källkoden ska

betraktas som en sammanhållen enhet eller snarare utgörs av flera separata alster.

Sid 18

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

Under alla förhållanden går det enligt domstolen inte att fastställa att den ingivna källkoden ska skyddas till följd av att valet, dispositionen och kombinationen av beståndsdelar ger uttryck för kreativa val som bidrar till originaliteten hos verket i dess helhet, även om beståndsdelarna i sig inte skulle utgöra en intellektuell skapelse. Sammantaget har Phenixid inte visat att den ingivna källkoden som helhet utgör ett upphovsrättsligt skyddat verk.

Vad sedan gäller frågan om delar av den ingivna källkoden (dvs. i praktiken delar av de ingivna delarna) kan utgöra ett skyddat verk konstaterar Patent- och marknads-överdomstolen att Phenixid inte har klargjort vilka separata element – t.ex. del­komponenter – som den ingivna källkoden består av. Med hänsyn till detta bedömer domstolen att de enda alster som kan identifieras med tillräcklig precision är respektive källkodsfil i den ingivna källkoden.

Domstolen övergår därmed till att pröva om originalitetskravet är uppfyllt i förhållande till de enskilda källkodsfilerna.

Frågan om de enskilda källkodsfilerna uppfyller kravet på originalitet

En inledande anmärkning avseende Phenixids bevisning är att den i huvudsak fokuserar på utvecklingen av källkoden till bolagets produkter i sin helhet, alternativt på utvecklingen av den ingivna källkoden i sin helhet. Den tar alltså inte sikte på utformningen av de individuella källkodsfilerna. Ett exempel på detta är sakkunnig­utlåtandena av R.F och S.A från den 27 augusti 2024 respektive den 30 september 2024, som utgör centrala bevis till stöd för att originalitet föreligger. I utlåtandena gör professorerna generella uttalanden om att källkoden kan antas vara egenutvecklad och att användningen av standardiserade format inte utesluter egenutveckling. De anger även att de gjort nedslag i Phenixids källkodsfiler för att bedöma deras uppbyggnad. Det framgår emellertid inte vilka källkodsfiler, eller grupper av källkodsfiler, som nedslagen avser. I de fall där enskilda filer berörs handlar det vidare om bedömningen av om kopiering har skett, inte om originalitetfrågan.

Sid 19

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

Att den ingivna källkoden har behandlats på en övergripande nivå är naturligt då det rör sig om tusentals källkodsfiler, men medför att det är svårt att dra några säkra slutsatser med stöd av utredningen vid bedömningen av en enskild källkodsfil. Det bör understrykas att kravet på individualiserad bevisning inte hade ställts lika högt om prövningen hade gällt ett helt datorprogram i stället för de enskilda beståndsdelarna. Det sagda är en följd av att det inte krävs att varje beståndsdel i ett alster ger uttryck för originalitet för att alstret ska kunna tillerkännas skydd som ett verk.

Utöver genomgången av bolagets bevisning har Phenixid i överrätten lagt mycket kraft på att rätten ska kunna tillgodogöra sig innehållet i den ingivna källkoden. Phenixid har t.ex. gått igenom 34 filer från den ingivna källkoden och jämfört dessa filer med material som påträffades vid intrångsundersökningen. Även om genomgången har ökat förståelsen för materialet anser domstolen inte att den har medfört att rätten kan dra egna slutsatser avseende originaliteten genom att studera innehållet i källkodsfilerna. Det gäller särskilt som Fortifiedid å sin sida har bemött genomgången genom att peka på exempel på källkodsfiler som enligt bolaget brister i originalitet, t.ex. till följd av tekniska begränsningar eller autogenerering.

Vid en samlad bedömning anser Patent- och marknadsöverdomstolen därmed att Phenixid inte har visat att de enskilda källkodsfilerna i den ingivna källkoden uppfyller kravet på originalitet. Det gäller även de delar av källkoden som omfattas av bolagets andrahands- och tredjehandsyrkande. Bolagets yrkande om förbud i denna del ska därmed avslås.

Frågan om utvecklingsresultatet åtnjuter upphovsrättsligt skydd

Phenixid har även gjort gällande upphovsrätt till det s.k. utvecklingsresultatet som anges i aktbilaga 48. Frågan är om materialet åtnjuter upphovsrättsligt skydd.

Det verk som Phenixid hävdar upphovsrätt till och åberopar som grund för intrångstalan i denna del består alltså av ett antal källkodsfiler som Phenixid menar att

Sid 20

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

A.A, M.F, A.B och J.A har checkat in i Fortifiedids källkodsbibliotek (repositories) under tiden som de var anställda hos Phenixid.

De aktuella filerna har inte åberopats som bevisning i målet. Phenixid har inte heller kunnat beskriva filernas innehåll. Vad som framkommit i målet ger därmed inte underlag för slutsatsen att utvecklingsresultatet skulle uppfylla kravet på originalitet. Det åberopade verket har alltså inte upphovsrättsligt skydd.

Redan på grund av dessa skäl ska Phenixids talan avslås i denna del. Det finns mot denna bakgrund inte skäl för Patent- och marknadsöverdomstolen att i övrigt pröva Phenixids intrångstalan.

Frågan om Fortifiedid har angripit Phenixids företagshemligheter

Rättsliga utgångspunkter

Utöver de rättsliga utgångspunkter som underinstansen redogjort för (s. 36 och 37) vill Patent- och marknadsöverdomstolen tillägga följande.

Som Patent- och marknadsdomstolen har angett är källkod ett exempel på sådan

information om affärs- och driftsförhållanden som avses i 2 § första stycket 1 lagen om

företagshemligheter (se prop. 2017/18:200, s. 138).

Av 2 § första stycket 2 lagen om företagshemligheter följer att skyddet som

företagshemlighet förutsätter att informationen är hemlig som helhet eller i den form dess beståndsdelar ordnats eller satts samman. Av bestämmelsen framgår alltså att det kan förekomma att information som i sig inte är hemlig ändå blir företagshemlig när den sätts samman med annan information (se a. prop. s. 138). Ett exempel på detta är listor med kontaktuppgifter till kunder. Enligt Patent- och marknadsöverdomstolen kan, i linje med detta, även källkod som delvis består av öppen källkod, som var för sig är allmänt känd, utgöra en företagshemlighet som en helhet när koden sätts samman

Sid 21

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

och därigenom blir skyddsvärd (jfr Patent- och marknadsöverdomstolens dom den 16 juni 2023 i mål nr PMT 7747-20).

Ett ytterligare krav för att information ska utgöra en företagshemlighet är, som underinstansen konstaterat, att informationen inte bara är hemlig utan att innehavaren också har vidtagit rimliga åtgärder för att hålla den hemlig (2 § första stycket 3 lagen om företagshemligheter). Det krävs alltså någon form av aktivitet från näringsidkarens sida. Det är inte tillräckligt att anställda eller affärsparterners redan utifrån informa­tionens karaktär borde förstå att den är hemlig. När det gäller information som innehavaren uppenbart har skäl att hålla skyddad bör dock, enligt förarbetena, kravet på aktivitet från innehavarens sida sättas lågt (se a. prop. s. 139). Överfört på det nu aktuella fallet innebär det, enligt Patent- och marknadsöverdomstolen, att en näringsid­kare även när det gäller källkod måste ha vidtagit någon åtgärd för att skydda den, men att kravet på aktivitet är lågt ställt.

För att informationen ska kvalificeras som företagshemlig ska vidare ett röjande av informationen, med det uttryck som anges i lagtexten, vara ägnat att medföra skada i konkurrenshänseende. Även om den svenska lagtexten i detta avseende är uttryckt något annorlunda än definitionen av företagshemligheter i direktivet om företagshem­ligheter2 är någon saklig skillnad inte avsedd (se a. prop. s. 26 och s. 29 f. och jfr artikel 2.1 b i direktivet). I förarbetena anges således att det i kravet på ”skada i konkurrenshänseende” ligger att informationen ska ha ett kommersiellt värde på grund av att den är hemlig” (se a. prop. s. 139).

Enligt 3 § första stycket lagen om företagshemligheter består ett angrepp på en företagshemlighet i att någon utan innehavarens samtycke anskaffar, utnyttjar eller röjer företagshemligheten. Bestämmelsen omfattar både angrepp på en företags­hemlighet som inte i ett tidigare led har angripits (ursprungliga angrepp) och angrepp som följer på någon annans angrepp (efterföljande angrepp). Det krävs inte att

2 Europaparlamentets och rådets direktiv (EU) 2016/943 av den 8 juni 2016 om skydd mot att icke röjd know-how och företagsinformation (företagshemligheter) olagligen anskaffas, utnyttjas och röjs.

Sid 22

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

angriparen har handlat med uppsåt eller av oaktsamhet för att det ska röra sig om ett angrepp i lagens mening.

Phenixid har i Patent- och marknadsöverdomstolen gjort gällande att Fortifiedid har angripit bolagets företagshemligheter genom att tillägna sig och utnyttja källkoden.

I förarbetena nämns som exempel på tillägnande att en arbetstagare eller part i en affärsförbindelse kopierar dokument, som de har fått tillgång till inom ramen för sitt arbete eller uppdrag, och gör dokumenten till sina (se a. prop. s. 142 f.). Ett annat exempel på tillägnande kan vara att en arbetstagare låter bli att återlämna kopior som arbetsgivaren har uppmanat att få tillbaka (a. prop. s. 143). Med att utnyttja företagshemligheter avses att någon i egen verksamhet praktiskt tillämpar den information som utgör företagshemligheten (se a. prop. s. 144).

Patent- och marknadsöverdomstolen instämmer i Patent- och marknadsdomstolens bedömning att det är den part som gör gällande att viss information i verksamheten ska åtnjuta skydd som företagshemlighet som har att styrka att informationen är företagshemlig. Det ankommer även på den parten att styrka att informationen har angripits. (Jfr Patent- och marknadsöverdomstolens dom den 16 juni 2023 i mål nr PMT 7747-20 och jfr Reinhold Fahlbeck m.fl., Lagen om företagshemligheter – en kommentar och rättsöversikter, JUNO, version 4A, kommentaren till 3 §, avsnittet Bevisbörda och beviskrav för angrepp, som synes mena att domstolarna tillämpar en delad bevisbörda och att det i normalfallet räcker att göra ett angrepp sannolikt.)

Enligt domstolen är det alltså det beviskrav som normalt gäller i tvistemål som ska tillämpas. Vilka krav som närmare ska ställas på bevisningens styrka kan emellertid variera beroende på den i målet aktuella bevissituationen, bl.a. med hänsyn till vilka möjligheter respektive part har att säkra bevisning (jfr Högsta domstolens dom den 17 december 2025 i mål nr T 1989-24, p. 17 med vidare hänvisningar).

Med dessa utgångspunkter övergår Patent- och marknadsöverdomstolen nu till att pröva frågan om Fortifiedid har angripit Phenixids påstådda företagshemligheter.

Sid 23

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

Patent- och marknadsöverdomstolens bedömning avseende källkoden

Utgör källkoden Phenixids företagshemligheter?

I likhet med underinstansen bedömer Patent- och marknadsöverdomstolen att källkoden utgör information om Phenixids affärs- och driftsförhållanden och att informationen är hemlig i den mening som avses i 2 § första stycket 2 lagen om företagshemligheter. Även om den aktuella informationen inte redan utifrån sin karaktär kan anses hemlighållen, delar Patent- och marknadsöverdomstolen underinstansens bedömning att Phenixid har vidtagit rimliga åtgärder för att hålla källkoden hemlig (jfr underinstansens dom s. 48 och 49). Patent- och marknadsöver-domstolen instämmer även i underinstansens bedömning att ett röjande av källkoden, med det uttryck som anges i lagen om företagshemligheter, har varit ägnat att medföra skada i konkurrenshänseende för Phenixid.

Till skillnad från underinstansen bedömer dock Patent- och marknadsöverdomstolen att källkoden i sin helhet får anses utgöra en företagshemlighet eftersom koden i sin sammansansatta form har varit skyddsvärd även om den delvis har bestått av bl.a. öppen källkod som var för sig varit allmänt känd (jfr sista stycket på s. 49 och första stycket på s. 52 i den överklagade domen). Annorlunda uttryckt har det av allt att döma funnits en marknad för källkoden som helhet, inte dess olika enskildheter. Det är alltså källkoden som helhet som har haft ett kommersiellt värde.

Har Fortifiedid angripit företagshemligheterna?

Phenixid har åberopat omfattande utredning till stöd för att Fortifiedid har kopierat källkoden. Av utredningen framgår i huvudsak följande.

Vid intrångsundersökningen i april 2023 samlade Kronofogdemyndigheten in material från bl.a. Fortifiedids källkodshanteringssystem GitHub och på A.A dator. Materialet bestod bl.a. av ett antal filer med källkod som var incheckade i Fortifiedids

Sid 24

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

källkodsbibliotek och filer som hade sparats på A.A dator samt s.k. commits (incheckningar) som gjorts i Fortifiedids källkodsbibliotek fram till intrångs­undersökningen. Därtill inhämtade Kronofogdemyndigheten uppgifter om namn och

sökvägar på filerna i Fortifiedids källkodsbibliotek.

Professorerna R.F och S.A har på uppdrag av Phenixid analyserat materialet från intrångsundersökningen och jämfört det med dels hela källkoden till

Phenixids produkter (av professorerna benämnt ”PIData”), dels med den i målet ingivna källkoden som återfinns på Patent- och marknadsdomstolens aktbilaga 121 (av professorerna benämnt ”PIFiler”). De har redovisat sina iakttagelser i totalt fyra utlåtanden.

I utlåtandena från den 13 maj 2024 och den 27 augusti 2024 har professorerna, som också har hörts i målet, angett att ett antal filer som påträffades i Fortifiedids

källkodsbibliotek har varit identiska med, eller mycket lika, Phenixids källkod. Det har gällt både egenutvecklad kod och implementering av öppen källkod. R.F och S.A har även pekat på att filnamnen och filstrukturen i Fortifiedids källkod i ”mycket hög grad” överensstämmer med Phenixids källkod. I utlåtandena har de även angett att materialet från intrångsundersökningen innehåller s.k. testdata hänförlig till Phenixids källkod, Phenixids copyrightmarkeringar och kodkommandon som i något skede har gjorts inaktiv i Phenixids källkod (s.k. ”utkommenterad kod”). Sammantaget har de dragit slutsatsen att Fortifiedid medvetet har kopierat Phenixids källkod och använt den för utvecklingen av Fortifiedids produkter.

Fortifiedid har till stöd för motsatt uppfattning åberopat utlåtanden och

sakkunnigförhör med J.T, C.T och C.R. Av utlåtandena och uppgifterna vid förhören med J.T och C.T framgår att de varken har tagit del av källkoden eller material från intrångs-undersökningen. C.R har visserligen haft tillgång till både Phenixids ingivna källkod och Fortifiedids källkod men har inte analyserat materialet närmare. Redan av det skälet har deras uppgifter ett begränsat bevisvärde. Enligt domstolen går det inte heller att bortse från att de yrkesmässiga band som finns mellan Fortifiedid och

Sid 25

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

J.T, C.T och C.R kan ha färgat deras iakttagelser. Vad de anfört ger därför inte skäl att ifrågasätta R.F och S.A bedömningar.

Den sakkunniga bevisningen i målet ger därmed sammantaget starkt stöd för att Fortifiedid uppsåtligen har kopierat Phenixids källkod.

Vid huvudförhandlingen har Phenixid gått igenom ett trettiotal filer i bolagets källkod och jämfört dem med material som påträffades vid intrångsundersökningen. Totalt rör det sig om över tusen rader källkod. Även om det utgör en mycket liten del av Phenixids källkod visar genomgången onekligen på en påfallande likhet mellan bolagens källkod. Det har inte framkommit att dessa likheter skulle följa av det använda programspråket eller skulle vara uteslutande tekniskt betingat. Det stärker misstanken att Fortifiedid uppsåtligen har kopierat Phenixids källkod.

Det har därutöver framkommit ytterligare omständigheter som talar i samma riktning. Fortifiedids personal tycks på olika sätt ha velat dölja spår på sina datorer och i bolagets källkodshanteringssystem. Av utredningen framgår exempelvis att

Fortifiedids personal vid upphörandet av konsultuppdraget – i strid mot Phenixids uttryckliga instruktioner – återlämnade sina arbetsdatorer i fabriksåterställt skick, vilket innebar att information på datorerna raderades. Det framgår även att en av Fortifiedids medarbetare före intrångsundersökningen, utan någon rimlig förklaring, hade raderat tidigare versioner av den källkod som varit uppladdad i bolagets källkodshanteringssystem och gjort en sökning om hur man tar bort

revisionshistoriken i ett källkodsbibliotek (”deleting your git commit history without removing repo on Github/Bitbucket”).

Fortifiedids förklaring – att den kopierade källkoden skulle vara rester från bolagets konsultuppdrag för Phenixid – motsägs klart av bevisningen i målet. Av utredningen framgår att den kopierade koden har varit uppdaterad till versioner av Java och Vert.x som Phenixid vid tiden för konsultuppdraget inte hade infört i sin källkod. Det framgår även att de kopierade källkodsfilerna har paketerats om så att de kommunicerade med

Sid 26

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

Fortifiedids källkod i stället för att kunna samspela med Phenixids övriga källkod, vilket hade varit det naturliga om kopieringen var en följd av konsultuppdraget som gick ut på att underhålla Phenixids källkod. Utredningen visar även att det har förekommit incheckningar i det kopierade materialet både före och efter att konsult­uppdraget genomfördes under sommaren och hösten 2022, vilket alltså inte hade varit möjligt om incheckningarna hade skett inom ramen för det uppdraget. I det ljuset framstår Fortifiedids förklaring till kopieringen som en efterhandskonstruktion.

A.A har i sitt förhör förklarat incheckningarna i Fortifiedids revisions-historik med att han och andra utvecklare på Phenixid har testat nya saker för att utvecklas inom programmering, men det förklarar inte varför incheckningar i så fall har gjorts i

Fortifiedids källkodshanteringssystem och inte Phenixids. Det förklarar inte heller varför källkoden hos Fortifiedid tycks ha anpassats för att anropa olika bibliotek i Fortifiedids källkodshanteringssystem. Enligt Patent- och marknadsöverdomstolen framstår det som långsökt att tro att detta skulle vara en följd av att utvecklarna bakom Fortifiedid planlöst har förkovrat sig i programmering på det sätt som A.A gett uttryck för i sitt förhör. Till detta kommer, som nämns ovan, att incheckningar gjorts både före och efter konsultuppdraget.

Mot den bakgrunden drar Patent- och marknadsöverdomstolen slutsatsen att Fortifiedid uppsåtligen har tillägnat sig Phenixids källkod.

Domstolen delar också R.F och S.A slutsats att Fortifiedid även har använt källkoden för utvecklingen av Fortifiedids egna produkter, eftersom källkoden just påträffades i bolagets källkodsbibliotek. Fortifiedid har därmed utnyttjat Phenixids källkod i den mening som avses i lagen företagshemligheter. Utredningen ger inte heller utrymme för någon annan slutsats än att Fortifiedid har kvarhållit företagshemligheterna.

Sid 27

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

I vilken omfattning har källkoden angripits?

Av utredningen står det klart att Fortifiedid har kopierat de 34 filer som omfattas av Phenixids tredjehandsyrkande. Vid intrångsundersökningen påträffades hos Fortifiedid även digitala spår av ca 100 filer som både hade identiska namn och identiska sökvägar som filer i Phenixids källkod. Som R.F och S.A framhållit i sitt utlåtande av den 13 maj 2024 ger dessa fynd inte utrymme för någon annan slutsats än att

Fortifiedid även har kopierat de filer som omfattas av Phenixids andrahandsyrkande.

