Beim Outsourcing des Kreditkartengeschäfts - insbesondere beim Vollprocessing - gibt es eine Reihe rechtlicher Fragen zu bedenken. Der vorliegende Beitrag beschreibt die Anforderungen von KWG, MaRisk und ZAG sowie versicherungsrechtliche Fragen. In der nächsten Ausgabe geht es um datenschutzrechtliche Fragestellungen. Red.Heute hat bereits eine Vielzahl der Institute das Kreditkartengeschäft ganz oder teilweise auf einen Prozessor ausgelagert, um Skalen- und Synergieeffekte zu erzielen. Die Auslagerung des Kreditkartengeschäfts kann - je nach Institutsgröße und Anzahl der Karten - unterschiedliche Bedeutung haben. In jedem Fall stellt sich maßgeblich die Frage, ob lediglich ein Teilbereich oder vielmehr das gesamte Kreditkartengeschäft fremdvergeben werden soll. Dabei kann traditionell zwischen kaufmännischen (Serviceprocessing) und technischen Prozessen (Technisches Processing) unterschieden werden. In der Praxis hat sich das Verständnis herausgebildet, dass unter Serviceprocessing zum Beispiel Call-Center-Leistungen, Karteninhaberbetreuung, Institutsbetreuung und Betrugsprävention zu verstehen sind, während das technische Processing das Bereitstellen von Systemen zur Kartenverwaltung, Dokumentenmanagement, Fraud-Prevention und Autorisierung umfasst. Bei der Auslagerung im Wege des sogenannten "Vollprocessing" werden sämtliche Bereiche, die für die Durchführung des Kreditkartengeschäfts erforderlich sind, nicht mehr vom Kreditinstitut selbst durchgeführt, sondern von einem Prozessor übernommen. Das bedeutet, dass sowohl die Leistungen zum Service-Processing als auch die Leistungen zum technischen Processing auf einen zentralen externen Dienstleister übertragen werden. Die Durchführung des Karten-Vollprocessing durch einen Dritten ist nicht nur in der praktischen Umsetzung, sondern auch rechtlich äußerst komplex, sodass den nachfolgend dargestellten rechtlichen Problemkreisen ein besonderes Gewicht zukommt. Dabei ist zu berücksichtigen: Schließen sich mehrere Institute zur Auslagerung des Krediikartengeschäfts auf einen gemeinsamen Prozessor zusammen, orientieren sich die rechtlichen und vertraglichen Erfordernisse grundsätzlich an dem Institut mit den jeweils höchsten rechtlichen Anforderungen. KWG-rechtliche Aspekte Ein auslagerndes Kreditinstitut untersteht in der Regel der Aufsicht der Bundesanstalt für Finanzdienstleistungen (BaFin). Das wirft die Frage auf, welche aufsichtsrechtlichen Vorgaben Kreditinstitute bei Durchführung einer Auslagerung zu beachten haben. Wesentliche Normen sind insoweit die Vorschriften der §§ 25 a und 25 c des Gesetzes über das Kreditwesen (KWG), deren Hürden es zu überwinden gilt. 1. Allgemeine organisatorische Pflichten: In § 25 a Abs. 1 KWG werden allgemeine organisatorische Pflichten aufgestellt, welche die Institute aus aufsichtsrechtlicher Sicht zu erfüllen haben. Hiernach müssen Institute über eine ordnungsgemäße Geschäftsorganisation verfügen. Sie muss gewährleisten, dass die zu beachtenden gesetzlichen Vorgaben erfüllt werden, müssen darüber hinaus aber auch den betriebswirtschaftlichen Notwendigkeiten gerecht werden.1) Zu den organisatorischen Pflichten gehört in diesem Zusammenhang insbesondere die Einrichtung eines angemessenen Risikomanagements und seiner wesentlichen Bestandteile. Hier ist zu beachten, dass die Ausgestaltung und die Umsetzung der qualitativen Anforderungen dem Institut überlassen bleiben.2) 2. Die Auslagerung von für das Bankgeschäft wesentlichen Prozessen: § 25a Abs. 2 KWG enthält weitergehende Bestimmungen zur Auslagerung von Aktivitäten und Prozessen auf ein anderes Unternehmen, die