echo $begrüßung;

$anrede = mysqli->real_escape_string($data[0]);

Bei einem SQL-Statement handelt es sich um eine Mischung von Anweisung und Daten. Damit die Daten von den Anweisungen unterschieden werden können, müssen sie speziell gekennzeichnet werden. Man verwendet dazu beispielsweise Anführungszeichen (Quotieren). Innerhalb eine solchen Zeichenfolge kann nun kein Anführungszeichen stehen, weil es selbige beendet. Deswegen maskiert man. Bei einem P.S. werden die Daten nicht in einen SQL-String eingefügt sondern gehen einen eigenen Weg. Es ist deshalb weder ein Quotieren noch ein Maskieren notwendig.

$anrede = $data[0];

usw. reicht.

$statement = $mysqli->prepare("INSERT INTO ".DB_TABLE." (title, firstname, lastname, email, postcode, city, branch, business, source, sourcecategorie, got_mail)".
  "VALUES (?, ?, ?, ?, ?, ?, ?, ?, '$source', '$sourcecategorie', '0')");

$source und $sourcecategorie hingegen sollten sehr wohl maskiert werden, weil du sie hier in den SQL-Kontext einfügst. Vielleicht haben sie momentan kein ' im Namen, aber kannst du das für alle Zukunft definitiv ausschließen?

Der Rest sah in Ordnung aus, abgesehen von der fehlenden Fehlerbehandlung.

echo "$verabschiedung $name";