Frågan är då om angreppet har varit begränsat till dessa delar av källkoden eller omfattat hela källkoden på det sätt som Phenixids förstahandsyrkande förutsätter.

Av R.F och S.A genomgång av resultatet från intrångsunder-sökningen framgår att filstrukturen på de anträffade källkodsfilerna ”i mycket hög

grad” överensstämmer med Phenixids filstruktur. N.U har i sitt förhör betonat att uppbyggnaden av Phenixids källkod inte är en slump utan resultatet av medvetna systemval vid utvecklingen av produkterna. Utredningen ger alltså inte stöd för Fortifiedids invändning om att strukturen på källkoden skulle vara standardbetonad eller en följd av att samma grupp av utvecklare ligger bakom båda bolagens produkter. Det förhållandet att filstrukturen överlappar talar därmed starkt för att Fortifiedid på ett mer övergripande plan har kopierat Phenixids källkod.

I samma riktning talar det förhållandet att man vid intrångsundersökning har påträffat kopierade filer från flera av Phenixids elva ingivna källkodsbibliotek. Det har alltså av allt att döma inte varit fråga om ett angrepp på en enskild del av källkoden. Inget talar heller för att det skulle ha varit perifera delar av koden som kopierats. Tvärtom har flera av de kopierade filerna tagits från det som tycks vara det enskilt största källkodsbiblioteket ”development”, vilket enligt vad som framgår av utredningen innehåller grunden för PAS.

Sid 28

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

Det kan också konstateras att flera av de filer som Fortifiedid kopierat har bestått av s.k. testkod, dvs. kod som testar om den underliggande källkoden fungerar. Även det talar för att angreppet inte har varit begränsat till de filer som Phenixids reservationsvis framställda yrkanden avser, utan avsett en större del av källkoden. Utifrån vad som framkommit i målet tycks nämligen testkoden vara meningslös utan den källkod som testas. Det förhållandet att Fortifiedid har kopierat Phenixids testkod talar därmed för att bolaget även har kopierat källkoden för de olika funktioner som testkoden avser att kontrollera.

Sammantaget ger detta bilden av att angreppet inte har varit begränsat till de delar av

källkoden som Phenixids andra- och tredjehandsyrkanden avser, utan avsett en

väsentligt större del av källkoden.

Fortifiedid har bestritt att så skulle vara fallet men har inte presenterat någon bevisning till stöd för att det skulle förhålla sig på det viset. Exempelvis går det inte att bortse från det förhållandet att Fortifiedid – trots inställningen att något angrepp inte har skett – har avstått från att åberopa utvalda delar av sin egen källkod, eller åtminstone en analys av källkoden, för att freda sig från Phenixids anklagelser. Enligt domstolen finns det inget som talar för att det skulle ha funnits några egentliga bevissvårigheter för Fortifiedid i detta avseende.

Mot den bakgrunden bedömer Patent- och marknadsöverdomstolen sammantaget att utredningen i målet inte ger utrymme för någon annan slutsats än att angreppet har avsett den ingivna källkoden som helhet. Till skillnad från underinstansen bedömer alltså Patent- och marknadsöverdomstolen att det är visat att Fortifiedid har angripit Phenixids källkod i enlighet med vad som följer av bolagets förstahandsyrkande.

Patent- och marknadsöverdomstolens bedömning avseende utvecklingsresultatet

Phenixid har gjort gällande att det s.k. utvecklingsresultatet i aktbilaga 48 utgör bolagets företagshemligheter. Av aktbilaga 48 kan man utläsa när olika incheckningar

Sid 29

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

har gjorts i Fortifiedids källkodshanteringssystem, av vem och i vilket källkods-bibliotek men utdraget säger, såvitt Patent- och marknadsöverdomstolen kan bedöma, inget om filernas innehåll. Som framgått vid prövningen av Phenixids intrångstalan kan det konstateras att det inte heller i övrigt har presenterats någon bevisning som visar på utvecklingsresultatets innehåll. Vid dessa förhållanden saknas det underlag för slutsatsen att utvecklingsresultatet skulle ha ett kommersiellt värde för Phenixid. Det är därmed inte visat att utvecklingsresultatet skulle utgöra företagshemligheter i lagens mening. Bolagets yrkande om förbud i denna del ska därför avslås.

Förbudets utformning

Rättsliga utgångspunkter

Efter yrkande får domstolen vid vite förbjuda den som har angripit en företags-

hemlighet att fortsätta angripa företagshemligheten (12 § lagen om

företagshemligheter).

Ett grundläggande krav på ett vitesförbud är att den som förbudet riktar sig mot ska veta vilket handlande som omfattas av förbudet. Adressaten ska alltså få helt klart för sig vad som krävs för att följa förbudet och undgå att erlägga ett fastställt vitesbelopp. Det är domstolens uppgift att, utifrån det framställda yrkandet, i sitt beslut formulera förbudet så att det är tillräckligt tydligt och omfattningen är konkret angiven. (Se prop. 2017/18:200, s. 162 f. och jfr Högsta domstolens beslut den 31 mars 2026 i mål nr PMT 2800-24, p. 6 och 7).

Ett vitesförbud enligt lagen om företagshemligheter inbegriper alltså en skyldighet att avhålla sig från att angripa en viss företagshemlighet. Till skillnad från vad som gäller inom immaterialrättens område krävs inte att förbudet utformas så att det ansluter till det angrepp som angriparen faktiskt har utfört i det aktuella målet (se a. prop. s. 162). Den som har angripit en företagshemlighet genom att anskaffa den kan alltså förbjudas

Sid 30

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

att röja företagshemligheten. Förbudet får dock inte gå längre än vad som krävs för att tillgodose det aktuella skyddsintresset.

Det ankommer vidare på domstolen att bestämma vitesbeloppets storlek. Vitet ska fastställas till ett belopp som med hänsyn till vad som är känt om adressatens ekono­miska förhållanden och till omständigheterna i övrigt kan antas förmå adressaten att följa föreläggandet (3 § viteslagen [1985:206]). Bestämmandet av vitets storlek bör, så långt det låter sig göras, ske efter en nyanserad bedömning av omständigheterna i det enskilda fallet (se NJA 2018 s. 833, p. 18 och 19). Det hindrar inte att domstolen i viss utsträckning kan använda schablonmässiga hållpunkter för vitesbeloppets storlek.

Vitesbeloppet ska som huvudregeln fastställas till ett bestämt belopp. Om det är lämpligt får dock ett löpande vite meddelas (4 § viteslagen).

Patent- och marknadsöverdomstolens bedömning

Patent- och marknadsöverdomstolen har i det föregående kommit fram till att Fortifiedid har angripit Phenixids företagshemligheter. Utifrån vad som framkommit om angreppet framstår det som motiverat att utfärda ett förbud vid vite. Skäl för löpande vite saknas dock i det här fallet. I enlighet med domstolens bedömning i frågan om angreppets omfattning ska förbudet omfatta angrepp på källkoden på det sätt som framgår av domslutet.

Phenixid har yrkat att förbudet ska omfatta källkoden oavsett i vilken form eller på vilket datamedium som den förekommer. Enligt 2 § lagen om företagshemligheter utgörs företagshemligheter av information. Av det följer att det inte finns något krav att den företagshemliga informationen har tagit sig någon särskild form eller lagrats på något visst medium (se Reinhold Fahlbeck m.fl., Lagen om företagshemligheter – En kommentar och rättsöversikter, JUNO, version 4A, kommentaren till 2 §). Det saknas skäl att ange detta särskilt i förbudet.

Sid 31

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

Phenixid har begärt att förbudet ska omfatta angreppsformerna ”utnyttja” och ”röja”. Det aktuella angreppet har bestått i att Fortifiedid bl.a. utnyttjat företagshemligheterna. Den angreppsformen ska därmed träffas av förbudet. Utifrån vad som framkommit om det aktuella angreppet saknas det anledning att avstå från att även låta förbudet omfatta ett röjande av företagshemligheterna i enlighet med Phenixids yrkande.

Med hänsyn till vad som är känt om Fortifiedids ekonomiska förhållanden bedöms ett vitesbelopp på en miljon kr som lämpligt.

Patent- och marknadsdomstolens dom ska ändras i enlighet med detta.

Yrkandet om att utvecklingsresultatet ska återlämnas

Patent- och marknadsöverdomstolens bedömning avseende utvecklingsresultatet innebär att Phenixids yrkande om återlämnande ska avslås.

Skadestånd enligt lagen om företagshemligheter

Rättsliga utgångspunkter

Den som uppsåtligen eller av oaktsamhet angriper en företagshemlighet ska ersätta den skada som uppkommer genom förfarandet (6 § lagen om företagshemligheter). Av 9 § samma lag följer även att den som angriper en företagshemlighet som i ett tidigare led har angripits av någon annan kan bli skadeståndsskyldig. Exempelvis kan det bli aktuellt när ett företag utnyttjar en företagshemlighet med insikt om att en anställd på företaget i sin tur har kommit över företagshemligheten på sin förra arbetsplats (jfr Jacob Aspegren, lagen om företagshemligheter, Karnov [JUNO], maj 2026,

kommentaren till 9 §). Vid beräkningen av storleken på skadeståndet ska, enligt 11 § samma lag, hänsyn tas till innehavarens intresse av att företagshemligheten inte obehörigen angrips och till övriga omständigheter av annan än rent ekonomisk betydelse. Bestämmelserna genomför artikel 14 i direktivet om företagshemligheter.

Sid 32

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

I förarbetena till lagen om företagshemligheter anges att skadeståndsregleringen i första hand är tänkt att ha en reparativ funktion genom att ge ersättning för uppkom­men skada (se prop. 2017/18:200, s. 72). Utgångspunkten för skadeståndets bestäm­mande är alltså, i likhet med vad som gäller i skadeståndsrätten i övrigt, den skada som uppkommit genom angreppet (se Reinhold Fahlbeck m.fl., Lagen om företags-

hemligheter – en kommentar och rättsöversikter, JUNO, version 4A, kommentaren till 11 §). Förarbetena tar också som sin utgångspunkt att det ankommer på den

skadelidande att visa skadans storlek (se prop. 2017/18:200, s. 72 och jfr prop.

1987/88:155, s. 49).

Samtidigt framhålls det i förarbetena att skadeståndet också har en preventiv betydelse på det sättet att ”skadeståndet ska ligga på en sådan nivå att ett otillbörligt angrepp på en företagshemlighet för en konkurrent inte i något fall ter sig som ekonomiskt fördelaktigt vid en jämförelse med en laglig åtkomst” (se prop. 2017/18:200, s. 72). Det anges också att det inte är ovanligt att den verkliga storleken av en uppkommen skada inte kan fastställas och att rätten till ersättning beräknat utifrån omständigheter som inte är av rent ekonomisk betydelse har införts i syfte att undgå eller i vart fall minska sådana bevissvårigheter (se prop. 2017/18:200, s. 72 och s. 160).

Förarbetsuttalandena är inte helt tydliga. Enligt Patent- och marknadsöverdomstolen kan dock uttalandena – om att man på något sätt ska kompensera för svårigheterna att visa på ekonomisk skada – inte ses som mer än en allmän erinran om att man vid bestämmandet av skadeståndets storlek ska, utöver den visade ekonomiska skadan, även beakta omständigheter av annan än rent ekonomisk betydelse.

Ersättning för skada av annat än rent ekonomiskt slag kan dömas ut oavsett utredning eller ens påstående om ekonomisk skada (se prop. 2017/18:200, s. 74). Precis som när det gäller andra typer av skador ankommer det dock på den som begär ersättning för skada av annan än rent ekonomisk natur att konkretisera vilka omständigheter som åberopas som relevanta och, vid behov, bevisa dessa (se ”Dreamhost” NJA 2025 s. 500, p. 31).

Sid 33

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

Hur skadeståndets storlek närmare ska bestämmas vid angrepp på företagshemligheter och på vilket sätt omständigheter av annan än rent ekonomisk betydelse ska beaktas har, såvitt Patent- och marknadsöverdomstolen känner till, inte varit föremål för Högsta domstolens prövning sedan den nya lagen om företagshemligheter trädde i kraft (jfr NJA 1998 s. 633). Enligt Patent- och marknadsöverdomstolens mening finns det vid bedömningen av rätten till ersättning enligt lagen om företagshemligheter skäl att hämta ledning från ersättningsregleringen på immaterialrättens område, vars skyddsintressen delvis sammanfaller med lagen om företagshemligheter och som bygger på snarlika EU-direktiv (se Reinhold Fahlbeck m.fl., Lagen om företagshem­ligheter – en kommentar och rättsöversikter, JUNO, version 4A, avsnitt 5.5 och AD 2021 nr 1 och jfr Patent- och marknadsöverdomstolens dom den 16 juni 2023 i mål nr PMT 7747-20).

I förarbetena till lagen om företagshemligheter anges att ”den ideella ersättningen” enligt den lagen kunde antas fylla en liknande funktion som reglerna om skälig ersättning har inom immaterialrätten (se prop. 2017/18:200, s. 73). Rätten till skälig ersättning enligt immaterialrätten är avsedd att kompensera rättighetshavaren för det obehöriga utnyttjandet av en rättighet och är tänkt att motsvara den licensavgift eller liknande som borde ha utgått om licens hade upplåtits. Skälig ersättning kan vara både större eller mindre än den skada eller förlust som faktiskt har uppkommit. Ersättning ska betalas även om rättighetshavaren inte har lidit någon förlust. (Se ”Dreamfilm” NJA 2019 s. 3, p. 11 och 12.)

Mot den bakgrunden finns det enligt Patent- och marknadsöverdomstolens mening skäl att betrakta bestämmelsen i 11 § lagen om företagshemligheter både som en hjälpregel vid bestämmandet av skadeståndet och som en form av minimireglering av innehavarens rätt till ersättning vid angrepp på företagshemligheter (se prop. 2017/18:200, s. 73 och jfr AD 2021 nr 1). I likhet med ersättningsreglerna på immaterialrättens område är det inte fråga om någon form av straffliknande skadestånd. Bestämmelsen i 11 § syftar alltså till att förbättra möjligheterna för innehavaren att få full ersättning för den skada han eller hon faktiskt har lidit, men inte mer än så (jfr skäl 30 till direktivet; se även prop. 2017/18:200 s. 72).

Sid 34

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

Vid beräkningen av skadeståndets storlek ska, enligt förarbetena till lagen om företags­hemligheter, hänsyn tas till samtliga omständigheter av betydelse för bedömningen. Hänsyn kan tas till bl.a. den uteblivna vinsten för innehavaren av företagshemligheten eller den obehöriga vinst som angriparen har gjort. Beräkningen av skadeståndets storlek kan även göras med utgångspunkt i vad det hade kostat angriparen att på ett lagligt sätt förvärva rätten att utnyttja företagshemligheten, dvs. utifrån en fiktiv licensavgift baserat på innehavarens kostnader för forskning och utveckling av företagshemligheterna (jfr skäl 30 till direktivet). Enligt förarbetena kan ersättningen för innehavarens skada i vissa fall behöva bestämmas utan några mer direkta

hållpunkter för bedömningen av skadans storlek. Eftersom regleringen ger utrymme för att beakta även omständigheter av annan än rent ekonomisk betydelse kan den medge att hänsyn även tas till sådant som inte låter sig mätas i pengar på samma sätt som ekonomisk skada. Regeringen ansåg av den anledningen att det inte behövde införas en uttrycklig minimiregel för skadeståndets storlek av det slag som

förekommer inom immaterialrätten. En sådan fiktiv ersättning för utnyttjandet, som också föreskrivs i artikel 14.2 andra stycket i direktivet, kunde enligt regeringen beaktas som en omständighet vid bestämmandet av skadeståndet utan att det särskilt angavs i lagen. (Se prop. 2017/18:200, s. 72 f. och 160.)

Patent- och marknadsöverdomstolens bedömning

Patent- och marknadsöverdomstolen har i det föregående funnit att Fortifiedid uppsåtligen har tillägnat sig och utnyttjat Phenixids källkod i strid med lagen om företagshemligheter. Fortifiedid ska därför ersätta den skada som uppkommit genom angreppet på företagshemligheterna (6 § lagen om företagshemligheter).

Av rapporten från Kronofogdemyndighetens intrångsundersökning framgår att man vid undersökningen bl.a. påträffade den kopierade källkoden på A.A dator. Av utredningen framgår även att man vid intrångsundersökningen kunde återskapa kodbibliotek, innehållande Phenixids kopierade källkod, som hade sparats ner på A.A dator både före och efter bildandet av Fortifiedid i april 2022.

Sid 35

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

R.F och S.A har i sitt utlåtande från den 13 maj 2024 konstaterat att utvecklingen av Fortifiedids produkter påbörjades redan i maj 2021 och fortsatte efter det att bolaget bildades. Utredningen ger mot den bakgrunden inte underlag för någon annan slutsats än att Fortifiedid har angripit företagshemligheter som bolaget insett har angripits av i vart fall A.A i ett tidigare led. Fortifiedid är därmed skadeståndsskyldigt även enligt 9 § lagen om företagshemligheter.

Phenixid har yrkat skadestånd om 2 000 000 kr. Bolaget har angett att den begärda ersättningen är ett samlat belopp för den skada som angreppet har förorsakat bolaget.

Phenixid har i korthet angett att bolagets utvecklingskostnader för produkterna PAS och Pocket Pass ska läggas till grund för bedömningen av vilken obehörig vinst som Fortifiedid gjort genom att angripa källkoden. Phenixid har angett att utvecklings­kostnaderna även ska beaktas när man bedömer Phenixids intresse av företags­hemligheterna inte obehörigen angrips. Bolaget har i övrigt angett att man vid fastställandet av skadeståndet bl.a. ska beakta företagshemligheternas stora betydelse för Phenixid, att angreppet har skett uppsåtligen samt att angreppet varit förslaget och syftat till att starta upp en konkurrerande verksamhet.

Som framgått har Patent- och marknadsöverdomstolen bedömt att Fortifiedid tillägnat sig företagshemligheterna och utnyttjat dem vid utvecklingen av bolagets produkter. Phenixid får därmed anses ha lidit skada genom angreppet. Frågan är då vilken skada angreppet orsakat.

Phenixids utredning i denna del består i huvudsak av uppgifter om bolagets utveck­lingskostnader. D.N har i förhör berättat att Phenixid under åren 2018–2021 hade utvecklingskostnader för bolagets programvaror om drygt 23 miljoner kr och att omkring 15,9 miljoner kr av dessa kostnader avsåg utvecklingen av programmen PAS och Pocket Pass. Enligt Patent- och marknadsöverdomstolen finns det inte anledning att ifrågasätta dessa uppgifter.

Sid 36

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

Däremot framstår det för domstolen som vanskligt att fullt ut lägga dessa uppgifter till grund för en bedömning av vilken obehörig vinst eller kostnadsbesparing som Fortifiedid har gjort genom angreppet. Utvecklingskostnaderna avser nämligen produkterna PAS och Pocket Pass som helhet och inte den källkod som talan avser. Det gör det svårt att dra några säkra slutsatser om vilka investeringar som kan anses hänförliga till just den nu aktuella källkoden. Utredningen har inte heller kunnat ge något klart besked om angreppet har förkortat tiden för lanseringen av Fortifiedids produkter. Vad som framkommit ger därmed inte underlag för att kunna bedöma i vilken närmare utsträckning som angreppet har kommit Fortifiedid till godo. Att Fortifiedid har haft nytta av källkoden och gjort tids- och kostnadsbesparingar står dock klart.