für die Durchführung von Bankgeschäften wesentlich sind. Gemäß § 25a Abs. 2 Satz 2 KWG darf eine solche Auslagerung weder die Ordnungsgemäßheit dieser Geschäfte noch die Steuerungs- oder Kontrollmöglichkeit der (Instituts-) Geschäftsleitung beeinträchtigen. Außerdem darf die Auslagerung nicht dazu führen, dass die ausgelagerten Tätigkeiten der Beaufsichtigung durch die BaFin entzogen werden. Da nur eine wesentliche Auslagerung den besonderen Anforderungen des § 25 a Abs. 2 KWG unterliegt, bedarf es stets einer sorgfältigen eigenverantwortlichen Risikoanalyse, ob im Einzelfall eine wesentliche Auslagerung gegeben ist. Dabei sind Art, Umfang, Komplexität und Risikogehalt der ausgelagerten Aktivitäten und Prozesse entscheidend. Im Falle der Auslagerung des Kreditkartengeschäfts hat das Institut in seine Risikoabwägung daher nicht nur einzubeziehen, ob das gesamte Karten-Processing oder lediglich Teilbereiche hieraus ausgelagert werden sollen; maßgeblich für die zu ergreifenden Vorkehrungsmaßnahmen ist vielmehr auch, ob das Kreditkartengeschäft einen wesentlichen Teilbereich des Bankgeschäfts darstellt. Für den Fall einer etwaigen Prüfung durch die BaFin ist zu empfehlen, dass das Institut seine Risikoabwägung zur Frage des Vorliegens einer wesentlichen Auslagerung hinreichend dokumentiert. 3. Anforderung MaRisk: Die Beantwortung der Frage, ob eine wesentliche Auslagerung vorliegt, ist nicht zuletzt im Hinblick auf die sogenannten "Mindestanforderungen für das Risikomanagement" (MaRisk) der BaFin, die § 25 a KWG konkretisieren, bedeutsam: Die MaRisk, die bei der Auslagerung des Kreditkartengeschäfts generell zu berücksichtigen ist, enthält eine Reihe weiterer Vorgaben, die bei wesentlichen Auslagerungen im Auslagerungsvertrag zu beachten sind. AT 9 Tz. 5 MaRisk schreibt vor, das ein Institut im Fall der beabsichtigten oder erwarteten Beendigung der Auslagerungsvereinbarung Vorkehrungen zu treffen hat, um die Kontinuität und Qualität der ausgelagerten Aktivitäten und Prozesse auch nach Beendigung zu gewährleisten. Auf den Fall der Auslagerung des Kartenprocessings bezogen, bedeutet das konkret, dass das Institut dafür Sorge zu tragen hat, dass das Processing auch nach Beendigung der Auslagerung nahtlos und in gleicher Qualität fortgeführt werden kann. 4. Anforderungen an den Vertrag: AT 9 Tz. 6 MaRisk enthält Anforderungen, die der Auslagerungsvertrag zu erfüllen hat. Hierzu gehört zunächst die Spezifizierung und gegebenenfalls Abgrenzung der vom Auslagerungsunternehmen zu erbringenden Leistungen. Es muss also vertraglich, zum Beispiel in der Leistungsbeschreibung, exakt festgelegt sein, welche Leistungen durch den Dritten durchgeführt werden sollen. Weiter sind im Auslagerungsvertrag Informations- und Prüfungsrechte der internen Revision sowie von externen Prüfern festzulegen. Soweit erforderlich, hat der Auslagerungsvertrag auch Weisungsrechte zu enthalten. Auf diese Weise werden die Kontrollrechte des Instituts gegenüber dem Auslagerungsunternehmen sichergestellt. Um der BaFin eine effektive Aufsicht auch über die ausgelagerten Dienstleistungen zu ermöglichen, hat der Auslagerungsvertrag Informations- und Prüfungsrechte sowie der Kontrollmöglichkeiten der BaFin sicherzustellen. Daneben muss der Auslagerungsvertrag Regelungen enthalten, die sicherstellen, dass die datenschutzrechtlichen Bestimmungen beachtet werden. Dies ist nicht zuletzt im Hinblick auf die Brisanz des Themas "Datenschutz" in der Öffentlichkeit bedeutsam. Im Interesse der Erhaltung der Kontrollmöglichkeiten ist ferner vorgeschrieben, dass im Auslagerungsvertrag Kündigungsrechte