Vid bedömningen av skadans storlek ska även beaktas Phenixids intresse av att företagshemligheten inte angrips. J.V har i sitt förhör beskrivit källkoden till Phenixids produkter som kärnan i bolagets verksamhet. Av hans förhör framgår vidare att källkoden till produkterna var en viktig del i den företagsvärdering som gjordes när Clavister Holding AB köpte Phenixid för ett ansenligt belopp 2016. Som framgått har Phenixid därefter investerat stora belopp i utvecklingen av källkoden till produkterna PAS och Pocket Pass. Även om det är osäkert hur stor del av detta som är hänförligt till den i målet ingivna källkoden, så ger beloppen en fingervisning om att betydande investeringar har gjorts i den källkod som Fortifiedid angripit. Källkoden besitter alltså tveklöst ett mycket stort ekonomiskt värde och Phenixid får därmed anses ha ett starkt intresse av att företagshemligheten inte angrips.

Vid en sammantagen bedömning – och med beaktande av den försiktighet som bör prägla tillämpningen av hjälpregeln i 11 § lagen om företagshemligheter – bestämmer Patent- och marknadsöverdomstolen storleken på skadeståndet till 750 000 kr. Patent-och marknadsdomstolens dom ska alltså ändras i enlighet med detta.

Sid 37

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

Yrkandet om informationsspridning

En domstol får på yrkande av innehavaren besluta att den som har angripit företags­hemligheten ska bekosta lämpliga åtgärder för att sprida information om domen i målet, om det är skäligt (25 § lagen om företagshemligheter). Bestämmelsen genomför artikel 15 i direktivet om företagshemligheter.

Vid bedömningen av om ett sådant yrkande ska bifallas ska domstolen göra en proportionalitetsbedömning av om nyttan med åtgärden uppväger den olägenhet eller det men i övrigt som åtgärden innebär för den som drabbas av åtgärden. Direktivet anger att man vid proportionalitetsbedömningen ska beakta företagshemlighetens värde, intrångsgörarens beteende vid anskaffandet, utnyttjandet eller röjandet av företagshemligheten, effekterna av det olagliga utnyttjandet eller röjandet av företags­hemligheten samt sannolikheten för ytterligare olagligt utnyttjande eller röjande från intrångsgörarens sida (artikel 15.3). Direktivet föreskriver vidare att man ska beakta integritetsintresset om angriparen är en fysisk person. I förarbetena till den svenska bestämmelsen anges vidare att man mot en åtgärd av nu aktuellt slag även får väga de kostnader som beslutet medför för angriparen av företagshemligheten (se prop. 2017/18:200, s. 176).

I det här fallet har företagshemligheterna alltså ett stort ekonomiskt värde. Som framgått har angreppet skett uppsåtligen och bestått i att Fortifiedid har kopierat källkoden och använt den i utvecklingen av sina egna produkter. Av utredningen framgår även att Fortifiedid – i förhållande till Phenixids kunder – har marknadsfört sina produkter som ett alternativ till Phenixids produkter. Mot den bakgrunden får Phenixid anses ha ett befogat intresse av att sprida information om dom i målet genom en annons i en av de dagstidningar som bolaget har begärt. Fortifiedids kostnadsansvar bör dock, i avsaknad om utredning om skäligheten i den av Phenixid angivna annonskostnaden, begränsas till 100 000 kr.

Sid 38

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

Fastställelseyrkandet

Phenixid har – utöver yrkandet om att Fortifiedid ska förbjudas att förfoga över utvecklingsresultatet och återlämna detsamma – begärt att domstolen ska fastställa att bolaget har bättre rätt till utvecklingsresultatet. Eftersom rättskraften av Phenixids förda talan om fullgörelse träffar samma rättsförhållande som fastställelsetalan avser, saknar Phenixid ett befogat intresse av att få det aktuella rättsförhållandets bestånd prövat genom en samtidig fastställelsetalan (se Roberth Nordh, Processens ram i tvistemål, JUNO, version 4, s. 35 och jfr NJA 2007 s. 108 och NJA 1977 s. 390). Phenixids fastställelsetalan ska redan av det skälet avvisas. Patent- och

marknadsdomstolens avvisningsbeslut ska därför fastställas

Rättegångskostnader

Rättegångskostnaderna i underrätt ska fördelas med hänsyn till utgången av saken i den högre rätten. Med hänsyn till utgången i målet i Patent- och marknadsöver-domstolen ska parterna ses som ömsom vinnande och tappande. Det innebär att rättegångskostnadernas fördelning ska bestämmas i enlighet med 18 kap. 4 § rätte­gångsbalken. Av den bestämmelsen följer att om det är fråga om flera yrkanden och käranden endast delvis vinner framgång, kan kostnaderna kvittas eller jämkad ersättning utgå till den part som vunnit mest framgång.

Phenixid har vunnit bifall med yrkandet om förbud med stöd av lagen om företags­hemligheter såvitt avser källkoden men förlorat talan om förbud på upphovsrättslig grund. Bolaget har vunnit bifall i frågan om skadestånd, dock att beloppet satts ner till mindre än hälften. Övriga frågor har gått ungefär jämt ut. Mot den bakgrunden anser Patent- och marknadsöverdomstolen att utgången i målet är sådan att rättegångs­kostnaderna ska kvittas. Vardera parten ska således stå sin egen rättegångskostnad i både Patent- och marknadsdomstolen och i Patent- och marknadsöverdomstolen. Underinstansens dom ska ändras i enlighet med detta.

Sid 39

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

Sekretess

Sekretessbestämmelsen i 36 kap. 2 § offentlighets- och sekretesslagen (2009:400) ska fortsätta att vara tillämplig på de uppgifter som har lagts fram inom stängda dörrar vid huvudförhandlingarna i Patent- och marknadsdomstolen och i Patent- och marknads-överdomstolen i enlighet med vad som anges i domslutet.

Överklagande

Domen innehåller enligt Patent- och marknadsöverdomstolen frågor där det är av vikt för ledning av rättstillämpningen att ett överklagande prövas av Högsta domstolen. Domen får därför överklagas (se 1 kap. 3 § tredje stycket lagen om patent- och marknadsdomstolar).

HUR MAN ÖVERKLAGAR, se bilaga B Överklagande senast 2026-07-08

I avgörandet har deltagit hovrättsråden Mattias Pleiner, Göran Söderström och Erik Mårild, referent, (skiljaktig) samt tf. hovrättsassessorn Åsa Edlund.

Sid 40

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

SKILJAKTIG MENING

Hovrättsrådet Erik Mårild är skiljaktig i frågan om källkoden åtnjuter upphovsrättsligt skydd. Skälen för det är följande.

Källkoden är identifierad

Som majoriteten angett förutsätter upphovsrättsligt skydd att det objektivt och med ”tillräcklig precision” går att identifiera det alster som talan avser. Kravet på identitet återspeglar den grundläggande tanken om att upphovsrätten är ett formskydd som omfattar uttryck och inte idéer som sådana (se Levola Hengelo, punkt 39). Enligt EU-domstolen har kravet på identitet två syften; dels måste domstolar och andra

myndigheter kunna fastställa vilka alster som ska skyddas, dels måste den som ett upphovsrättsligt förbud riktar sig mot få helt klart för sig vilket alster som skyddas för att kunna följa förbudet (jfr Levola Hengelo, punkt 41).

EU-domstolen har till stöd för kravet på identitet hänvisat till artikel 2.1 i Bernkonven­tionen för skydd av litterära och konstnärliga verk (se Levelo Hengelo, punkt 39). Där anges bl.a. att litterära och konstnärliga verk innefattar alla alster på det litterära, vetenskapliga och konstnärliga området, oavsett på vilket sätt och i vilken form de kommit till uttryck. Den bestämmelsen måste läsas tillsammans med artikel 2.2 i konventionen som anger att det är förbehållet konventionsstaterna att neka upphovs-rättsligt skydd för verk som inte är lagrade på ett fysiskt medium (”fixed in some material form”).

Mot den bakgrunden är kravet på identitet, enlig min mening, uppfyllt med tillräcklig precision så snart det alster som den upphovsrättsliga talan avser har lagrats på ett medium och därmed kommit till uttryck i någon form (jfr Englands Court of Appeal, dom den 20 juli 2023 i målet Wright mot BTC Core [2023], EWCA Civ 868, med vidare hänvisningar till engelsk och unionsrättslig praxis). I datorprogramdirektivet klargörs följaktligen att det bara är ett datorprograms uttrycksform som är skyddad, inte de idéer och principer som ligger till grund för programmet (se artikel 1.2 och

Sid 41

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

skäl 11 i direktivet). Av EU-domstolens praxis följer att källkod är en sådan uttrycksform som skyddas av datorprogramdirektivet (se BSA, punkt 35).

Det är alltså ett förhållandevis lågt krav på identifiering. I linje med detta har frågan

om bristande identitet ställts på sin spets endast i ett fåtal mycket särpräglade fall,

exempelvis när talan har gällt upphovsrätten till smaken på en ost (se Levola Hengelo).

I det här fallet är källkoden som talan avser ingiven på en USB-sticka. Phenixid har även beskrivit vad de olika källkodsbiblioteken på stickan består av. Det alster som intrångstalan avser är därmed, enligt min mening, identifierat med tillräcklig precision.

Som majoriteten framhåller utgör den ingivna källkoden inte all källkod till produkt­erna PAS, Pocket Pass och Signing Workflow. Det innebär ofrånkomligen att det kan vara svårare att få en upphovsrättsligt relevant översikt över alstret och särskilt dess struktur. Det är dock inte omständigheter av relevans för frågan om alstret kan identifieras utan något som får beaktas inom ramen för bedömningen av om datorprog­ramalstret uppfyller det upphovsrättsliga kravet på originalitet eller inte (jfr Svea hovrätts dom den 6 november 2014 i mål nr T 4655-13 och Wright mot BTC Core).

Det förhållandet att den ingivna källkoden avser tre olika produkter har, som

majoriteten även anger, betydelse för frågan om källkoden, rent rättsligt, ska betraktas som ett verk eller som flera olika verksdelar. Hur man ska se på den saken kan visserligen diskuteras, men även det saknar, enligt min mening, betydelse för

identifieringen av det påstått skyddade alstret. Hur alstret rättsligt klassificeras har i det här fallet inte heller i övrigt någon avgörande betydelse för om källkoden åtnjuter upphovsrättsligt skydd eller inte, eftersom upphovsrätten till delar av ett verk inte ska bedömas annorlunda än hela verk (se Infopaq, punkterna 38 och 39 och Nintendo m.fl., punkt 22).

Sid 42

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

Källkoden uppfyller kravet på originalitet

Frågan är då om källkoden uppfyller kravet på originalitet. Den bedömningen måste – med hänsyn till källkodens stora omfång och tekniska karaktär – ta sin utgångspunkt i de sakkunnigas bedömning av källkoden. I likhet med vad domstolen uttalat vid prövningen av Phenixids talan om angrepp på företagshemligheter bedömer jag att det finns skäl att här fästa särskilt avseende vid professorerna R.F och S.A analys.

R.F och S.A har analyserat materialet från intrångsundersök-ningen och jämfört det med källkoden till Phenixids produkter (”PIData”). Profess-orerna har också – och det är viktigt – särskilt analyserat den i målet ingivna källkoden (i utlåtandena benämnt ”PIFiler”). De har avgett totalt fyra utlåtanden.

I utlåtandet från den 27 augusti 2024 anger R.F och S.A att de har fått tillgång till Phenixids hela källkod och sedan undersökt filerna ”i urvalet PIFiler i mer detalj för att utröna dess storlek och tillväxt över tid”. Av utlåtandet framgår i huvudsak följande avseende den i målet ingivna källkoden.

Källkoden innehåller flera olika källkodsbibliotek. Enbart biblioteket ”development” består av nästan sextusen unika filer. Källkoden är skriven i olika former program­meringsspråk. Totalt består källkoden av flera tusen källkodsfiler som kan antas vara egenutvecklade av Phenixid (motsvarande flera hundratusen rader kod). Källkoden innehåller även viss öppen källkod som har markerats med erforderliga licens­markeringar. Källkoden har utvecklats löpande under drygt åtta års tid.

Mot den bakgrunden drar R.F och S.A slutsatsen att de olika källkodsfilerna i PIFiler är ”egenutvecklade av PhenixID samt har en komplexitet, originalitet och uppbyggnad i linje med liknande källkod för andra, kommersiella system utvecklade i liknande programspråk”. R.F och S.A anger även att i de fall de har identifierat öppen källkod på internet med liknande syfte så är

”strukturen på PhenixIDs kod annorlunda, både i detaljer och övergripande”. Deras

Sid 43

SVEA HOVRÄTT DOM PMT 737-25 Patent- och marknadsöverdomstolen

sammanfattande slutsats är att ”koden har en sådan originalitet att det framstår som helt osannolikt att någon annan, oberoende av aktuell källkod, skulle ha skapat en identisk källkod”.

R.F och S.A utredning ger starkt stöd för slutsatsen att den ingivna källkoden uppfyller kravet på originalitet. Den slutsatsen får även stöd av N.U förhör där han bl.a. har betonat att uppbyggnaden av Phenixids källkod är resultatet av medvetna systemval. Det som Fortifiedids sakkunniga anfört mot detta ger inte skäl till någon annan bedömning.

Utredningen i målet motsäger Fortifiedids påstående om att källkoden till stor del skulle bestå av öppen källkod. R.F har i sitt förhör angett att det finns en

”väldigt liten förekomst” av öppen källkod i den ingivna källkoden och att den i princip består av egenutvecklad kod. Den slutsatsen får stöd av den källkodsanalys som företaget Black Duck har genomfört på uppdrag av Phenixid.

Som angetts ovan (s. 15) utesluter inte heller förekomsten av öppen källkod att ett datorprogram kan uppfylla kravet på originalitet i den meningen att det är upphovs­mannens egna intellektuella skapelse genom de val som gjorts vid urvalet och implem­enteringen. Av förhöret med N.U framgår att Phenixid har gjort olika val vid implementeringen av öppen källkod och standarder, exempelvis när det gäller imple­menteringen av det API som används vid anslutning till BankID. Det ger stöd för att Phenxid har gjort olika skapande val vid implementeringen av öppen källkod, något som även professorerna har gett uttryck för i sina utlåtanden.

Mot den bakgrunden råder det enligt min mening inte någon tvekan om att den i målet ingivna källkoden är ett uttryck för en rad olika fria och kreativa val. Exempelvis när det gäller källkodens struktur, hur olika delar av källkoden ska samverka med

varandra, utformningen av egen källkod och implementeringen av öppen källkod. Den bedömningen påverkas inte av det förhållandet att den ingivna källkoden inte utgör all källkod till Phenixids aktuella produkter. Källkoden uppfyller därmed, enligt min mening, kravet på originalitet.

Sid 44

SVEA HOVRÄTT DOM PMT 737-25

Patent- och marknadsöverdomstolen

Sammanfattningsvis bedömer jag att källkoden utgör ett upphovsrättsligt skyddat verk. Med anledning av majoritetens mening saknas det skäl för mig att gå vidare i

prövningen av Phenixids intrångstalan. Överröstad i denna fråga är jag i övrigt ense med majoriteten.

Bilaga A

Sid 2

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

, N.U, S.F, R.F, S.A, M.A, P.B, P.L, A.A, J.T, C.T samt C.R.

Sid 3

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

BAKGRUND

Phenixid AB (Phenixid) grundades år 2014 av P.L, A.A och P.H. Bolaget förvärvades år 2016 av Clavister Holding AB och drevs efter förvärvet som ett fristående dotterbolag i Clavister-koncernen (Clavister). Phenixid:s verksamhet består i att utveckla och erbjuda innovativa produkter och lösningar inom autentisering och identifiering inom den digitala sektorn.

Phenixid erbjuder sedan 2014 produkten Phenixid Authentication Services (inkl. Phenixid One-Time Password, Phenixid Certificate Authentication och Phenixid Federation Services), härefter benämnt PAS. Vidare erbjuder Phenixid sedan år 2015 applikationen Phenixid mobile Authentication App (inkl. Phenixid One Touch och Phenixid Pocket Pass), härefter benämnd Pocket Pass. Signing Workflow är en annan av Phenixid:s produkter.

Fortifiedid AB (Fortifiedid) grundades under våren 2022 av A.A, tidigare anställd vid Phenixid. Fortifiedid utvecklar moderna produkter för stark autentisering och identitetshantering och bolaget är en konkurrent till Phenixid. Styrelsen i Fortifiedid består av A.A, T.A, A.B, P.H och P.L. Vidare är C.P, A.A, A.B, T.A och P.L

aktieägare i bolaget. Samtliga dessa personer har tidigare varit anställda av Phenixid.

I november 2022 lanserade Fortifiedid autentiserings- och plattformsprodukten Integrity samt applikationen Fortified ID App. Efter lanseringen av Fortifiedid:s produkter lämnade Phenixid den 29 mars 2023 in en ansökan till Patent- och marknadsdomstolen med en begäran om att en intrångsundersökning enligt 56 a § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk

(upphovsrättslagen) skulle få utföras hos Fortifiedid. I sin ansökan gjorde Phenixid bl.a. gällande att Fortifiedid:s produkter gör intrång i bolagets upphovsrätt till PAS och Pocket Pass.

Sid 4

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

Begäran om intrångsundersökning bifölls av Patent- och marknadsdomstolen i beslut den 18 april 2023. Intrångsundersökningen genomfördes därefter av

Kronofogdemyndigheten och slutfördes den 5 maj 2023. Den 5 juni 2023 ansökte Phenixid om stämning mot Fortifiedid.

YRKANDEN OCH INSTÄLLNING

Phenixid har yrkat att Patent- och marknadsdomstolen

Sid 5

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

fastställer att Phenixid har bättre rätt än Fortifiedid till det Utvecklingsresultat som

uppstått vid det arbete som A.A, M.F, A.B och J.A har utfört under sina respektive

anställningar hos Phenixid.

Fortifiedid har bestritt käromålet i dess helhet. Fortifiedid har vitsordat sättet att

beräkna ränta enligt yrkandet i punkten 4. Fortifiedid har för egen del yrkat att

Phenixid:s fastställelseyrkande under punkten 6 ska avvisas.

Phenixid har bestritt avvisningsyrkandet.

Parterna har yrkat ersättning för rättegångskostnader.

GRUNDER M.M.

Phenixid

Upphovsrättsintrång

Phenixid:s produkter, inklusive PAS, Pocket Pass och Signing Workflow, inklusive Källkoden (aktbil. 121), uppvisar självständighet och individuell särprägel. Produkterna är resultatet av en omfattande programutveckling och design och de består av flera hundratusen rader programmerad kodning. Produkternas källkod samt designmaterial är särpräglade och det skulle inte vara möjligt för någon annan att, oberoende av Phenixid:s källkod och designmaterial, framställa källkod och designmaterial som stämmer överens med eller är mycket lika Phenixid :s källkod och designmaterial till aktuella programvaror. PAS, Pocket Pass och Signing Workflow,

Sid 6

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

samt källkod, och designmaterial till dessa programvaror är upphovsrättsligt skyddade, både som litterära verk, och som datorprogram.