des Instituts sowie angemessene Kündigungsfristen vereinbart werden. Darüber hinaus hat der Vertrag Regelungen über die Möglichkeit und gegebenenfalls die Modalitäten einer Weiterverlagerung zu enthalten, die sicherstellen, dass das Institut seine bankaufsichtsrechtlichen Anforderungen weiterhin einhält. Schließlich muss der Auslagerungsvertrag Bestimmungen enthalten, die das Auslagerungsunternehmen verpflichten, das Institut über Entwicklungen zu informieren, die die ordnungsgemäße Erledigung der ausgelagerten Aktivitäten und Prozesse beeinträchtigen können. Bei der Vertragsgestaltung stellt sich ein Sonderproblem im Zusammenhang mit der Auslegung der Vorschrift des § 25 a Abs. 2 S. 8 KWG, wonach die Auslagerung "einer schriftlichen Vereinbarung" bedarf. Dies wirft nahezu zwangsläufig die Frage auf, ob mit "schriftlicher Vereinbarung" Schriftform im Sinne von § 126 BGB gemeint ist. Dies würde bedeuten, dass jeder Auslagerungsvertrag von beiden Vertragspartnern eigenhändig unterzeichnet werden müsste. Zu diesem Thema gibt es jedoch noch keine gesicherte und einheitliche Rechtsauffassung. Gute Gründe sprechen dafür, dass der Begriff "schriftliche Vereinbarung" nicht im Sinne einer eigenhändigen Unterschrift zu verstehen ist. So gilt § 126 BGB nur für die Fälle, in denen das BGB oder eine sonstige Vorschrift des Privatrechts die Schriftform vorschreibt.3) Bei § 25 a Abs. 2 S. 8 KWG handelt es sich dagegen um eine öffentlich-rechtliche Norm zur Gefahrenabwehr, die in erster Linie die inhaltliche Prüfung einer Auslagerungsvereinbarung durch die BaFin ermöglichen soll. Die privatrechtliche Schutz- und Warnfunktion des § 126 BGB spielt in diesem Zusammenhang keine wesentliche Rolle. Vielmehr geht es um die Dokumentation einer Einigung, die in Form einer verkörperten Erklärung vorliegen muss. Da die Rechtslage noch nicht abschließend geklärt ist, sollte jedenfalls für den Fall, dass nur wenige Auslagerungsverträge zu unterzeichnen sind, unter KWG-rechtlichen Gesichtspunkten auf eine eigenhändige Unterschrift des Auslagerungsvertrags nicht verzichtet werden, wenn auf "Nummer Sicher" gegangen werden soll. 5. Die Auslagerung interner Sicherungsmaßnahmen: Die Norm des § 25 c KWG regelt vom Institut zu treffende interne Sicherungsmaßnahmen. Gemäß § 25 c Abs. 1 KWG müssen Institute über ein angemessenes Risikomanagement sowie über Verfahren und Grundsätze verfügen, die der Verhinderung von Geldwäsche, Terrorismusfinanzierung und sonstiger strafbarer Handlungen dienen, die zu einer Gefährdung des Vermögens des Instituts führen können. Letzteres umfasst insbesondere Maßnahmen zur Betrugsprävention. Zu diesem Zweck hat das Institut angemessene geschäfts- und kundenbezogene Sicherungssysteme zu schaffen, zu aktualisieren und diesbezügliche Kontrollen durchzuführen. Für die Auslagerung interner Sicherungsmaßnahmen ist die Vorschrift des § 25 c Abs. 5 KWG relevant. Hiernach dürfen Institute interner Sicherungsmaßnahmen nur nach vorheriger Zustimmung der Ba-Fin im Rahmen von vertraglichen Vereinbarungen durch einen Dritten durchführen lassen. Voraussetzung ist, dass der Dritte gewährleistet, dass die Sicherungsmaßnahmen ordnungsgemäß durchgeführt und die Steuerungsmöglichkeiten der Institute sowie die Kontrollmöglichkeiten der BaFin nicht beeinträchtigt werden. Wird das Kreditkartengeschäft im Wege des Vollprocessings ausgelagert, so kann dies auch die Auslagerung des Autorisierungsprozesses und Maßnahmen zur Betrugsprävention betreffen. Soweit daher das Institut mit der Auslagerung des Kartenprocessings oder Teilen hiervon auch Sicherungsmaßnahmen im Sinne von § 25 c KWG auslagert, gilt daher das Zustimmungserfordernis der BaFin. Das Zustimmungserfordernis des § 25 a Abs. 5 KWG stellt in der Auslagerungspraxis einen leicht übersehbaren "Stolperstein" dar und sollte in jedem Fall in die Erwägungen des auslagerungswilligen Instituts miteinbezogen werden. ZAG-rechtliche Aspekte Neben den KWG-rechtlichen Aspekten, welche das auslagernde Kreditinstitut betreffen, ist außerdem für den Prozessor die Frage zu klären, ob dieser eine Genehmigung der BaFin gemäß § 8 Abs. 1 Zahlungsdiensteaufsichtsgesetz (ZAG) benötigt. Gerade beim Kartenvollprocessing wird oft der Fall auftreten, dass der Prozessor Zahlungsdienste im Sinne von § 1 Abs. 2 ZAG erbringt. Der Prozessor wird in der Praxis insbesondere Zahlungsvorgänge zum Beispiel per Lastschrift oder Überweisung ausführen, durch die Zahlungskonten der vom Prozessor vertretenen Institute oder der jeweiligen Kartenanbieter bedient werden. Diese grundsätzlich erlaubnispflichtigen Zahlungsdienste können nur unter den engen Voraussetzungen des Negativkatalogs des § 1 Abs. 10 ZAG ausnahmsweise erlaubnisfrei sein. Im Folgenden soll nur beispielhaft auf drei Ausnahmetatbestände eingegangen werden, die beim Kartenvollprocessing besonders häufig vorkommen. Natürlich können darüber hinaus weitere Ausnahmetatbestände verwirklicht sein, zumal sich die Beurteilung der Erlaubnispflicht des Prozessors nicht durch eine generalisierende Gesamtbetrachtung der Leistungen ergibt, sondern für jeden Zahlungsdienst im Einzelnen beurteilt werden muss. Der Prozessor muss daher nicht nur sicherstellen, dass er die standardmäßig von ihm angebotenen Dienstleistungen auf eine Erlaubnispflicht geprüft hat. Er muss auch eine Prüfroutine für jede neue oder vom Standard abweichende Dienstleistung etablieren, auch wenn es sich nur um einen Einzelfall handelt. 1. Erlaubnisfreiheit aufgrund rein technischer Dienstleistungen: Die Ausnahmevorschrift § 1 Abs. 10 Nr. 9 ZAG nimmt alle rein technischen Dienstleistungen des Prozessors von der Erlaubnispflicht aus, die zwar zur Erbringung von Zahlungsdiensten beitragen, bei denen der Prozessor jedoch zu keiner Zeit in den Besitz der zu übermittelnden Geldbeträge gelangt. Die amtliche Erläuterung in der Bundestags-Drucksache 16/11613, S. 39 führt aus: "Das betrifft vor allem die Verarbeitung und Speicherung von Daten, vertrauensbildende Maßnahmen und Dienste zum Schutz der Privatsphäre, Nachrichten- und Instanzenauthentisierung, Bereitstellung von Informationstechnologie (IT-) und Kommunikationsnetzen sowie Bereitstellung und Wartung der für Zahlungsdienste genutzten Endgeräte und Einrichtungen." Die Privilegierung greift demnach nicht, sofern der Prozessor auch kaufmännische Dienstleistungen in Bezug auf den Zahlungsvorgang übernimmt (wie Abwicklung und Abrechnung von Zahlungsvorgängen). Leitet er dagegen lediglich Lastschrift- und Überweisungsdateien (zum Beispiel DTAUS-Dateien) weiter, wird dies nicht als Abwicklung oder Abrechnung von Zahlungsvorgängen gesehen und bleibt eine rein technische Dienstleistung.4) In jedem Fall steht jedoch eine Zwischenbuchung auf einem eigenen Konto des Prozessors oder die Abwicklung der Transaktion über ein fremdes Konto, für das er eine Verfügungsbefugnis hat, einer Privilegierung entgegen. Sofern der Prozessor beabsichtigt, nur rein technische Dienste anzubieten, muss er selbst darauf achten, dass ihm nicht einmal eine vorübergehende, jederzeit widerrufliche Kontrollvollmacht für das Konto, über das die Zahlung abgewickelt wird, eingeräumt wird. Es bietet sich für den Prozessor an, dies bereits in den Dienstleistungsverträgen mit seinen Vertragspartnern entsprechend auszuschließen. 