Med designmaterial avses den tekniska designen i PAS, Pocket Pass och Signing Workflow, inklusive Källkoden. Värdet av en programvaras källkod utgörs även av hur källkoden är organiserad, dvs. hur den är utformad i termer av delar (enskilda källkodsfiler) samt hur dessa källkodsfiler förhåller sig till varandra, t.ex. att källkodsfil A beror av/nyttjar en förmåga som återfinns i källkodsfilerna B och C. Hur helheten är uppdelad i delar (enskilda källkodsfiler) samt hur dessa förhåller sig till varandra (nyttjar/beror av) utgör en teknisk design. Den tekniska designen är bl.a. viktig för frågan om hur ett programvaruföretag kan underhålla och vidareutveckla helheten/produkten över tid. Fortifiedid har använt den tekniska designen i PAS, Pocket Pass och Signing Workflow, inklusive Källkoden, vid utvecklingen av/användningen i Integrity och Fortified ID App.

Programvara är det slutliga, användbara resultatet av en kombination av källkod, designmaterial och andra komponenter som är nödvändiga för att köra programmet på en dator, och är därmed ett större begrepp som innefattar såväl källkod som annat designmaterial.

Programvarorna för Phenixid:s produkter, inklusive PAS, Pocket Pass och Signing Workflow, inklusive källkod och designmaterial för dessa produkter, är individuellt utvecklade av Phenixid:s medarbetare för Phenixid:s produkter, inklusive Källkoden. Arbetet har skett inom ramen för deras anställningar och/eller uppdrag samt efter instruktioner från Phenixid och produkterna är ett resultat av arbete som har bedrivits i bolaget. I enlighet med respektive medarbetares anställningsavtal har rätten till de aktuella upphovsrättsligt skyddade prestationerna överlåtits till Phenixid. Villkoren i anställningsavtalen är inte oskäliga och avtalen har haft rättsverkan gentemot de anställda. Utöver överlåtelse i enlighet med anställningsavtalen har upphovsrätten till de aktuella upphovsrättsligt skyddade programmen såsom datorprogram även övergått till Phenixid i egenskap av arbetsgivare enligt 40 a § upphovsrättslagen. En sådan

Sid 7

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

övergång har också skett enligt allmänna principer om upphovsrättens övergång i anställnings- och uppdragsförhållanden. Phenixid innehar således ensamrätt att framställa exemplar av och göra de upphovsrättsligt skyddade verken tillgängliga för allmänheten.

Fortifiedid begår upphovsrättsintrång i Phenixid:s rättigheter genom att olovligen framställa exemplar av hela eller delar av programvarorna PAS, Pocket Pass och Signing Workflow, inkl. Källkoden, och/eller Utvecklingsresultatet genom att tillföra och därefter använda sådant material i Fortifiedid: s produkter Integrity och Fortified ID App. Detta sker genom kopiering från Phenixid:s källkod till Fortifiedid:s källkod samt kopiering av designmaterial på motsvarande sätt/användning i Fortifiedid:s produkter Integrity och Fortified ID App, även innefattande obehörig kopiering till/användning i Fortifiedid:s egen IT-miljö från Phenixid:s IT-miljö. Förfarandet utgör en olovlig exemplarframställning.

Exemplarframställningen sker utan Phenixid:s samtycke och utgör olovliga

upphovsrättsliga förfoganden. Eftersom Fortifiedid har gjort intrång i Phenixid:s upphovsrätt föreligger förutsättningar att meddela vitesförbud i enlighet med framställt yrkande. Det föreligger även rätt till skäligt vederlag för det obehöriga utnyttjandet.

Obehörigt angrepp på företagshemligheter

All källkod till PAS, Pocket Pass och Signing Workflow, inklusive Källkoden, samt designmaterial i dessa program är information som Phenixid håller hemlig i sin

verksamhet och som omfattas av sekretess och utgör en företagshemlighet som innehas av Phenixid.

Källkoden och designmaterialet är individuellt utvecklad kod och teknisk design som används i Phenixid: s programvaror PAS, Pocket Pass och Signing Workflow. Källkoden innefattar hundratusentals rader kod och är företagsspecifikt utvecklad för Phenixid:s programvaror och näringsverksamhet. Innehållet i ett källkodsbibliotek,

Sid 8

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

även om enskilda delar skulle vara offentliga var för sig, utgör samlat en företagshemlighet.

Enligt en analys av företaget Black Duck innehåller Källkoden endast en minimal mängd filer med delvis öppen källkod. Källkoden och designmaterialet hålls hemlig och är således inte allmänt känd eller lättillgänglig för den som normalt har tillgång till information av det aktuella slaget. Phenixid har vidtagit rimliga åtgärder för att hemlighålla källkoden och designmaterialet, bl.a. genom individuell inloggning, särskild arbetsutrustning, olika behörighetsnivåer, sekretessavtal samt krav på återlämnande. Ett röjande av källkoden och/eller designmaterialet till tredje man, eller om dessa annars skulle bli offentliggjorda, skulle leda till skada ur

konkurrenshänseende, eftersom en konkurrent skulle kunna ta fram en konkurrerande produkt under väsentligen kortare tid jämfört med om konkurrenten inte har tillgång till Phenixid:s källkod och designmaterial. Phenixid är innehavare till alla rättigheter kopplade till källkoden och designmaterialet.

Förfarandet att utan samtycke införliva/använda Phenixid:s källkod och designmaterial i PAS, Pocket Pass och Signing Workflow samt Utvecklingsresultatet till/i

Fortifiedid:s produkter Integrity och Fortified ID App samt obehörig kopiering till/användning i Fortifiedid:s egen IT-miljö från Phenixid:s IT-miljö, utgör ett

obehörigt anskaffande och därefter ett utnyttjande av Phenixid: s företagshemligheter i Fortifiedid:s verksamhet. Fortifiedid:s kvarhållande av Phenixid:s företagshemligheter i form av Källkoden och andra företagshemligheter kopplade till källkod och

designmaterial i PAS, Pocket Pass och Signing Workflow utgör i sig ett obehörigt anskaffande. Anskaffandet och utnyttjandet har skett utan samtycke och utgör således ett obehörigt angrepp i strid mot 3 § lagen (2018:558) om företagshemligheter (LFH).

Det föreligger grund för att vid vite förbjuda Fortifiedid att fortsätta angripa Phenixid: s företagshemligheter. Det föreligger även grund för yrkandet om återlämnande av företagshemligheter respektive skadestånd enligt bestämmelserna i LFH.

Sid 9

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

Vitesbeloppet

Vid bestämmandet av vitets storlek bör särskild hänsyn tas till att

upphovsrättsintrånget och det obehöriga angreppet på Phenixid:s företagshemligheter avser värdefull information. Eftersom syftet med vitet är att avhålla Fortifiedid från ytterligare upphovsrättsintrång och angrepp på Phenixid:s företagshemligheter utgör 1 000 000 kr ett skäligt löpande vite för respektive förbud.

Återlämnande och omhändertagande av företagshemligheter

Utvecklingsresultatet utgör företagshemligheter som innehas av Phenixid.

Utvecklingsresultat och know-how inklusive källkod övergår genom

anställningsförhållandena. Fortifiedid har obehörigen angripit Utvecklingsresultatet genom att utan samtycke införliva/använda Utvecklingsresultatet till/i Fortifiedid:s produkter Integrity och Fortified ID App. Det är skäligt att Fortifiedid föreläggs att återlämna Utvecklingsresultatet enligt 17 § LFH. Ett sådant föreläggande får förenas med vite.

Skadestånd

Fortifiedid:s upphovsrättsintrång och det obehöriga angreppet på Phenixid:s

företagshemligheter har orsakat Phenixid skada. Fortifiedid:s agerande är sådant att det

föreligger skadeståndsskyldighet såväl enligt LFH som enligt upphovsrättslagen.

Phenixid grundar sin skadeståndstalan såvitt avser angrepp på företagshemligheter på 6 och/eller 9 § LFH. Fortifiedid angriper uppsåtligen, eller i vart fall av oaktsamhet, företagshemligheter tillhörande Phenixid i form av bolagets källkod (inklusive

Källkoden), designmaterial och Utvecklingsresultatet, som i ett tidigare led har

angripits (tillägnande och röjande) av de f.d. arbetstagarna eller annan, genom att obehörigen anskaffa och därefter utnyttja dessa i Fortifiedid:s egna produkter Integrity och Fortified ID App innefattande även obehörig kopiering till/användning i

Sid 10

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

Fortifiedid:s egen IT-miljö från Phenixid:s IT-miljö (9 §). Därtill har Fortifiedid obehörigen anskaffat och utnyttjat sådan företagshemlig information som bolaget har fått i förtroende inom ramen för det konsultuppdrag som utfördes under år 2022 innefattande även obehörig kopiering till/användning i Fortifiedid:s egen IT-miljö från Phenixid:s IT-miljö (6 §). Anskaffandet och utnyttjandet har skett utan samtycke och utgör således ett obehörigt angrepp i strid mot 3 § LFH. Agerandet har lett till skada för Phenixid.

Fortifiedid har att ansvara såväl för dess ställföreträdares och arbetstagares handlande som deras insikter. Införlivandet och användningen har genomförts även av arbetstagare/ställföreträdare med insikt eller i vart fall av oaktsamhet om att materialet utgjorde företagshemligheter som Phenixid var innehavare till och att samtycke ej förelåg att kvarhålla och utnyttja sådana företagshemligheter i Fortifiedid:s

verksamhet. För det fall röjandet från de anställda skulle anses ha skett efter att anställningsförhållandet upphört, föreligger det synnerliga skäl genom att man på ett stötande sätt har missbrukat sitt förtroende på anledningar som var för sig utgör synnerliga skäl, nämligen att man överfört dokumenterade företagshemligheter under pågående anställning i syfte att starta upp konkurrerande verksamhet, att arbetstagarna haft en särskild förtroendeställning hos Phenixid, samt att ett angrepp allvarligt skulle skada den tidigare arbetsgivaren Phenixid.

Fortifiedid har därefter obehörigen utnyttjat de företagshemligheter som man fått obehörig åtkomst till i sin verksamhet. Kvarhållandet av Phenixid:s

företagshemligheter i form av Källkoden och andra företagshemligheter kopplade till källkod och designmaterial i PAS, Pocket Pass och Signing Workflow samt Utvecklingsresultatet efter avslutade anställningar/uppdrag utgör ett obehörigt anskaffande. Detta innefattande att inte ha återlämnat sådan information efter uppmaning från Phenixid till Fortifiedid respektive tidigare arbetstagare efter det att uppdraget/anställningarna upphört. Såväl Fortifiedid som de f.d. arbetstagarna har insett eller bort inse att man inte haft rätt att kvarhålla eller i övrigt angripa sådan

Sid 11

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

information. Detsamma gäller åtgärden att införliva sådan information och använda den i Fortifiedid:s eget källkodsbibliotek och arbetsutrustning.

Såvitt avser upphovsrättsintrånget har Phenixid rätt till skälig ersättning för

utnyttjandet samt ersättning för ytterligare skada. Utredning om skadans storlek pågår

och skadans omfattning är för närvarande inte känd.

Phenixid begär skadestånd enligt 6 och 9 §§ LFH (jfr 11 § LFH) samt 54 § upphovsrättslagen. Vid skadeståndets bestämmande ska beaktas att målet för angreppet rör det mest affärskritiska i Phenixid:s verksamhet. Angreppet har varit förslaget och uppsåtligt, eller i vart fall oaktsamt, och skett i syfte att bedriva en direkt

konkurrerande verksamhet och därigenom dra en betydande egen ekonomisk fördel. Den angripna informationen i form av källkod och designmaterial utgör grunden i Phenixid:s verksamhet och den har tagit många års arbete att bygga upp. Det allmänna skadeståndet ska sättas högt med hänsyn till Phenixid:s allmänna intresse att behålla företagshemligheten liksom Fortifiedid:s bevekelsegrunder för angreppet, dvs. att starta upp en konkurrerande verksamhet med hjälp av Phenixid:s företagshemligheter.

Publicering av domslut

Till följd av upphovsrättsintrånget och det obehöriga angreppet på företagshemligheter föreligger det förutsättningar att förplikta Fortifiedid att bekosta lämpliga åtgärder för att sprida information om domen i målet. Annonsering av information om domen i enlighet med vad som har begärts utgör en sådan lämplig åtgärd.

Bättre rätt till Utvecklingsresultatet

A.A, M.F, A.B och J.A har enligt sina anställningsavtal överlåtit samtliga rättigheter till allt programmeringsarbete som de har utfört under sina respektive anställningar i Phenixid. Utöver överlåtelse i enlighet med anställningsavtalen har upphovsrätten till de aktuella upphovsrättsligt skyddade

Sid 12

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

programmen såsom datorprogram övergått till Phenixid i egenskap av arbetsgivare enligt 40 a § upphovsrättslagen. En sådan övergång har också skett enligt allmänna principer om upphovsrättens övergång i anställningsförhållanden. Phenixid innehar således ensamrätten att framställa exemplar av och göra de upphovsrättsligt skyddade verken tillgängliga för allmänheten. Utvecklingsresultatet, dvs. den programvara inklusive källkod och designmaterial som har tillskapats av A.A, M.F, A.B och J.A under anställningstid hos Phenixid och som återfinns i någon av Fortifiedid:s produkter Integrity eller Fortifiedid App, har övergått till Phenixid i den takt som det har tagits fram och tillhör Phenixid med full äganderätt. Vid Fortifiedid:s registrering var en stor del av Utvecklingsresultatet redan skapat. Arbetstagarna har inte med giltig verkan kunnat överlåta någon rätt till Utvecklingsresultatet till Fortifiedid. Phenixid har därför bättre rätt till Utvecklingsresultatet än Fortifiedid.

Phenixid:s fastställelsetalan avser förekomsten av ett rättsförhållande avseende rätt till Utvecklingsresultatet. Det råder ovisshet om huruvida Utvecklingsresultatet tillhör Phenixid. Denna ovisshet leder till förfång för Phenixid eftersom Fortifiedid är en konkurrent till Phenixid och utnyttjar Utvecklingsresultatet i en produkt som

konkurrerar med produkter som Phenixid erbjuder. Ovissheten försvårar planeringen av Phenixid:s ekonomiska verksamhet och orsakar i allmänhet en besvärande

otrygghet för bolaget. Det är vidare processekonomiskt lämpligt att pröva Phenixid:s fastställelseyrkande tillsammans med övriga yrkanden eftersom yrkandena i stor utsträckning avser samma omständigheter.

Fortifiedid AB

Upphovsrättsintrång

Programkoden och designelementen i PAS och Pocket Pass är inte särpräglade. Det är vidare inte otänkbart att någon skulle kunna framställa programkoder som stämmer

Sid 13

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

överens med eller är mycket lika dessa programkoder, utan att ha varit beroende av Phenixid:s kod.

Fortifiedid vitsordar att koden och designelementen i PAS och Pocket Pass tillhör Phenixid. I detta sammanhang vitsordar Fortifiedid vidare att PAS och Pocket Pass har tagits fram av anställda hos Phenixid inom ramen för deras anställningar och att rättigheterna till koden och designelementen har övergått till Phenixid genom dessa personers anställningar. Det bestrids dock att koden och designelementen omfattas av upphovsrätt. Skyddet gäller endast förberedande designmaterial. Sådant material ska dessutom uppfylla kraven på originalitet och verkshöjd. Det bestrids att Phenixid har upphovsrätt till hela Källkoden. Phenixid saknar upphovsrätt till bl.a. Freja API och Oath. Det bestrids även att Phenixid har upphovsrätt till Common Event Format (CEF) och till Open SSL.

Fortifiedid är inte part i anställningsavtal mellan arbetstagare och Phenixid och Fortifiedid saknar kännedom om eventuella överlåtelser mellan sådana arbetstagare och Phenixid. Under alla förhållanden kan bestämmelserna om sekretess och övergång av immateriella rättigheter i eventuella anställningsavtal inte göras gällande mellan Phenixid och några av Fortifiedid:s anställda. Det har inte i samtliga fall funnits skriftliga anställningsavtal. Villkoret i de påstådda anställningsavtalen, vilket innebär att arbetstagaren har åtagit sig att överlåta alla immateriella rättigheter som uppkommit genom den anställdes försorg eller medverkan under anställningstiden och för en tid av sex månader efter anställningens upphörande utan särskild ersättning, är konkurrenshämmande. Den omständigheten att villkoret gäller efter att arbetstagarens anställning har upphört innebär en inskränkning i arbetstagarens möjlighet att

konkurrera. Det har inte utgått någon ersättning till arbetstagarna för denna

inskränkning och den del av bestämmelsen som avser tiden efter anställningens upphörande sträcker sig längre än vad som är skäligt vid en tillämpning av 38 § lagen (1915:218) om avtal och andra rättshandlingar på förmögenhetsrättens område

(avtalslagen).

Sid 14

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

Fortifiedid har inte heller gjort intrång i Phenixid:s upphovsrätt. Eventuella likheter mellan Fortifiedid:s och Phenixid:s produkter kan främst förklaras av att produkterna har tagits fram av samma utvecklare. Vid utvecklandet av Fortifiedid:s produkter har utvecklarna enbart använt sig av sin yrkeskunskap. De har inte kopierat eller utnyttjat någon källkod från Phenixid:s produkter. Fortifiedid innehar inte, eller har någonsin innehaft, designmaterial av det slag som görs gällande.

Det bestrids att Fortifiedid har gjort intrång i produkten Signing Workflow. Det är en ny, utökad grund, till stöd för vilken Phenixid inte har åberopat några omständigheter.

Obehörigt angrepp på företagshemligheter

Fortifiedid bestrider att källkoden till PAS och Pocket Pass utgör Phenixid:s företagshemligheter. Fortifiedid bestrider vidare att Freja, Oath eller CEF är företagshemliga. Phenixid har inte behandlat den aktuella informationen på sådant sätt att den kan anses utgöra företagshemligheter i lagens mening. Varken anställda i Phenixid, eller anställda hos Fortifiedid när dessa utförde konsulttjänster åt Phenixid, har haft olika behörigheter för tillgång till Phenixid:s källkod. En utsedd anställd har varit administratör till Phenixid:s repo, men samtliga utvecklare som har arbetat med Phenixid:s produkter har haft samma behörighet, dvs. tillgång till hela källkoden. Källkoden har vidare utlämnats till Fortifiedid i bolagets egenskap av konsult åt Phenixid utan sekretessförbehåll. Det bestrids att P.L och A.A är skyldiga att iaktta sekretess i samtliga förhållanden som rör Phenixid till följd av den sekretessklausul som togs in i aktieöverlåtelseavtalet i samband med Clavisters förvärv av Phenixid år 2016. Den aktuella sekretessklausulen är inte tillämpbar på information som har tillskansats i tiden efter Clavisters tillträde. Källkoden är även röjd genom

överlämnandet till Fortifiedid i nu aktuellt mål utan sekretessförbehåll. Yrkandet under punkten 2 saknar därför laga grund. Fortifiedid har erhållit Källkoden (aktbil. 121) som processmaterial och har därmed rätt att inneha Källkoden utan begräsning i tid.

Sid 15

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

Fortifiedid har inte angripit några företagshemligheter hos Phenixid. Vidare har varken A.A, M.F, A.B eller J.A obehörigen röjt några företagshemligheter som tillhör Phenixid. Under alla omständigheter har införlivning/användning av Phenixid:s källkod i Fortifiedid:s källkod varit omöjlig då källkoderna har varit skrivna på inkompatibla programmeringsspråk.

Förbudets utformning m.m.

Det saknas grund att förena eventuella förbud med vite. Som Phenixid:s yrkanden är utformade är det inte tydligt för Fortifiedid vad bolaget får, respektive inte får, göra. Vid sådana förhållanden saknas det förutsättningar att förena ett eventuellt förbud med ett löpande vite. Vidare är det yrkade vitet under alla förhållanden oskäligt.

Yrkandet om återlämnande och omhändertagande av företagshemligheter

Fortifiedid innehar varken någon källkod till produkterna PAS och Pocket Pass, eller något utvecklingsresultat som har uppstått vid arbete som A.A, M.F, A.B och J.A utfört inom ramen för sina respektive anställningar hos Phenixid. Fortifiedid saknar därför möjlighet att återlämna sådan källkod och/eller utvecklingsresultat till Phenixid. Under alla förhållanden saknas förutsättningar att bifalla detta yrkande sedan Phenixid ingav källkoden till domstolen och till Fortifiedid. Detta då Fortifiedid nu har rätt att inneha källkoden i dess egenskap av processmaterial.

Skadestånd

Det saknas underlag och bevisning för det eventuella skadeståndets storlek. Under alla förhållanden är Phenixid:s källkod skriven på en obsolet version av Java, varför värdet redan av denna anledning kan ifrågasättas.

Sid 16

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

Yrkandet om bättre rätt till Utvecklingsresultatet

Fortifiedid är inte part i anställningsavtal som A.A, M.F, A.B och J.A har ingått med Phenixid och sådana avtal saknar rättsverkan avseende den rätt till sina anställdas arbetsprestationer som Fortifiedid har. Det har inte skett någon utveckling av Fortifiedid:s produkter av personer som under utvecklingstiden var anställda av Phenixid. Fortifiedid saknar kännedom om eventuella överlåtelser mellan A.A, M.F, A.B och J.A och Phenixid. Fortifiedid har inte heller förvärvat något

programmeringsarbete som dessa personer har utfört inom ramen för sin respektive anställning hos Phenixid. Bolaget gör inte heller gällande någon rätt till sådant programmeringsarbete. Vidare gör Fortifiedid inte gällande någon rätt till Utvecklingsresultatet. Detta innebär att det inte föreligger någon ovisshet mellan parterna avseende rätten till Utvecklingsresultatet. Det föreligger inte heller någon annan ovisshet som länder Phenixid till förfång. Det saknas fastställelseintresse och fastställelsetalan ska avvisas. Det är slutligen oklart vad Utvecklingsresultatet är för något. Yrkandet saknar därmed under alla förhållanden sådan precision att det är möjligt att bifalla.

UTVECKLING AV TALAN

Nedan utgör ett sammandrag av de centrala delarna av parternas sakframställningar som hölls vid huvudförhandlingen. En stor del av det som då lades fram omfattas av sekretess enligt 36 kap. 2 § offentlighets- och sekretesslagen och återges inte här.

Phenixid

Produkterna PAS och Pocket Pass är upphovsrättsligt skyddade

PAS är en produkt vars nyttjande innebär att användaren får en enskild

autentiseringspunkt till en applikationsportal för en säker och enkel åtkomst till samtliga applikationer som kräver ett identifieringsbehov. I målet har källkoden getts

Sid 17

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

in genom aktbil. 121. Det har vidare getts in en handling som visar programmets struktur (aktbil. 10).

Vid sidan av PAS erbjuder Phenixid den mobila applikationen Pocket Pass. Pocket Pass är en multifaktorautentiserings- och identifikationslösning som med en s.k. OATH-algoritm genererar engångslösenord som används i samband med att

användaren behöver identifiera sig digitalt. Från samma källkodsbas som Pocket Pass, utgår multifaktorautentiserings-applikationen One Touch. Den angivna definitionen av Pocket Pass omfattar därför även One Touch. Något förenklat kan en jämförelse göras med mobilt BankID.

Pocket Pass samverkar konstant med PAS för att vara funktionell. I förhållande till Pocket Pass utgör PAS en nödvändig bakomliggande plattform som möjliggör

applikationens funktionalitet. PAS och Pocket Pass ska därför uppfattas som en helhet i vilken PAS är det centrala och bakomliggande systemet.

Programutvecklingen av PAS inleddes i samband med att Phenixid grundades.

Produkten har tagits fram av ett tiotal utvecklare under en tid som motsvarar cirka 500 manmånader och den omfattar för närvarande fler än 950 000 rader med skriven källkod. Phenixid har lagt betydande ekonomiska resurser på utvecklingen av PAS och Pocket Pass och produkterna omfattas av upphovsrätt.

PAS är en av Phenixid:s viktigaste och mest lönsamma produkter. Bland slutkunderna finns bl.a. större myndigheter, kommuner och regioner samt andra större

organisationer med behov av att förenkla och effektivisera sin autentiseringshantering.

Phenixid innehar upphovsrätten

PAS och Pocket Pass är individuellt utvecklade av medarbetare hos Phenixid. De

personer som huvudsakligen har arbetat med programkodningen och utvecklingen av

produkterna är A.A, M.F, J.E, M.R,

Sid 18

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

A.B och J.A. Därutöver har även bl.a. C.P varit delaktig.

De anställda i Phenixid har ingått skriftliga anställningsavtal med bolaget. Genom dessa avtal har de anställda åtagit sig att utan ersättning överlåta alla immateriella rättigheter som ligger inom Phenixid:s verksamhetsområden och som har uppkommit genom den anställdes försorg eller medverkan under anställningstiden och för en tid av sex månader efter anställningens upphörande. När det gäller A.A, P.H och P.L har anställningsavtalen försvunnit från Phenixid. Det är oklart när detta skedde och Phenixid misstänker att berörda personer har raderat sina avtal. Dessa personer har dock omfattats av likalydande anställningsavtal vilket stöds av de överenskommelser som P.L tecknade med de anställda i februari 2022, inklusive A.A och P.H, som ett led i det samlade avhoppet från Phenixid. Överenskommelserna innehåller bl.a.

likalydande sekretessåtaganden med de som finns i anställningsavtalen. Därtill har anställningsavtal med likalydande villkor ingåtts genom konkludent handlande och under alla förhållanden följer övergången av rättigheter till programmeringsresultatet av anställningens natur och kontext samt av 40 a § upphovsrättslagen.

Att upphovsrätten tillkommer Phenixid framgår också av att bolaget vid försäljningen till Clavister garanterade att bolaget då innehade samtliga immateriella rättigheter till bl.a. PAS och Pocket Pass. Den upparbetade källkoden i bolaget för PAS och Pocket Pass utgjorde en väsentlig del av denna investering. Det avtal som innehåller garantin är undertecknat av P.L, A.A, P.H och A.B. Dessa personer har även personligen garanterat att garantin var fullständig och riktig.

Efter förvärvet har Phenixid fortsatt utvecklingen av bolagets produkter. Under åren 2018–2021 har Phenixid i sina räkenskaper aktiverat över 15 miljoner kronor endast avseende utvecklingen av PAS och Pocket Pass.

Sid 19

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

Uppsägningarna från Phenixid och grundandet av Fortifiedid

Efter Clavisters förvärv av Phenixid uppstod det meningsskiljaktigheter mellan grundarna till Phenixid och Clavister beträffande hur verksamheten i Phenixid skulle bedrivas. Under hösten 2021 beslutades att det skulle genomföras en

verksamhetsövergång där verksamheten i Phenixid skulle föras över till Clavister. Verksamhetsövergången var tänkt att omfatta immateriella rättigheter, kunder och personal. När det stod klart att många i Phenixid:s dåvarande personal inte ville acceptera en övergång till Clavister drogs beslutet tillbaka. Koncernledningen valde därefter att i stället inleda en dialog med Phenixid: s dåvarande ledningsgrupp kring en alternativ struktur. Phenixid:s ledningsgrupp valde dock att avbryta dialogen för att i stället kollektivt säga upp sig. Uppsägningarna från Phenixid meddelades i februari 2022 och omfattade 17 personer. Sju av dessa anställda kom dock att stanna kvar i sina anställningar till och med den 31 december 2022.

Sammanfattningsvis valde bl.a. följande personer att säga upp sig till angivna datum: P.L, 2022-03-31; A.A, 2022-03-31; M.F, 2022-03-31; J.E, 2022-03-31; M.R,

2022-03-31; J.D, 2022-04-08; P.H, 2022-12-31; A.B, 2022-12-31; T.A, 2022-12-31; J.A, 2022-12-31; A.H, 2022-12-31; L-Å.S, 2022-12-31; R.M, 2022-12-31.

Den 10 mars 2022 registrerades sedan lagerbolaget Grundbulten 108444 AB. På initiativ av A.A omregistrerades bolaget hos Bolagsverket efter bolagsstämma den 4 april 2022. Vid bolagsstämman antecknades A.A som ägare till aktierna i bolaget. Den 26 april 2022 bytte bolaget namn till Fortifiedid. Domännamnet fortifiedid.se hade då varit registrerat sedan den 12 februari 2021 med innehavaren antecknad på A.A folkbokföringsadress. Efter att Fortifiedid hade registrerats hos Bolagsverket bestod styrelsen inledningsvis av A.A som styrelsesuppleant och hans hustru som

styrelseledamot. Numera är dock samtliga aktieägare och medlemmar av styrelsen i Fortifiedid personer som tidigare har varit

Sid 20

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

anställda i Phenixid. Med undantag för C.P, som slutade i Phenixid under hösten 2019, avslutade alla dessa personer sina anställningar i Phenixid inom ramen för det samordnade avhoppet i anslutning till att Fortifiedid bildades.

I november 2022 lanserade Fortifiedid produkterna Integrity och Fortified ID App.

Dessa produkter har tagits fram genom obehörig kopiering och utnyttjande av

Phenixid:s källkod.

Det handlar om ett samordnat och illojalt agerande från flera anställda, genom att starta

upp en ny och konkurrerande verksamhet. Förfarandet har påbörjats under pågående

anställning hos Phenixid.

Utvecklingstiden för Fortifiedid:s produkter

Under år 2022 bedrev Fortifiedid verksamhet i cirka sju månader. Enligt bolagets årsredovisning för detta år uppgick antalet anställda i bolaget i medeltal till fem. Bland dessa ingick A.A, C.P, J.E och M.F. Om dessa fyra personer hade varit tillgängliga för bolaget på heltid skulle Fortifiedid ha haft 28 manmånader tillgängliga för

produktutveckling fram till och med den

31 december 2022. Under hösten 2022 utförde dock anställda i Fortifiedid

konsultuppdrag hos Phenixid. Konsulttjänsterna utfördes primärt av A.A, J.E och M.R och antalet fakturerade konsulttimmar uppgick till 674, motsvarade ungefär fyra manmånader.

Det har vidare framkommit att den första produktlanseringen av Integrity skedde redan den 28 juni 2022 och att den första färdiga versionen av produkten stod klar den

6 oktober 2022. Det antal manmånader som i praktiken varit tillgängliga för Fortifiedid att utveckla Integrity har alltså varit klart färre än 28. Därtill visar information från intrångsundersökningen att antalet aktiva programmerare har varit lägre än de fem anställda som angetts i årsredovisningen. Den första ”commit” som gjordes i

Fortifiedid:s repo gjordes så tidigt som i maj 2021 av bl.a. A.A.

Sid 21

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

Det skulle inte ha varit möjligt för Fortifiedid att med så få anställda och på så kort tid utveckla och lansera produkten Integrity och Fortified ID App utan att ha haft tillgång till och obehörigen ha utnyttjat Phenixid:s rättigheter och företagshemligheter.

Likheten mellan produkterna

Att Integrity och Fortified ID App har tagits fram genom obehörig kopiering och

utnyttjande av Phenixid:s källkod framgår vidare av de likheter som har konstaterats i

förhållande till Phenixid:s produkter.

Vid jämförande analyser av Fortified ID App och Pocket Pass har det beträffande applikationernas respektive paketering konstaterats att båda applikationerna registrerar ”otpauth” som URL, att de endast använder ett fåtal vyer och är väldigt lika varandra i storlek samt att deras respektive designtillgångar är paketerade på samma sätt och enligt samma struktur. Det har vidare ansetts att de båda applikationerna har ett väldigt snarlikt kommunikationsmönster och att det utifrån deras respektive tekniska uppbyggnad framstår som att de är uppbyggda efter samma kodbas och tekniska arkitektur. Till skillnad från de två applikationerna Nexus Smart ID och BankID, som för det mesta har valt helt egna tekniska lösningar, har Pocket Pass och Fortified ID App också bedömts vara extremt lika varandra i fråga om hur applikationerna beter sig. Vid en översikt av likheterna mellan applikationerna har det uppskattats att den samlade likheten mellan Fortified ID App och Pocket Pass uppgår till 93 procent. Nexus Smart ID och BankID, som har öppen källkod, har endast ansetts uppvisa en likhetsgrad i förhållande till Pocket Pass om mellan 5 och 26 procent.

Integrity är en autentiserings- och plattformsprodukt. Vid en analys av loggar över förändringar i källkoden (s.k. commit-loggar) från Fortifiedid:s källkodsdatabas (s.k. repository eller repo) framgår att det föreligger en kraftig överensstämmelse mellan unika filnamn för källkod i kodbaserna för PAS och sådana filnamn i Integrity. En sådan överensstämmelse mellan filnamn har förelegat både vid tidpunkten för att

Sid 22

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

nyckelpersonerna på Phenixid lämnade sina anställningar och vid det tillslag som skedde inom ramen för intrångsundersökningen.

Genom intrångsundersökningen har det också framkommit att källkoden för Integrity på flera ställen inkluderar en copyright-notis som har kopierats ur källkoden för PAS samt att Fortifiedid kopierat Phenixid:s repo ”frejaapi” till sin egen repo med samma namn. Efter att ha kopierat ”frejaapi” har Fortifiedid raderat denna repo och sedan skapat en ny repo som är döpt till ”freja_api”, men som innehåller samma filer. Förflyttningen av filerna från ”frejaapi” till ”freja_api” skedde samtidigt som A.A gjorde en Google-sökning på ”git reset all history” samt läste en artikel avseende hur man raderar git-historik utan att radera repot på GitHub. Både i den nya och den gamla repon hos Fortifiedid har det förekommit filer med namn som

innehåller ”Phenixid”. Dessa filer raderades dock omedelbart efter att de hade importerats till ”freja_api”.

Phenixid har vidare ett flertal egenutvecklade bibliotek med mjukvara. Ett av dessa bibliotek är ”OATH”. OATH är en central och viktig teknologi för distribuerad autentisering och identifiering över internet. Mjukvaran OATH ingår som en del i både PAS och Pocket Pass. Även FREJA ingår som en del av PAS. FREJA och OATH är standarder. Phenixid:s implementation, uttryckt i källkod, av dessa standarder utgör en del av bolagets företagshemligheter.

I de filer som finns i materialet från intrångsundersökningen har det i copyright­information som funnits i filerna getts träffar vid sökning på sådana ord som tilläts enligt beslutet om intrångsundersökning. De filer vari sökningarna har gjorts innehåller mindre ändringar. Dessa ändringar har dels bestått i att filernas s.k. paketnamn bytts ut från PhenixIdentity till Fortified, dels avsett filernas innehåll. När det gäller just OATH har minst 14 av 17 filer blivit kopierade. Det är dock med stor säkerhet så att även resterande filer har blivit kopierade. Detta följer av att de tre filer som inte syns i Fortifiedid:s kopia saknar den copyright-information som vid intrångsundersökningen resulterat i de aktuella sökordsträffarna. Phenixid har nämligen endast fått ut den del

Sid 23

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

av materialet som har innehållit något av de sökord som omfattades av beslutet om intrångsundersökningen. Med ”Fortifiedid:s kopia” avses det material som återfinns hos Fortifiedid.

Det har därtill kunnat konstateras att filen ”CertificateTest.java” utgör en identisk kopia av Phenixid:s källkod. Filen är ett s.k. enhetstest och som testdata används namnet ”Phenixid”. Den enda förklaringen till det innehåll som har konstaterats i test­certifikatet är att innehållet har kopierats från Phenixid:s källkod.

Fortifiedid har kopierat filen ”CryptoUtilsTest.java”, som innehåller s.k. enhetstest av CyptoUtils. I den löpande fritexten i Fortifiedid:s källkod förekommer direkta

referenser till certifikat som tillhör Phenixid. Utan den källkod som källkodstestet används för att testa saknar testet sin funktion.

De aktuella filerna har kopierats från PAS och tillförts Integrity respektive kopierats från Pocket Pass och tillförts Fortified ID App. Koden för Signing Workflow har även funnits i källkodsbiblioteket hos Phenixid benämnt ”platform” och underlaget från Kronofogden visar att kod har kopierats härifrån och tillförts Fortifiedid:s produkt Integrity (även där med namnet ”platform”) .

Slutligen har även en av Phenixid: s kunder uppfattat att Integrity är såväl visuellt som

funktionellt väldigt lik PAS och i kontakter med bolaget därför frågat om det

föreligger tvist mellan Phenixid och Fortifiedid avseende immateriella rättigheter.

Programmeringsåtgärder i Integrity har skett av anställda i Phenixid

Vid framtagandet av källkoden till Integrity har Fortifiedid använt systemet GitHub. Av den information som finns sparad i GitHub beträffande Integrity framgår att commits gjordes av A.A och M.F redan i maj 2021. Det framgår vidare att commits under den aktuella tidsperioden, dvs. från det att A.A och M.F gjorde sina första commits fram till dess att respektive

Sid 24

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

f.d. anställdas anställning upphörde, endast har checkats in av personer som var anställda i Phenixid och att ingen programmering i Integrity utförts av någon annan person. A.A, M.F, J.A och A.B har samtliga utfört aktiviteter avseende programvaran för Integrity under sina anställningar i Phenixid. Hela utvecklingen av Integrity som har utförts av anställda i Phenixid under deras respektive anställningar utgör

Utvecklingsresultat som har övergått till Phenixid i den takt det har skapats.

De tidigare anställdas agerande har betydelse dels i fråga om bedömningen av de subjektiva rekvisiten uppsåt och oaktsamhet (eftersom dessa personer nu är aktiva inom Fortifiedid såsom ägare, ställföreträdare, anställda), dels rörande frågan om anskaffande samt skadestånd, dels för bedömningen av skadeståndets storlek då ett angrepp inom ramen för ett uppsåtligt förslaget agerande påverkar detta.

Fortifiedid och tidigare anställda i Phenixid har medvetet försvårat bevissäkringen

På grund av misstankar om angrepp på Phenixid:s företagshemligheter och intrång i bolagets upphovsrätt instruerade Phenixid under hösten 2022 de sju anställda som hade förlängt sina anställningar till den 31 december 2022 att senast den 20 december 2022 återlämna bl.a. utrustning i form av datorer och mobiltelefoner som tillhörde bolaget. När utrustningen återlämnades den 30 december 2022 var den dock i fabriksåterställt skick. Detta trots att de involverade personerna hade fått uttryckliga instruktioner från Phenixid om att inte återställa utrustningen till fabriksinställning. Att så inte fick ske framgick vidare av deras anställningsavtal. Personerna hade inte något säkerhetsklassat material på utrustningen och de hade ingen skyldighet att genomföra någon fabriksåterställning. Agerandet skedde i stället i samverkan med Fortifiedid i syfte att försvåra bevissäkringen avseende bolagets intrång i Phenixid:s rättigheter. Att åtgärderna hade detta syfte får också stöd av säkrad kommunikation mellan A.A och P.H samt den omständigheten att de arbetstagare som sade upp sig under 2022 och inte tog anställning i Fortifiedid återlämnade sin utrustning helt i enlighet med sina anställningsavtal och Phenixid:s instruktioner. Till följd av att den

Sid 25

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

återlämnade utrustningen var fabriksåterställd blev det omöjligt för Phenixid att låta undersöka den forensiskt.