2. Erlaubnisfreiheit aufgrund der Teilnahme am System von Zahlungsdienstleistern: Keine Zahlungsdienste sind zudem Zahlungsvorgänge, die von Zahlungsdienstleistern innerhalb eines Zahlungs- oder Wertpapierabwicklungssystems abgewickelt werden (§ 1 Abs. 10 Nr. 7 ZAG) oder untereinander auf eigene Rechnung ausgeführt werden (§ 1 Abs. 10 Nr. 12 ZAG). Hintergrund dieser Privilegierungen ist, dass von der Erlaubnispflicht des ZAG nur solche Zahlungsdienste erfasst werden sollen, die gegenüber Kunden erbracht werden, die nicht bereits selbst der Erlaubnispflicht des ZAG unterliegen.5) Die Gesetzesbegründung in der Bundestags-Drucksache 16/11613 stellt klar, dass für das Eingreifen der Privilegierung "in jedem Einzelfall der Dienstleistungsempfänger als inländisches Zahlungsinstitut eine Erlaubnis der Bundesanstalt nach § 8 Abs. 1 (ZAG)" haben muss. Fraglich ist daher, ob diese Privilegierung entfällt, wenn der grundsätzlich nach § 1 Abs. 10 Nr. 7 beziehungsweise 12 ZAG privilegierte Prozessor die gleiche Dienstleistung für ein Unternehmen erbringt, das selbst privilegiert ist. Für die Weitergeltung der Privilegierung in diesem Fall könnte angeführt werden, dass die Zahlungsvorgänge der beiden Vertragspartner sich weiterhin in einem System der Zahlungsdienstleister bewegen. Legt man allerdings die vom Schutzzweck getragene strenge Auslegung der Erlaubnispflicht durch die BaFin zugrunde, würde die Privilegierung entfallen. Denn würde man in diesem Fall auf beiden Seiten einen erlaubnisfreien Zahlungsdiensteverkehr zulassen, bestünde die Gefahr, dass sich innerhalb des Zahlungsdienstesystems ein aufsichtsrechtsfreier Raum bildet. Um in diesem Fall Rechtssicherheit zu erreichen, bietet sich eine vertragliche Regelung an, wonach der Vertragspartner erklärt, dass er eine Erlaubnis besitzt. Dies gilt insbesondere dann, wenn der Prozessor Zahlungsdienste als Mitwirkungsleistung zu erbringen hat. 3. Erlaubnisfreiheit aufgrund Konzernprivileg: Bedeutsam ist außerdem das sogenannte "Konzernprivileg" des § 1 Abs. 10 Nr. 13 ZAG, wonach Zahlungsvorgänge innerhalb eines Konzerns oder zwischen Mitgliedern einer kreditwirtschaftlichen Verbundgruppe keine Zahlungsdienste im Sinne der ZAG darstellen. Als kreditwirtschaftliche Verbundgruppe ist zum Beispiel der genossenschaftliche Finanzverbund oder der Sparkassenverband anerkannt. Als Mitglieder sind jedoch nur die Sparkassen beziehungsweise. Genossenschaftsbanken selbst von der Privilegierung erfasst. Nicht zur Verbundgruppe gehören die jeweiligen Dienstleister und damit auch der Kartenprozessor. Außerdem greift die Privilegierung nur innerhalb der jeweiligen Verbundgruppe, nicht aber zum Beispiel landesverbandübergreifend. Diese Fallgruppe ist daher im vorliegenden Fall der Auslagerung des Kartenprocessings auf einen Prozessor wenig relevant. Praxisrelevant ist in diesem Zusammenhang lediglich der Fall des Konzernverbunds. Es gilt der handelsrechtliche Konzernbegriff im Sinne des § 271 Abs. 2 HGB in Verbindung mit § 290 ff. HGB. Dieser umfasst Unternehmen, auf die eine Muttergesellschaft mittelbar oder unmittelbar beherrschenden Einfluss ausübt. Die Ausnahmevorschrift ist somit auf Gleichordnungskonzerne - das heißt rechtlich selbstständige Unternehmen unter einheitlicher Leitung, ohne dass ein Unternehmen einen beherrschenden Einfluss ausübt - nicht anwendbar. Zahlungsvorgänge zwischen den Konzernunternehmen sind privilegiert und damit erlaubnisfrei. Probleme bei der Beurteilung der Privilegierung entstehen aber bei Zahlungsvorgängen, innerhalb derer der Prozessor Zahlungen zwischen einem Konzernunternehmen und einem konzernexternen Dritten vermittelt. Dazu enthält das BaFin-Merkblatt "Hinweise zu dem Gesetz über die Beaufsichtigung von Zahlungsdiensten (Zahlungsdiensteaufsichtsgesetz - ZAG)" vom Dezember 2011 folgende Hinweise: "Bei der Vermittlung von Zahlungen zwischen einer Stelle innerhalb des Konzerns und einer Stelle außerhalb des Konzerns kommt es für die Anwendung des Konzernprivilegs darauf an, dass der Dienstleistungsempfänger innerhalb des Konzerns steht. Das kann auch der Zahlungsempfänger sein. Zieht zum Beispiel ein Konzernunternehmen für die anderen Unternehmen des Konzerns Lastschriften ein, so fällt dieser Dienst, falls als Lastschriftgeschäft im Sinne des § 1 Abs. 2 Nr. 2 Buchst. a ZAG qualifiziert, unter das Konzernprivileg, denn das Dienstverhältnis besteht allein zu den anderen Konzernunternehmen. Die Erteilung der Berechtigung durch den Lastschriftschuldner allein schafft kein Dienstleistungsverhältnis." Durch diese beispielhaften Ausführungen der BaFin wird klar, dass für die Anwendung des Konzernprivilegs auf Zahlungsvorgänge entscheidend ist, mit wem der Dienstleistungsvertrag geschlossen wurde. Wurde er mit einem Konzernunternehmen geschlossen und ist ein konzernfremder Dritter lediglich durch den Zahlungsvorgang mit eingebunden, findet die Privilegierung Anwendung. Wurde der für den Zahlungsvorgang maßgebliche Vertrag hingegen mit einem konzernfremden Dritten geschlossen, greift die Privilegierung nicht ein. Dabei kommt es nicht darauf an, ob es sich bei dem Zahlungsvorgang um eine Haupt- oder lediglich eine untergeordnete Mitwirkungspflicht gegenüber dem konzernfremden Dritten handelt. Denn § 1 Abs. 2 ZAG unterscheidet bei der Definition der erlaubnispflichtigen Zahlungsdienste nicht danach, ob bei dem Zahlungsdienst eine Haupt- oder eine Nebenleistung im Rahmen eines Dienstleistungsvertrages vorliegt. Eine Privilegierung entfällt demnach zum Beispiel dann, wenn Teile der administrativen Abwicklung des Kreditkartengeschäfts vom Prozessor einem konzernfremden Dritten übertragen werden und sich der Prozessor im Auftrag der anderen Konzernunternehmen gegenüber dem Dritten verpflichtet, dessen Zahlungskonto, über das die Kartenumsätze abgewickelt werden, per Überweisung auszugleichen. Da es regelmäßig zu Vertragskonstellationen kommen wird, in denen der Prozessor als "Mittelsmann" zwischen den Konzernunternehmen und den konzernfremden Dienstleistern auftritt, wird das Konzernprivileg als Rechtfertigung für eine fehlende Erlaubnis nicht ausreichend sein. Der Prozessor sollte daher darauf achten, dass er sich sowohl von seinen Auftraggebern als auch von seinen Auftragnehmern (sofern er diesen gegenüber Zahlungsdienste erbringt) in den jeweiligen Verträgen zusichern lässt, dass diese der Bankenaufsicht im Rahmen des KWG oder des ZAG unterliegen. Auf diese Weise kann er von der oben dargestellten Privilegierung aus Nr. 7 und 12 profitieren. Versicherungsrechtliche Aspekte/ Versicherungsleistung als Kartenprodukt Ein weiteres, wenig beachtetes Problemfeld tritt dann auf, wenn im Rahmen des Vollprocessing auch das Management der Versicherungsleistungen für Karten auf den Prozessor übertragen wurde. Im Rahmen des Managements dieser kartentypischen Versicherungsleistungen kann es dann unter anderem Aufgabe des Prozessors sein, diese Versicherungsleistungen mit einem Versicherungsunternehmen auszuhandeln und als Rahmenvertrag mit standardisierten Versicherungspaketen den Instituten anzubieten. In diesem Zusammenhang sollte der Prozessor folgendes Problem beachten: Gemäß Art. 12, 12 a 