Upphovsrättsintrång och obehörigt angrepp på företagshemligheter

Sammanfattningsvis visar det ovanstående att programmeringsåtgärderna och källkoden i Integrity till stor del är baserade på obehörig kopiering och utnyttjande av Phenixid:s källkod. Vidare ger det stöd för att Fortifiedid i sin verksamhet har använt sig av programmeringsåtgärder utförda av personer som varit anställda i Phenixid. Genom dessa ageranden har Fortifedid gjort intrång i Phenixid:s upphovsrätt samt obehörigen angripit Phenixid:s företagshemligheter.

Vad som görs gällande i målet är dels att Utvecklingsresultatet är något som tillhör Phenixid, dels att Fortifiedid obehörigen har accelererat sin utveckling av Integrity och Fortified ID App genom att införliva och använda sig av källkod och designmaterial från PAS och Pocket Pass.

Phenixid:s källkod är inte röjd genom Fortifiedid:s konsultuppdrag för Phenixid

Det är ostridigt att Fortifiedid fick åtkomst till Källkoden i samband med fullgörandet av konsultuppdraget. Tillgången till Källkoden erhölls endast inom ramen för det begränsade uppdrag som Fortifiedid utförde för Phenixid under en begränsad

uppdragstid som avslutades i oktober 2022. Uppdraget utfördes av tidigare anställda hos Phenixid som hade övergått i verksamhet hos Fortifiedid: M.F, A.A, J.E och M.R ("Konsulterna"). Konsulternas uppdrag skulle utföras med utrustning som ägdes och tillhandahölls av Phenixid. Denna utrustning var samma tjänsteutrustning som Konsulterna hade haft under sina anställningar hos Phenixid. Åtkomst till Phenixid:s källkod har tillhandahållits genom personlig inloggning med tvåfaktors-autentisering kopplad till Phenixid med tydliga regler för vem som kunde komma åt Källkoden och hur. A.A tog själv fram riktlinjer för detta under sin tid hos Phenixid.

Sid 26

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

När konsultuppdraget var slutfört krävde Phenixid den 1 november 2022 tillbaka

arbetsdatorer och mobiltelefoner. Den 7 november 2022 togs även åtkomsten bort till

Phenixid:s repo där Källkoden fanns.

Kronofogdens intrångsundersökning visar att Fortifiedid obehörigen kvarhållit Phenixid:s företagshemligheter inklusive Källkoden och härvid utnyttjat dessa i Fortifiedid:s egen förvaringsplats/repository för att användas i bolagets produkter och i dess övriga IT-miljö. Otillåten kopiering har således skett i flera led från den utrustning som Phenixid tillhandahållit de före detta anställda inom ramen för sina anställningar respektive konsultuppdrag innefattande lokalt lagrade kopior av källkod till upp- och nedladdningar till/från Fortifiedid:s egen repository.

Rätten att inneha källkoden har varit en individuell rätt kopplad till anställningen respektive uppdraget. Tillgång till Källkoden och annan information lämnades i förtroende och har gjorts under sådana omständigheter att Fortifiedid insett eller bort inse att informationen inte fick angripas. Skyldighet att iaktta sekretess för Konsulterna följer av en rad avtal. Att Källkoden var förbehållen Phenixid upphovsrättsligt samt att den utgjorde en företagshemlighet innehavd av Phenixid framgår även av annan information.

Phenixid:s källkod är inte röjd genom partsinsynen i aktuellt mål

Det USB-minne på vilket aktuella handlingar återfinns har utlämnats av domstolen genom ett handläggningsbeslut endast som ett resultat av rätten till partsinsyn. Det är ostridigt att Phenixid gjort gällande att informationen är företagshemlig och att Phenixid har hemställt om sekretess, vilket även har noterats i domstolens målhanteringssystem VERA. Under alla förhållanden har Källkoden inte mist karaktären av företagshemlighet bara för att den finns tillgänglig inom ramen för partsinsyn. Angrepp på företagshemligheter som finns i handlingar som har lämnats ut efter formlösa handläggningsbeslut leder till skadeståndsansvar enligt 8 § LFH. Utan tillgång till det USB-minne som tillhandahållits partsombuden hade inte någon tillgång

Sid 27

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

till handlingarna existerat. Lösenordet i sig innehåller inte information om Källkoden. På begäran av motpartsombudet som uppgav att den sedvanliga säkra överföringen via e-post inte hade fungerat, lämnade Phenixid:s ombud ut lösenordet via sms till motpartsombudet efter motringning.

Fortifiedid och Phenixid har använt sig av samma programmeringsspråk

Det framgår av de sökordsträffar som visas i Kronofogdens beslag att Fortifiedid och Phenixid har använt sig av samma programmeringsspråk (Java). Det stämmer inte att en nyare version av Java är helt inkompatibel med en äldre version. Det går också att blanda komponenter och bibliotek av olika versioner av Java, vilket utgör ett standardförfarande i branschen.

Fortifiedid AB

Produkterna PAS och Pocket Pass

Innan de personer som för närvarande arbetar med utveckling i Fortifiedid började i bolaget hade de arbetat med samma typ av produkter och lösningar för bolagen NordicEdge, Intel/McAfee och Phenixid. En gemensam affärsidé och strategi för alla bolagen har varit att utveckla produkter som följer väletablerade standarder och att använda öppen källkod. Produkterna har vid varje tillfälle utvecklats på nytt för respektive bolag och de har på ett övergripande plan behandlat samma område som PAS och Integrity, dock inte nödvändigtvis med samma funktioner eller möjligheter. När personerna grundade Phenixid kom de att för tredje gången ta fram produkter för stark autentisering med tillhörande funktion för Single sign-on, applikationsportal och mobil klient, nämligen produkterna PAS och Pocket Pass.

Anställningsförhållandena framgår av nedanstående tabell. De angivna personerna har arbetat och arbetar med utveckling av de aktuella produkterna.

Sid 28

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

Utvecklingstiden för produkten PAS har inte uppgått till 500 manmånader. Vad gäller Pocket Pass så är detta en mobil applikation som används för att framställa ett OTP (One Time Password) utifrån ett givet mönster. Detta mönster är väldefinierat och på inget sätt hemligt eller skapat av Phenixid. Funktionaliteten i Pocket Pass utgör vidare endast en delmängd av det som finns i applikationen One Touch. Pocket Pass och One Touch är därför inte samma applikationer.

I produkterna PAS och Pocket Pass ingår öppen källkod i hög utsträckning. Det rör sig om att använda tredje parts bibliotek för en stor mängd vanliga operationer, t.ex. signering, kryptering eller generell kommunikation. Det är inte ovanligt att kod från olika typer av forum eller andra "online-källor" klippts in i den egna koden. Att svara på "i vilken utsträckning" är en omöjlighet, men man kan med säkerhet säga att skulle man avlägsna den kod som inte är skriven av egna utvecklare skulle både Pocket Pass och PAS vara helt obrukbara. Det rör sig långt över 50 procent och är helt avgörande.

Sid 29

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

Såvitt gäller PAS och Pocket Pass är det ostridigt att dessa produkter tillhör Phenixid. Några skriftliga anställningsavtal mellan Phenixid och A.A, P.H respektive P.L, har dock aldrig existerat. Sådana anställningsavtal har alltså inte försvunnit eller raderats. A.A var en av grundarna till Phenixid varför det knappast har funnits anledning att teckna ett skriftligt anställningsavtal med honom innan Clavister förvärvade Phenixid. Det har dock funnits muntliga anställningsavtal mellan A.A respektive P.H och Phenixid. Dessa muntliga avtal har inte omfattat någon reglering om sekretess och övergång av immateriella rättigheter. Vidare har inget skriftligt anställningsavtal existerat i förhållande till J.A. Det är dock riktigt att aktieöverlåtelseavtalet vid försäljningen av Phenixid till Clavister innehöll den aktuella garantin avseende immateriella rättigheter samt att riktigheten och fullständigheten av denna garanterades personligen av P.L, A.A, P.H och A.B.

Uppsägningarna från Phenixid och grundandet av Fortifiedid

Efter förvärvet av Phenixid började Clavister att driva bolaget som ett helägt

dotterbolag inom koncernen. År 2021 meddelade dock företrädare för koncernen att det hade fattats beslut om att verksamheten i Phenixid skulle läggas ned. I samband med detta erbjöds de anställda i Phenixid att antingen flytta anställningen till Clavister eller att sägas upp på grund av arbetsbrist. Sedan en majoritet av de anställda avböjt erbjudandet om anställning i Clavister drogs förslaget tillbaka av koncernen.

Koncernens agerande skapade oro och osäkerhet bland de anställda i Phenixid. Till följd av denna oro och efter att Clavister i februari år 2022 på koncernnivå redovisat sin historiskt näst största förlust valde ett stort antal av de anställda i Phenixid att avsluta sina anställningar.

Efter individuella överenskommelser som bl.a. innefattade löften om bonusar beslutade sig dock sju av de personer som sagt upp sig från Phenixid att under en övergångsperiod förlänga sina anställningar till och med den 31 december 2022.

Sid 30

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

Phenixid har sedermera brutit mot anställningsavtalet och vägrat att utbetala överenskomna bonusar.

Fortifiedid inledde därefter sin verksamhet i april 2022. Fortifiedid följde samma affärsidé som NordicEdge och under hösten 2022 lanserade bolaget Integrity.

Öppna standarder och upphovsrätt

Oath (Open Authentication) är ingen företagshemlighet framtagen av Phenixid. Oath är en öppen standard för stark autentisering som möjliggör användning av engångslösenordstekniker. Oath-biblioteket skrevs initialt av Nordic Edge och har via nyttjanderättslicens kopierats in helt lagligt i PAS. Rättigheterna tillhörande Nordic Edge har aldrig övergått till Phenixid. Samtliga rättigheter kvarblev i Nordic Edge fram till dess att bolaget förvärvades av Intel Sweden AB den 5 september 2018.

Phenixid innehar inte heller upphovsrätten till CEF. CEF-filer är en öppen standard och måste följa detaljerade regler för att alls fungera. Det finns ett licensavtal mellan Phenixid och Intel som ger Phenixid rätt att använda NordicEdges produkter

Certificate services, Identity manager och Identity provisioning. Genom licensavtalet med Intel tillåts Phenixid att utnyttja och bygga vidare på biblioteken till bolagets produkter. En del av dessa biblioteket utgörs av så kallade CEF-filer och funktioner. Phenixid saknar således äganderätten till dessa CEF-filer och de underliggande biblioteken.

Freja.api är en teknisk realisering genom programkod för att kunna skapa och tolka meddelanden gällande Freja e-ID. Detta innebär att man följer en

förhållandevis detaljerad specifikation som ges ut av Freja. Koden skriver

utvecklaren själv men detta kan inte göras på så många sätt eftersom strukturerna är specificerade av Freja. Phenixid erhåller inte upphovsrätten till Freja eID Group AB:s produkter genom att bädda in dessa i bolagets egen källkod i enlighet med

Sid 31

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

instruktioner från Freja eID Group AB. Upphovsrätten tillhör fortfarande Freja eID Group AB.

Varken Phenixid eller Fortifiedid har äganderätt till filerna eller implementeringen av Open SSL. SSL är en äldre öppen standard för kryptering av datatrafik. Open SSL är implementeringen av standarden till en produkt eller ett system. Open SSL är, precis som framgår av namnet, en helt publik kod.

Produkterna Integrity och Fortified ID App har inte tagits fram genom obehörig kopiering och utnyttjande av Phenixid:s källkod

Fortifiedid:s produkt Integrity lanserades i november 2022. Den första lanseringen skedde den 28 juni 2022 och avsåg en version som inte var användbar.

Produkten Integrity har utvecklats med tillämpning av modern teknologi och den är inte en kopia av PAS. Integrity innehåller endast en bråkdel av de funktioner som PAS har. När det gäller Fortified ID App så har denna produkt funktionella likheter med Pocket Pass men den har inte alla funktioner som One Touch har. Eventuella likheter i funktioner ger dock inte stöd för att det föreligger ett upphovsrättsintrång eller ett obehörigt angrepp på företagshemligheter.

Såvitt gäller de rapporter från sakkunniga som Phenixid har åberopat till stöd för sina påståenden i målet kan det konstateras att de sakkunniga inte har undersökt eller haft tillgång till Integrity vid sina analyser. För att styrka att det skett ett

upphovsrättsintrång eller ett angrepp på företagshemligheter behöver det visas att Phenixid:s kod har kopierats. De sakkunniga kan rimligen inte uttala sig i denna fråga utan att ha haft tillgång till Integrity.

Den programkod som avses när det gäller ”frejaapi” är återförd från en papperskorg av den personal som genomförde intrångsundersökningen. Anledning till att ”Freja.api”

Sid 32

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

har hamnat i aktuell papperskorg är att Fortifiedid har erhållit aktuell fil inom ramen för det konsultavtal som förevarit mellan parterna. När konsultavtalet upphört har filen slängts i papperskorgen. Programkoden var alltså slängd och användes inte i Fortifiedid:s produkter. Koden var inte heller avsedd att användas i bolagets produkter.

Det har inte heller skett någon utveckling av Fortifiedid:s produkter av personer som under utvecklingstiden varit anställda av Phenixid. Eventuell likhet mellan

Fortifiedid:s och Phenixid:s programvaror förklaras av att det är nödvändigt att följa strukturer och standarder i de företag som publicerar de aktuella programvarorna, t.ex. Freja. Fortifiedid:s programvaror innehåller avsevärt färre funktioner än Phenixid:s programvaror.

Fortifiedid och tidigare anställda i Phenixid har inte medvetet försvårat bevissäkring

Det är riktigt att de sju personer som förlängde sina anställningar i Phenixid till den 31 december 2022 den 20 december 2022 återlämnade sådan utrustning som tillhörde bolaget i fabriksåterställt skick. Det var rutin på Phenixid att anställda som avslutade sina anställningar återlämnade utrustning fabriksåterställd. Anställda i Phenixid hade haft rätt att använda utrustningen för privata ändamål och återställandet till fabriksinställningar skedde bl.a. för att skydda personliga uppgifter som lagrats vid sådan användning. Rutinen om återställande av utrustning till fabriksinställningar utgjorde en rättighet och skyldighet enligt anställningsavtalet. Rutinen har inte ensidigt kunnat ändras av Phenixid. Därutöver hade vissa av de aktuella personerna

säkerhetsklassat material på sina datorer. Att överlämna dessa datorer till bolaget utan att först ha raderat materialet skulle ha utgjort ett brottsligt agerande. Återställningen till fabriksåterställningar gjordes således inte i syfte att försvåra bevissäkring m.m. såsom Phenixid påstår.

Sid 33

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

Phenixid:s källkod är röjd genom Fortifiedid:s konsultuppdrag för Phenixid

Källkoden tillsammans med andra delar av Phenixid:s Källkod har tidigare utlämnats till Fortifiedid i bolagets egenskap av konsult åt Phenixid. Denna utlämning har skett utan något sekretessåtagande eller förbehåll avseende användandet av koden, varför Källkoden redan genom denna utlämning har upphört att vara företagshemlig. Någon olovlig anskaffning har därmed inte skett. Något syfte att använda koden i Fortifiedid:s produkter har inte heller funnits.

Phenixid:s källkod är röjd genom partsinsynen i aktuellt mål

Phenixid:s källkod är röjd genom att Phenixid har översänt lösenordet till Källkoden till motpartens ombud utan någon överenskommelse om sekretess i denna del. Fortifiedid har därigenom rätt att inneha Källkoden i dess egenskap av processmaterial, och därvid även att framställa (kopiera), utnyttja (bl.a. åberopa i målet) och bearbeta (bl.a. kopiera innehållet till inlagor m.m.) Källkoden utan inskränkning. Tillgång till innehållet i det aktuella USB-minnet har inte kommit undertecknade tillhanda genom domstolsbeslut, vare sig dokumenterat, odokumenterat, formlöst eller genom beslut som uppfyller visst formkrav. Tillgång till Källkoden har skett genom agerande, under hand, direkt från Phenixid.

Fortifiedid och Phenixid har inte använt sig av samma version av Java

Phenixid:s produkter är skrivna i språket Java 8 samt VertX 2, medan Fortifiedid:s produkter är skrivna i Java 21 och VertX 4.5. Phenixid har nyligen uppdaterat PAS till version 5.0 där det särskilt lyftes fram att uppgradering har skett från Java 8 till Java 11 samt från VertX 2 till VertX 4. Att uppgradera gammal kod är långt mer

arbetskrävande än att utveckla ny, och uppgraderingen tog Phenixid större delen av 2023.

STOCKHOLMS TINGSRÄTT DOM

Patent- och marknadsdomstolen 2024-12-12

UTREDNINGEN

På Phenixid:s begäran har följande förhör hållits.

- Partsförhör med J.E, VD för Phenixid,

- Partsförhör med J.V, CEO för Clavister Holding AB,

- Partsförhör med D.N, CFO för Clavister Holding AB,

- Vittnesförhör med N.U, CTO för Clavister AB,

- Partssakkunnigt vittnesförhör med S.F, teknologie doktor i data- och systemvetenskap vid Mittuniversitetet,

- Partssakkunnigt vittnesförhör med R.F, professor i datavetenskap vid Chalmers tekniska högskola,

- Partssakkunnigt vittnesförhör med S.A, professor i digital forensik och cybersäkerhet vid Stockholms universitet,

- Partssakkunnigt vittnesförhör med M.A, IT-konsult,

- Partssakkunnigt vittnesförhör med P.B, IT-forensisk specialist.

På Fortifiedid:s begäran har följande förhör hållits.

- Partsförhör med P.L, styrelseledamot i Fortifiedid,

- Partsförhör med A.A, VD i Fortifiedid,

- Partssakkunnigt vittnesförhör med J.T, bl.a. grundare till NordicEdge,

- Partssakkunnigt vittnesförhör med J.T, civilingenjör i maskinteknik, konsult

m.m.,

- Partssakkunnigt vittnesförhör med C.R, programutvecklare m.m.

Parterna har därutöver lagt fram ett omfattande material som skriftlig bevisning, däribland Källkoden, årsredovisningar, bolagsordningar, överlåtelseavtal, anställningsavtal, informationsblad avseende PAS m.m., e-postkorrespondens, jämförelser av källkod, rapporter från IT-konsultbolag, källkodsanalyser m.m.

Sid 35

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

DOMSKÄL

Rättsliga utgångspunkter m.m.

Upphovsrättslagen; särskilt om datorprogram

Upphovsrättslagen ger skydd för litterära och konstnärliga verk. För att åtnjuta upphovsrättsligt skydd ska verket möta det originalitetskrav som har slagits fast av EU-domstolen (se t.ex. mål C-683/17, Cofemel, EU:C:2019:721, p. 29–30 med de hänvisningar som görs där).

Ett datorprogram kan vara att anse som ett verk som har upphovsrättsligt skydd, se 1 § första stycket 2 upphovsrättslagen. Upphovsrätten till ett datorprogram som är skapat av en arbetstagare som ett led i dennes arbetsuppgifter eller efter instruktioner av arbetsgivaren, övergår till arbetsgivaren om inte något annat har avtalats, se 40 a § upphovsrättslagen.

Vad som avses med ett datorprogram definieras inte närmare i upphovsrättslagen. I

motiven uttalas dock att med datorprogram avses vanligen den serie instruktioner som

erfordras för att en dator ska kunna arbeta (se prop. 1988/89:85 s. 7 f.).

Det upphovsrättsliga skyddet för datorprogram är harmoniserat inom EU sedan 1990-talet genom det s.k. datorprogramdirektivet (rådets direktiv 91/250/EEG om

rättsligt skydd för datorprogram, numera Europaparlamentets och rådets direktiv 2009/24/EG om rättsligt skydd för datorprogram i kodifierad version).

I direktivets artikel 1.2 slås fast att det upphovsrättsliga skyddet ska gälla ett

datorprograms alla uttrycksformer. Samtidigt anges att skyddet inte omfattar de idéer och principer som ligger bakom de olika detaljerna i ett datorprogram, även de som ligger bakom dess gränssnitt (se även skäl 7–11 i ingressen). Inte heller i direktivet har det ansetts lämpligt att närmare definiera vad som ska anses utgöra ett datorprogram

Sid 36

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

eller vilka element i ett sådant program som utgör en uttrycksform som kan möta originalitetskravet. Mot att ange en sådan definition talar framför allt den snabba utvecklingen på programmeringsområdet samt de många olika varianter av

datorprogram som finns (se t.ex. Wolk, Det upphovsrättsliga programskyddets gränser, NIR 2011 s. 294 f.). EU-domstolen har i sammanhanget uttalat att varken ett programs funktion eller det programspråk och det filformat som används i ett datorprogram för att utnyttja vissa av programmets funktioner, utgör en uttrycksform för detta program, i den mening som avses i artikel 1.2 i datorprogramdirektivet (se EU-domstolens dom den 2 maj 2012, SAS Institute Inc. mot World Programming Ltd, C-406/10, ECLI:EU:C:2012:259, p. 39). EU-domstolen har helt nyligen befäst dessa uttalanden (se EU-domstolens dom den 17 oktober 2024, Sony mot Datel m.fl., C-159-23, ECLI:EU:C:2024:887, p. 35–37 med där gjorda hänvisningar).

I direktivets artikel 1.3 anges slutligen att ett datorprogram ska skyddas om det är originellt i den meningen att det är upphovsmannens egen intellektuella skapelse. Inga andra bedömningsgrunder ska därmed tillämpas vid fastställandet av om det ska komma i åtnjutande av skydd.

LFH

LFH genomför Europaparlamentets och rådets direktiv 2016/943/EU om skydd mot att

icke röjd know-how och företagsinformation (företagshemligheter) olagligen

anskaffas, utnyttjas och röjs.

Enligt 2 § första stycket LFH avses med företagshemlighet information

som varken som helhet eller i den form dess beståndsdelar ordnats och satts

samman är allmänt känd hos eller lättillgänglig för den som normalt har tillgång till

information av det aktuella slaget,

Sid 37

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

vars röjande är ägnat att medföra skada i konkurrenshänseende för innehavaren.

I 2 § andra stycket LFH anges vidare att erfarenheter och färdigheter som en

arbetstagare har fått vid normal yrkesutövning inte är en företagshemlighet. Inte heller är information om något som utgör ett brott eller annat allvarligt missförhållande en företagshemlighet.

Enligt 3 § första stycket LFH avses med angrepp på en företagshemlighet att någon utan innehavarens samtycke

röjer företagshemligheten.

LFH gäller endast obehöriga angrepp på företagshemligheter (4 §). Den som

obehörigen angriper en företagshemlighet kan bl.a. ådra sig ett skadeståndsansvar och

även vid vite förbjudas att fortsätta angripa företagshemligheten (se 5–12 §§ LFH).

I motiven till LFH omnämns källkod och datorprogram som exempel på information om affärs- eller driftförhållanden i en näringsidkares rörelse, dvs. sådan egendom kan utgöra företagshemligheter (se prop. 2017/18:200 s. 100 och 138).

Något om åberops- och bevisbördan samt beviskravet

I mål av nu aktuell beskaffenhet är det av stor betydelse var åberops- och bevisbördan placeras. Samma sak gäller vilket beviskrav som ska tillämpas. En naturlig

utgångspunkt är därvid att det är den som påstår att ett upphovsrättsintrång har skett respektive att en företagshemlighet har angripits, som också har att åberopa

omständigheter till stöd för sina påståenden. Den som har åberopsbördan för en viss omständighet bär typiskt sett bevisbördan för att omständigheten föreligger. Det normala beviskravet är att varje åberopad omständighet ska styrkas.

Sid 38

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

För framgång vid en förbudstalan enligt upphovsrättslagen måste således käranden dels styrka att det omtvistade alstret åtnjuter upphovsrätt, dels styrka att svaranden har förfogat över verket på ett sätt som omfattas av upphovsmannens ensamrätt.

Motsvarande synsätt, dvs. att käranden ska styrka både förekomst av och angrepp på en företagshemlighet, kan anläggas på en förbudstalan enligt LFH. Skäl att frångå det gängse beviskravet föreligger som regel inte i mål av det nu aktuella slaget. (Se Patent-och marknadsöverdomstolens dom den 16 juni 2020 i mål PMT 7747-20, s. 6 f. med hänvisningar.)

Patent- och marknadsdomstolens bedömning enligt upphovsrättslagen

Källkoden

Phenixid har gjort gällande att bolagets produkter PAS, Pocket Pass och Signing

Workflow, inbegripet den s.k. Källkoden, uppvisar självständighet och individuell

särprägel.

Fortifiedid har vitsordat att koden och designelementen i PAS och Pocket Pass tillhör

Phenixid, men bestritt att programkoden och designelementen är särpräglade på det

sätt som krävs för upphovsrättsligt skydd.

Genom utredningen är det klarlagt att produkterna PAS och Pocket Pass bygger på en omfattande källkod, vars tillkomst ett flertal programmerare ligger bakom. Källkoden har utvecklats över tid och domstolen ifrågasätter inte att utvecklingstiden uppgår till angivna 500 manmånader eller därikring. Källkoden har också getts in till domstolen i form av en USB-sticka, dock utan någon närmare läsanvisning eller liknande. Under huvudförhandlingen har Källkoden i valda delar gåtts igenom av Phenixid genom att lägga fram den på storskärm. I övrigt har Phenixid lagt fram Källkoden genom hänvisning.

Sid 39

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

För att visa att Källkoden m.m. åtnjuter upphovsrätt har Phenixid vidare lagt fram omfattande skriftlig och muntlig bevisning, bl.a. i form av sakkunnigförhör. Av denna utredning framgår sammanfattningsvis att PAS och Pocket Pass utgör en central del av Phenixid:s produktutbud, att utvecklingskostnader i mångmiljonklassen har aktiverats för produkterna i bolagets räkenskaper och att vid Clavisters förvärv av Phenixid var de immateriella rättigheterna (däribland PAS och Pocket Pass) en central del av förvärvet. Det är också upplyst att Clavister betalade ett ansenligt belopp för aktierna i Phenixid.

Phenixid har vidare lagt fram viss utredning om hur kodbasen till PAS och Pocket Pass är uppbyggd, hur gränssnittet mot användaren gestaltar sig och på vilket sätt programstrukturen kan illustreras grafiskt. På huvudförhandlingen har ett antal

exempel på källkodsfiler lagts fram.

Fortifiedid har vid flertalet tillfällen under målets handläggning framfört att det är oklart vad Källkoden och Utvecklingsresultatet är för något och att kärandens talan saknar tillräcklig precision för att bemötas i sak. Fortifiedid har vidare framfört ett antal invändningar om att Källkoden i stora delar utgår från öppen källkod, att dylika kodbaser ofta alstras automatiskt och att rättigheten till själva Källkoden i huvudsak inte tillkommer Phenixid utan i stället tillhör tredje part, t.ex. bolaget FrejaID. Samma sak gäller kod avseende Oath, Common Event Format (CEF) och Open SSL. Fortifiedid har under slutanförandet framhållit att flertalet av de frågor som rätten ställde till Phenixid under målets förberedelse alltjämt kvarstår obesvarade. Fortifiedid har särskilt vänt sig mot att Källkoden lades fram så pass sent under målets handläggning, vilket har gjort det svårt för Fortifiedid att analysera Källkoden och bemöta Phenixid: s påståenden om upphovsrättsligt skydd och intrångsgörande handlingar.

Sid 40

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

Patent- och marknadsdomstolen gör följande bedömning.

Domstolen delar till viss del det Fortifiedid har anfört i denna del, dvs. att det inte framstår som helt klart vilket eller vilka verk som Phenixid:s talan grundar sig på, annat än att det rör ”programvarorna för Phenixid:s produkter, inklusive PAS, Pocket Pass och Signing Workflow, inklusive källkod och designmaterial för dessa

produkter”. Denna brist på precision är visserligen förståelig eftersom det handlar om en synnerligen stor källkodsbas med ett omfattande bibliotek och ett mycket stort antal källkodsfiler med många olika funktioner. Likväl hade det gagnat utredningen om element ur Källkoden särskilt hade valts ut och därefter genomgåtts i fråga om

originalitet, skapandeinsats och individuella moment. Detta hade sedan på ett tydligare sätt kunnat jämföras mot de fynd som gjordes vid intrångsundersökningen.

Rätten har översiktligt tagit del av USB-stickan innehållandes Källkoden, men utan

läsanvisning eller liknande har det varit svårt att dra någon egentlig slutsats av stickans

innehåll (jfr 35 kap. 6 § första stycket rättegångsbalken).

Professorerna R.F och S.A har i flera utlåtanden dragit slutsatser om Källkoden och dess storlek; att Källkoden kan antas vara egenutvecklad av Phenixid, att den har växt fram kontinuerligt under många års tid och att det även finns viss öppen källkod i kodmaterialet, men att detta i sådant fall har försetts med tillbörliga licensmarkeringar.

Mot bakgrund av professorernas slutsatser och den framlagda utredningen i övrigt får det anses klarlagt att Källkoden i någon mening är av sådan beskaffenhet att den åtnjuter ett upphovsrättsligt skydd som datorprogram. Vilka delar av Källkoden detta gäller framstår emellertid som oklart. Att Källkoden eller designmaterialet i sin helhet inte kan åtnjuta upphovsrätt får anses utrett, bl.a. efter den genomgång som A.A höll på huvudförhandlingen. A.A förevisade då ett antal källkodsfiler i Källkoden som

uppenbarligen har utvecklats av tredje parter och inte av Phenixid. Fortifiedid har också invänt att stora delar av Källkoden är autogenererad, att

Sid 41

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

den måste se ut på ett visst sätt för att fungera med andra företags tjänster (t.ex. FrejaID och Mobilt BankID) samt att kodbasen även i övrigt innehåller omfattande tredjepartsbibliotek och inte egenutvecklad kod. Invändningarna har inte bemötts särskilt ingående av Phenixid, i vart fall inte på källkodsnivå.

Det finns visserligen en rapport från det amerikanska företaget Blackduck som

indikerar att Källkoden består av endast en liten del öppen källkod. Författaren till rapporten är dock inte hörd i målet och rapporten är ytterst kortfattad i fråga om metod och genomförande. P.B har uppgett att Blackduck är en världsledande aktör på

marknaden avseende objektiv analys och identifiering av öppen källkod i

kommersiella produkter. Vid hans förhör har emellertid framkommit att inte heller han kan utläsa av rapporten hur den närmare är genomförd. Det kompletterande

yttrandet från Blackduck bringar inte någon klarhet i frågan. Det kan tilläggas att även om Källkoden skulle innehålla endast en mindre mängd ”öppen” källkod så betyder det inte att hela Källkoden möter originalitetskravet, och inte heller att upphovsrätten i alla delar tillkommer Phenixid.

Annorlunda uttryckt är det svårt för domstolen att bilda sig en närmare uppfattning om i vilken utsträckning Källkoden är originell i den meningen att det är upphovsmannens egen intellektuella skapelse. Detta tar domstolen med sig i den fortsatta bedömningen.

När det sedan gäller förhållandet att det på grund av verkets omfattning och komplexitet möter vissa utmaningar att definiera verket är detta enligt domstolen inte något som bör gå ut över Fortifiedid. Även Fortifiedid har efter vissa turer getts tillgång till Källkoden, dvs. det omtvistade verket. Detta skedde den 9 september 2024. Fortifiedid har således haft ytterst kort tid på sig att analysera koden samt bemöta Phenixid:s påståenden om originalitet och intrång. Dessa för målet centrala frågor har därmed fått en relativt ensidig belysning. Även detta tas med i den fortsatta bedömningen.

Sid 42

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

Sammanfattningsvis ger utredningen inte något klart besked om i vilken utsträckning de verk som Phenixid har angett åtnjuter upphovsrättsligt skydd. Vid den fortsatta prövningen är utgångspunkten att ett intrång kan anses föreligga endast i de fall där ett påstått förfogande tydligt kan knytas till ett verk där upphovsrätten kan verifieras. Det räcker således inte med att peka på att vissa kodelement som påträffades hos

Fortifiedid vid intrångsundersökningen överlappar med vissa utvalda kodelement från Källkoden.

Domstolen går därmed över till att pröva om upphovsrättsintrång har skett. Har intrång skett?

Den som yrkar vitesförbud på grund av upphovsrättsintrång har att noga ange vari

intrånget består. Vitesförbudet ska vidare vara tillräckligt preciserat och avgränsat så

att intrångssvaranden vet hur denne har att förhålla sig till förbudet.

Phenixid har gjort gällande följande upphovsrättsliga förfogande.

Fortifiedid begår upphovsrättsintrång i Phenixid:s rättigheter genom att olovligen framställa exemplar av hela eller delar av programvarorna PAS, Pocket Pass och Signing Workflow, inkl. Källkoden, och/eller Utvecklingsresultatet genom att tillföra och därefter använda sådant material i Fortifiedid:s produkter Integrity och Fortified ID App.

Exemplarframställningen sker genom kopiering från Phenixid:s källkod till Fortifiedid:s källkod samt kopiering av designmaterial på motsvarande sätt/användning i Fortifiedid:s produkter Integrity och Fortified ID App, även innefattande obehörig kopiering

till/användning i Fortifiedid:s egen IT-miljö från Phenixid:s IT-miljö. Förfarandet utgör en olovlig exemplarframställning.

Ett centralt moment i det påstådda förfogandet är alltså framställning av exemplar genom att tillföra och använda upphovsrättsligt skyddat material i Fortifiedid:s produkter Integrity och Fortified ID App samt att kopiera Pheinxid: s källkod till Fortifiedid:s källkod eller IT-miljö.

Sid 43

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

Den utredning som Phenixid har åberopat i denna del kan i stora delar sägas vara av indikativt slag. Det gäller t.ex. slutsatser i sakkunnigutlåtanden om att produkten Integritys utvecklingstid framstår som orimligt kort och att vissa valda lösningar i de motstående mobilapplikationerna är så egenartade att de måste ha tagits fram medelst kopiering av Källkoden. Det gäller också omständigheter kring uppstarten av

Fortifiedid och den konflikt/konkurrens som därefter följde mellan parterna.

S.F har t.ex. intygat att båda produkterna är mycket omfattande och torde kräva ett stort utvecklingsarbete. Även professorerna R.F och S.A har dragit liknande slutsatser efter att ha granskat produkterna. De senare har även uttalat sig om fynd från intrångsundersökningen och pekat på att vissa kryptografiska certifikat som fanns i Phenixid:s IT-miljö var identiska med sådana som påträffades vid

intrångsundersökningen. I den delen framstår dock upphovsrätten till certifikaten, dvs. själva kodelementen, som oklar. Någon närmare genomgång av vad certifikaten utgör för typ av kod eller vad kodelementen kräver i form av utvecklingsarbete eller

skapande, har inte gjorts från Phenixid:s sida. Fortifiedid har därvid anfört att

certifikaten endast utgör en form av lösenordsfunktioner/nycklar som krävs för att samspelet med applikationen FrejaID ska fungera, innebärande att kodelementen måste se ut på ett visst fördefinierat sätt. Enligt Patent- och marknadsdomstolen är det redan av den anledningen inte visat att dessa certifikat/kodelement åtnjuter upphovsrättsligt skydd. Inte heller är det därtill styrkt att kodelementen har lyfts in i Fortifiedid:s produkter eller av Fortifiedid har kopierats in i bolagets källkod eller IT-miljö.

R.F och S.A har också noterat att det vid intrångsundersökningen

i A.A dator påträffades filsträngar betecknade ”Copyright © 2015 PhenixID AB” osv. Vad filsträngen i övrigt består av är dock oklart, dvs. eventuell upphovsrätt till dessa kodelement är inte klarlagd. Det är därtill inte visat att kodelementen har tillförts eller använts i Fortifiedid:s produkter eller av Fortifiedid har kopierats in i bolagets källkod eller IT-miljö.

Sid 44

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

När det gäller sökvägar/filnamn har också vid intrångsundersökningen kunnat

konstateras viss överlappning med filnamn i Källkoden, vilket bl.a. framgår av ett av R.F och S.A utlåtanden. Detta har emellertid framför allt gällt filer hänförliga till Oath eller FrejaID, varav i vart fall det senare materialet tycks ha legat i en elektronisk papperskorg. De överlappande filnamn som kunde iakttas vid intrångsundersökningen hos Fortifiedid indikerar visserligen att kodmaterial vid något tillfälle har hämtats från Phenixid:s IT-miljö, men det är varken klarlagt vad materialet består av, eller att materialet har använts i Fortifiedid:s produkter eller källkod.

C.R har uppgett att eftersom samma utvecklare ligger bakom de motstående

produkterna, faller det sig naturligt att återanvända tidigare namnfilstrukturer när ny kod byggs. Enligt C.R säger detta emellertid föga om den underliggande koden, dvs. vad den innehåller, vilket skapande som ligger bakom den osv. Sådant har inte belysts närmare i målet. Det förhållandet att A.A m.fl. möjligen började förbereda för en egen verksamhet redan under anställningstiden hos Phenixid, samt att det har raderats historik i Fortifiedid:s versionshanteringssystem Github, visar inte heller att

upphovsrättsligt skyddat material av Fortifiedid olovligen har tillförts och använts i bolagets produkter, källkod eller IT-miljö.

C.T har bland annat uppgett att det låter som ”väldigt mycket kod” om Källkoden skulle bestå av 900 000 rader, en uppgift som har cirkulerat i målet. Hans slutsats är att en sådan mängd kod borde kunna reduceras väsentligt utan att funktionaliteten för PAS skulle gå förlorad. C.T har vidare berättat att det stora arbetet med källkod är att underhålla källkoden och att anpassa den utifrån kundbehov, funktionalitet och omvärldsförändringar. C.J slutsats är därför att det för en grupp utvecklare som har sysslat med detta under många år, inte vore logiskt att återanvända eller kopiera gammal kod. Det handlar i stället om att använda sin kunskap om funktionalitet och kundbehov för att därifrån göra effektiva vägval.

Sid 45

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

De fynd som gjordes vid intrångsundersökningen visar enligt domstolen sammantaget på att element av Källkoden har funnits i Fortifiedid:s IT-miljö, vilket i sin tur kan indikera att materialet på något sätt kan ha använts vid framtagandet av Fortifiedid:s produkter, t.ex. genom att tjäna som inspiration eller förlagor. Huruvida dessa kodelement åtnjuter upphovsrättsligt skydd är dock oklart, och det är inte heller klarlagt om materialet faktiskt har tillförts och använts i Fortifiedid:s produkter, eller om materialet endast har legat kvar i A.A dator på grund av tidigare arbete eller uppdrag som han utfört hos Phenixid. I den delen är upplyst att Fortifiedid under hösten anlitades som externa konsulter av Phenixid och då hade lovlig tillgång till Phenixid:s källkod. Det kan alltså vara så att material lovligen kan ha överförts och innehafts av bl.a. A.A. Det visar följaktligen inte att ett upphovsrättsligt förfogande har skett från Fortifiedid:s sida i enlighet med Phenixid:s påståenden.