2. Richtlinie 88/357/ EWG muss ein Versicherungsunternehmen mit Sitz in der EU, in dem Mitgliedstaat, in dem das versicherte Risiko "belegen" ist, eine Niederlassung oder einen Generalbevollmächtigten etablieren. In Bezug auf das Verhältnis EU-Schweiz bestehen zudem gegenseitige Bewilligungs- und Erlaubnispflichten mit weitergehenden Zulassungsvoraussetzungen.6) Bei den Versicherungsleistungen für Karten ist in der Regel davon auszugehen, dass das versicherte Risiko in dem Staat belegen ist, in dem der versicherte Karteninhaber seinen Wohnsitz und gewöhnlichen Aufenthalt hat.7) Hieraus ergibt sich die Problematik, dass im grenznahen Verkehr für eine beispielweise in der Schweiz ansässige Person von einem deutschen Kreditinstitut auf deutschem Staatsgebiet eine Karte mit Versicherungsschutz ausgestellt wird. Das Versicherungsunternehmen würde damit der Erlaubnis- und Niederlassungspflicht in der Schweiz unterliegen. Der umgekehrte Fall, dass zum Beispiel eine in Deutschland ansässige Person von einem schweizerischen Kreditinstitut in der Schweiz eine Karte mit Versicherungsschutz erhält, unterliegt hingegen der deutschen Versicherungsaufsicht. Das Versicherungsunternehmen muss daher in jedem europäischen Land Niederlassungen oder Generalbevollmächtigte etablieren. Anderenfalls wäre im Einzelfall darauf zu achten, das kartenausgebende Kreditinstitut beziehungsweise. den Prozessor zu verpflichten, den Versicherungsschutz nur Personen zu gewähren, die ihren Wohnsitz im Inland haben. Internationale Versicherer bevorzugen Besondere Probleme bei der Beurteilung der Rechtslage bestehen dann natürlich im Falle einer Doppelansässigkeit. Gemäß Nr. 9 der Entschließung des Minister komitees des Europarates (72) I vom 18. Januar 1972, welches auch auf das Abkommen mit der Schweiz angewendet werden kann, wurden zur Vereinheitlichung die Rechtsbegriffe "Wohnsitz" und "Aufenthalt" definiert. Danach sind für die Beurteilung des gewöhnlichen Aufenthalts die Dauer und die Beständigkeit des Aufenthaltes sowie andere Umstände persönlicher und beruflicher Natur" entscheidend. Schon mangels Informationen zu den persönlichen und beruflichen Umständen wird es in der Regel weder dem Versicherungsunternehmen noch dem kartenausstellenden Kreditinstitut möglich sein, dies zutreffend und abschließend zu bewerten. Da eine Klärung der Wohnsitzsituation für das kartenausgebende Institut ausgesprochen schwierig sein kann, ist es aus Sicht des Prozessors empfehlenswert, einem Versicherungsunternehmen, das europaweit tätig ist, den Vorzug gegenüber einem kleineren - unter Umständen preisgünstigeren - lokalen Anbieter zu geben. Fußnoten: 1) Vergleiche Boos/ Fischer/ Schulte-Mattler, KWG, 4. Auflage 2012, § 25 a Rn. 18). 2) Vergleiche Boos/ Fischer/ Schulte-Mattler, KWG, § 25a Rn. 19 m.w.N.. 3) Ellenberger, in: Palandt, BGB, 72. Auflage 2013, § 126 Rn. 1) 4) Vergleiche BaFin Merkblatt, Hinweise zu dem Gesetz über die Beaufsichtigung von Zahlungsdiensten, Dezember 2011). 5) Vergleiche BaFin Merkblatt, Hinweise zu dem Gesetz über die Beaufsichtigung von Zahlungsdiensten, Dezember 2011. 6) Vergleiche Art. 7 "Abkommen zwischen der Schweizerischen Eidgenossenschaft und der Europäischen Wirtschaftsgemeinschaft betreffend die Direktversicherung mit Ausnahme der Lebensversicherung" vom 10. Oktober 1989. 7) Vergleiche Art. 2 lit. d Zweite Richtlinie 88/357/EWG, sowie in Bezug auf die Schweiz in Art. 8.2 "Abkommen zwischen der Schweizerischen Eidgenossenschaft und der Europäischen Wirtschaftsgemeinschaft betreffend die Direktversicherung mit Ausnahme der Lebensversicherung" vom 10. Oktober 1989.