När det sedan gäller M.A vittnesmål och utlåtande så visar detta på att funktioner och design hos de motstående mobilapplikationerna är mycket lika varandra. Hans slutsats blir därför att Fortifiedid ”haft tillgång till Pocket Pass koden”. J.T har i sitt utlåtande däremot angett att det över huvud taget inte går att uttala sig om huruvida en

bakomliggande kod har blivit kopierad, enbart utifrån testning av applikationer mot varandra. C.T har uppgett samma sak. Enligt domstolen talar M.A utlåtande och vittnesmål dock för att Fortifiedid:s app i vart fall delvis bygger på liknande kod som Pocket Pass bygger på, även om Fortifiedid:s app även innehåller

tredjepartskomponenter samt har getts en ny konfiguration. Det innebär emellertid inte att det är visat att det har skett exemplarframställning på ett upphovsrättsligt relevant sätt. Det kan till att börja med konstateras att M.A såvitt framkommit inte har haft tillgång till själva Källkoden, vilket innebär att hans slutsatser endast grundar sig på iakttagelser av produkterna (och inte på jämförelser av kod). Hur koden närmare ser ut i de delar där överlappning möjligen finns är alltså inte klarlagt, dvs. upphovsrätten till sådan eventuell överlappande kod är inte visad. A.A har därtill uppgivit att

Fortifiedid:s app är mycket rudimentär, att den till skillnad från Pocket Pass inte kräver internetuppkoppling och att den endast är en OTP-lösning (One Time

Password) som i

Sid 46

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

sin tur bygger på Googles första OTP-klient. Det är också utrett att det är samma utvecklare som ligger bakom båda produkterna. Det ligger därmed nära till hands att utvecklarna på Fortifiedid har använt sig av A.A m.fl. kunnande och erfarenheter när det gäller val av funktion och design hos mobilapplikationen, utan att för den skull ha kopierat Källkoden. Som har angetts ovan under rubriken Rättsliga utgångspunkter omfattar det upphovsrättsliga skyddet inte idéer och principer som ligger bakom de olika detaljerna i ett datorprogram, även de som ligger bakom dess gränssnitt.

Mest besvärande är möjligen vittnesmålet från N.U. Även N.U har under sitt förhör jämfört material från intrångsundersökningen ”rad för rad” med Källkoden. Enligt N.U är ifrågavarande kod, dvs. kod som har säkrats vid intrångsundersökningen och som i urval har lagts fram för honom av Phenixid,

”extremt lik” delar av Källkoden. N.U har även pekat på vissa gemensamma vägval som har gjorts i respektive källkod vilket enligt honom talar för att kopiering har skett. Detta gäller bl.a. kod hänförlig till BankID och FrejaID. Fortifiedid har invänt mot N.U uppgifter, främst på den grunden att han tillhör Clavister-sfären. Oaktat detta bedömer domstolen, i linje med det som har anförs ovan, att det är svårt att värdera det urval av Källkoden som N.U har jämfört mot fynden vid intrångsundersökningen. Det gäller såväl vem som är egentlig skapare av dessa kodelement, som om de isolerat uppfyller originalitetskravet. Bedömningen blir därmed att även N.U uppgifter, varken ensamma eller tillsammans med övrig bevisning, medger slutsatsen att ett

upphovsrättsligt förfogande har skett i enlighet med de grunder som Phenixid har fört fram i målet.

Det som har anförts ovan avseende Källkoden gör sig även gällande i förhållande till produkterna PAS, Pocket Pass och Signing Workflow samt dessa produkters källkod och designmaterial. Detta eftersom någon närmare åtskillnad mellan de olika

produkternas upphovsrätt inte har gjorts av Phenixid.

Sid 47

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

När som i förevarande fall det påstådda intrångsföremålet, dvs. källkoden och/eller designmaterialet i Fortifiedid:s produkter inte har lagts fram för domstolen, blir det naturligtvis svårt för Phenixid att styrka att ett upphovsrättsligt förfogande har skett. Phenixid:s bevisläge i målet är dock inte så besvärligt att det bör gå ut över Fortifiedid, t.ex. genom en omkastad bevisbörda eller att tillmäta det betydelse att Fortifiedid inte har gett in sin egen källkod till domstolen.

Den bevisning som är åberopad från Phenixid visar framför allt på att det har funnits en konflikt mellan ägare och anställda på Phenixid, att planer på att starta ett nytt företag sannolikt uppstod redan under 2021, att konflikten därefter successivt fördjupades samt att spår av Källkoden i april 2023 har påträffats i en dator hos Fortifiedid samt i bolagets repository. Ytterligare slutsatser kan domstolen inte dra utifrån den framlagda utredningen. Det gäller närmare bestämt slutsatser i frågan om huruvida det har skett upphovsrättsligt relevanta förfoganden från Fortifiedid:s sida.

Patent- och marknadsdomstolens sammantagna bedömning blir därmed att Phenixid

inte har förmått visa att Fortifiedid har gjort sig skyldigt till upphovsrättsintrång på det

sätt som Phenixid påstår. Talan om vitesförbud ska därmed avslås i denna del.

Patent- och marknadsdomstolens bedömning enligt lagen om företagshemligheter

Företagshemlighet

Phenixid har gjort gällande att följande utgör företagshemligheter.

All källkod till PAS, Pocket Pass och Signing Workflow, inklusive Källkoden, samt

designmaterial i dessa program är information som Phenixid håller hemlig i sin verksamhet

och som omfattas av sekretess och utgör en företagshemlighet som innehas av Phenixid.

Fortifiedid har bestritt att ovan utgör företagshemligheter, och i den delen anfört att Fortifiedid har haft obegränsad tillgång till koden under den tid som bolaget

Sid 48

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

konsultade åt Phenixid under senare delen av 2022. Vidare har samtliga anställda utvecklare hos Phenixid haft full tillgång till koden utan begränsning eller

gradindelning. Därtill har koden överlämnats av Phenixid till Fortifiedid under målets handläggning i Patent- och marknadsdomstolen, utan något sekretessförbehåll.

Patent- och marknadsdomstolen gör följande bedömning.

Det framstår inledningsvis som självklart att Källkoden och de produkter som den hänför sig till utgör information om Phenixid:s affärs- och driftsförhållanden. Som har redovisats i föregående avsnitt bedömer Patent- och marknadsdomstolen det utrett att produkterna PAS och Pocket Pass bygger på en omfattande källkod, vars tillkomst ett flertal programmerare ligger bakom. Källkoden har vuxit fram över tid och har fordrat ett stort antal manmånader för att utveckla och därefter kontinuerligt underhålla. Det är också visat att Phenixid har aktiverat stora kostnader hänförliga till utvecklingsarbetet med produkterna. Den balanserade kostnaden för räkenskapsåret 2021 uppgick t.ex. till drygt 14 miljoner kr. Redan dessa omständigheter talar med styrka för att Källkoden utgör Phenixid:s företagshemlighet. Som Phenixid också har påpekat nämns i motiven till FHL just källkod och datorprogram som exempel på sådant som kan utgöra företagshemligheter (se prop. 2017/18:200 s. 138).

Som vidare har framhållits av Phenixid utgör källkod till avancerade datorprogram typiskt sett skyddsvärd egendom och därmed sådant som med nödvändighet hålls hemligt. Enligt de aktieöverlåtelseavtal som skrevs under vid Clavisters förvärv av Phenixid underkastades parterna också tydliga sekretessåtaganden, bl.a. beträffande ”varje uppgift” av teknisk art. Att detta inte skulle inbegripa Phenixid:s

kärnverksamhet, dvs. produkterna PAS, Pocket Pass och Källkoden framstår som långsökt. I samma riktning talar de sekretessåtaganden som gjordes när ett större antal medarbetare, bl.a. M.F och M.R, avslutade sina anställningar i Phenixid, låt vara att Källkoden inte omnämndes explicit i åtagandena. Därtill kan konstateras att även Phenixid:s hantering av Källkoden under målets handläggning

Sid 49

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

tydligt visar på att den innehåller information om sådana affärs- och driftsförhållanden som hemlighålls av bolaget (2 § första stycket 1–3 LFH).

När det gäller Fortifiedid:s invändning om att konsulter hos Phenixid gavs tillträde till Källkoden utan sekretessförbehåll, anser domstolen inte att detta innebär att koden har varit allmänt känd hos eller lättillgänglig för den som normalt har tillgång till

information av det aktuella slaget, eller att Pheinxid genom konsultuppdraget skulle ha underlåtit att skydda koden på ett erforderligt sätt (2 § första stycket 2 och 3 LFH). Av det som har framkommit i denna del får tvärtom anses framgå att Källkoden

överlämnades i förtroende till en liten identifierbar krets, bl.a. till A.A, och att

Phenixid på intet sätt släppte kontrollen över Källkoden och att material och

utrustning begärdes åter när uppdraget var slutfört.

Det förhållandet att Fortifiedid inom ramen för målets handläggning har fått del av Källkoden ändrar inte det som nu sagts. Domstolen kan inte heller i övrigt komma till slutsatsen att Phenixid skulle ha underlåtit att vidta rimliga åtgärder för att hemlighålla Källkoden. Slutligen får ett röjande av Källkoden anses vara ägnat att medföra skada i konkurrenshänseende (2 § första stycket 3 och 4 LFH).

Patent- och marknadsdomstolen gör därmed bedömningen att Källkoden och det designmaterial som följer med denna i och för sig kan kvalificera sig som

företagshemligheter. Likt det som har anförts ovan i upphovsrättsdelen kan dock inte hela Källkoden m.m. anses utgöra Phenixid:s företagshemligheter. För framgång med talan måste Phenixid knyta varje påstått angrepp till källkod där en företagshemlighet kan verifieras. Det räcker således inte heller här med att peka på att vissa kodelement som påträffats hos Fortifiedid överlappar med vissa av Phenixid utvalda kodelement i Källkoden osv.

Sid 50

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

Har angrepp skett?

Phenixid har gjort gällande följande angrepp på företagshemligheter.

Förfarandet att utan samtycke införliva/använda Phenixid:s källkod och designmaterial i PAS, Pocket Pass och Signing Workflow samt Utvecklingsresultatet till/i Fortifiedid:s produkter Integrity och Fortified ID App samt obehörig kopiering till/användning i Fortifiedid:s egen IT-miljö från Phenixid:s IT-miljö, utgör ett obehörigt anskaffande och därefter ett utnyttjande av Phenixid:s företagshemligheter i Fortifiedid:s verksamhet. Fortifiedid:s kvarhållande av Phenixid:s företagshemligheter i form av Källkoden och andra företagshemligheter kopplade till källkod och designmaterial i PAS, Pocket Pass och Signing Workflow utgör i sig ett obehörigt anskaffande. Anskaffandet och utnyttjandet har skett utan samtycke och utgör således ett obehörigt angrepp i strid mot 3 § LFH.

Domstolen kan konstatera att påståendet om angrepp på företagshemligheter i allt väsentligt är detsamma som det påstådda upphovsrättsintrånget, med de justeringar som följer av LFH, dvs. att obehörigen kopiera källkod och designmaterial från Phenixid till Fortifiedid:s IT-miljö och sedan använda materialet i Fortifiedid:s produkter. Mycket av det som har sagts ovan avseende påstått upphovsrättsintrång får således bäring även här. Phenixid har dock tillagt att Fortifiedid även har kvarhållit företagshemligheter i form av Källkoden och att detta i sig utgör ett obehörigt anskaffande enligt LFH. I denna del är av särskilt intresse att titta närmare på det som har framkommit om intrångsundersökningen.

Vid intrångsundersökningen påträffades visst material i en dator och en mobiltelefon, båda tillhörande A.A. Därtill hämtades data från Fortifiedid:s

källkodshanteringssystem Github via en molnbaserad tjänst samt från Google Drive. Samtliga påträffade incheckningar i Github (commits) har sammanställts av företaget Combitech i en Excelfil. Av filen framgår att A.A första commit gjordes i maj 2021. Det går dock inte att utläsa vad detta avsåg annat än att det var en ”initial commit”. Av revisionshistoriken framgår vidare att M.F har gjort commits i Githuben, även det under hans pågående anställning hos Phenixid.

Sid 51

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

A.A har i förhör vidgått att han har gjort commits i aktuell Github fr.o.m. maj 2021. Detta handlade enligt A.A om att lära sig nya versioner av Java och

tredjepartsbibliotek m.m. Ingen av de commits som gjordes hade enligt A.A vid detta tillfälle något med Fortifiedid eller Integrity att göra, utan var snarare sådant arbete som Phenixid hade nytta av. Produkten Integrity tillkom först under 2022 när den nya verksamheten startades upp. Githuben döptes om till Integrity i samma veva. A.A har under motförhöret endast fått ett fåtal frågor från Phenixid om incheckningarna, och frågorna har i huvudsak tagit sikte på annat än vad incheckningarna avsåg.

Excel-filen visar att ett flertal personer har gjort commits i den Github som sedermera har använts av Fortifiedid. Vad incheckningarna (cirka 5 000 stycken, perioden maj 2021 – april 2023) har avsett är oklart. Phenixid har inte heller pekat på annat än vissa datum och vilka personer som har gjort incheckningarna. Patent- och

marknadsdomstolen anser att det är svårt att dra några konkreta slutsatser av Excel­filen, mer än att A.A m.fl. har checkat in i aktuell Github sedan maj 2021 och att githuben sedermera har kommit att användas i Fortifiedid:s verksamhet, bl.a. vid byggandet av Integrity. Att Källkoden skulle ha kopierats från Phenixid:s IT-miljö till Fortifiedid:s IT-miljö framgår knappast av Excel-filen; inte heller att Phenixid:s källkod eller designmaterial i PAS, Pocket Pass och Signing Workflow har använts i Fortifiedid:s produkter.

Frågan är då om det är visat att Fortifiedid har angripit Phenixid:s företagshemligheter genom att kvarhålla Källkoden och/eller designmaterial tillhörigt Phenixid. Domstolen anser i denna del att det inte är visat att hela Källkoden har kvarhållits av Fortifiedid. Vid intrångsundersökningen har dock sökträffar genererats på ett antal filer i

Fortifiedid:s IT-miljö, företrädesvis på sökordet ”Phenix” följt av ”FlowFailValve”. Vad de underliggande filerna består av är varken utrett eller närmare adresserat av Phenixid. Annorlunda uttryckt är det inte visat att det material som har påträffats utgör Phenixid:s företagshemligheter som obehörigen har kvarhållits av Fortifiedid.

Sid 52

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

Som har angetts ovan anser Patent- och marknadsdomstolen, likt den bedömning som har gjorts i upphovsrättsdelen, att samtliga element i Källkoden inte kan utgöra företagshemligheter. I de delar som kodmaterial från intrångsundersökningen överlappar med Källkoden, hade det krävts mer hållfast utredning om vad dessa kodelement faktiskt består av, om de rör Phenixid: s affärs-eller driftsförhållanden, om de består av kod skapad av tredje man och om ett röjande av just denna

kod/kodelement är ägnat att medföra skada i konkurrenshänseende för Phenixid.

Det nu sagda leder Patent- och marknadsdomstolen till slutsatsen att det inte är visat att

Fortifiedid har angripit Phenixid: s företagshemligheter på det sätt som påstås i målet.

Talan om vitesförbud ska därmed avslås även i denna del.

Yrkandena om återlämnande, skadestånd och publicering av domen

Patent- och marknadsdomstolens bedömningar ovan innebär att Phenixid:s yrkanden om återlämnande av företagshemligheter, skadestånd samt publicering av domen ska avslås.

Phenixid:s fastställelseyrkande

Phenixid har begärt att Patent- och marknadsdomstolen ska fastställa att Phenixid har bättre rätt än Fortifiedid till det Utvecklingsresultat som har uppstått vid det arbete som A.A, M.F, A.B och J.A har utfört under sina respektive anställningar hos

Phenixid.

Fortifiedid har begärt att yrkandet ska avvisas, främst på den grunden att det är oklart vad som avses med Utvecklingsresultat. Fortifiedid har vidare anfört att bolaget inte gör något anspråk på eventuella utvecklingsresultat som A.A m.fl. har åstadkommit under sin anställningstid hos Phenixid. Det föreligger därmed ingen ovisshet i frågan och därmed inte heller något fastställelseintresse.

Sid 53

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

Eftersom definitionen av Utvecklingsresultatet har varit föremål för viss diskussion under förberedelsen har Patent- och marknadsdomstolen valt att pröva frågan om fastställelseyrkandets tillåtlighet först i samband med att målet tas till slutligt avgörande, dvs. efter att parterna har getts tillfälle att lägga fram skriftlig och muntlig bevisning i frågan.

Det åvilar Phenixid att tydligt visa på förekomsten av ett Utvecklingsresultat, däri inbegripet att definiera vad detta utvecklingsresultat faktiskt består av. Domstolen kan i den delen konstatera att Phenixid inte har ägnat Utvecklingsresultatet särskilt mycket uppmärksamhet under huvudförhandlingen. Precis som gäller beträffande Källkoden i form av upphovsrättsligt skyddat verk, anser domstolen att det är ytterst svårt att slå fast vad Utvecklingsresultatet är för något utifrån den framlagda utredningen.

En fastställelsetalan har som syfte att undanröja en ovisshet om ett rättsförhållande. Rättsförhållandet måste vara så preciserat att verkan av att det fastställs kan

överblickas (se NJA 2013 s. 209). En fastställelsedom får sitt värde genom

rättskraften. Efter att ha tagit del av utredningen i målet bedömer Patent- och marknadsdomstolen att det inte närmare framgår vilket/vilka utvecklingsresultat som Phenixid:s definition omfattar. Mot den bakgrunden anser domstolen att en

sakprövning av Phenixid:s fastställelseyrkande inte skulle bidra till att undanröja en ovisshet om det s.k. Utvecklingsresultatet; snarare skulle osäkerheten kring detta öka. Det brister alltså i förutsättningarna för att föra aktuell fastställelsetalan. Phenixid:s talan om bättre rätt ska därmed avvisas.

Sammanfattning

Patent- och marknadsdomstolen har ovan genom en rad bedömningar kommit fram till att Phenixid varken har styrkt upphovsrättsintrång eller angrepp på

företagshemligheter. Det betyder att Phenixid:s förbudstalan samt talan om skadestånd, återlämnande av företagshemligheter samt publicering av domen avslås. Domstolen

Sid 54

STOCKHOLMS TINGSRÄTT DOM PMT 4830-23

Patent- och marknadsdomstolen 2024-12-12

har vidare avvisat Phenixid:s fastställelsetalan om bättre rätt till Utvecklingsresultatet.

Detta eftersom en dom i den delen inte skulle undanröja någon ovisshet om ett

rättsförhållande.

Rättegångskostnader

Vid denna utgång ska Phenixid ersätta Fortifiedid för rättegångskostnader. Phenixid har överlämnat till domstolen att pröva skäligheten av begärt belopp.

Patent- och marknadsdomstolen bedömer att den begärda ersättningen med hänsyn till käromålets art och omfattning är skälig. Ränta följer av lag.

Sekretess

Huvudförhandlingen hölls i huvudsak bakom stängda dörrar. Phenixid har därefter inkommit med förtydliganden om vad bolaget anser bör vara fortsatt sekretessbelagt i målet. Patent- och marknadsdomstolen ser ingen anledning att ifrågasätta Phenixid: s överväganden i denna del och förordnar om sekretess i enlighet med begäran.

ANVISNING FÖR ÖVERKLAGANDE, se domsbilaga 1 (PMD-02) Överklagande senast den 2 januari 2025. Prövningstillstånd krävs.

Carl Rosenmüller Ricardo Valenzuela Anna-Karin Berglund

Bilaga B