Hi,

$vier = mysql_query("update unternehmen set optin = 'jaa' where 'id' =".$_GET['value']);

Du verwendest hier ungeprüft eine User-Eingabe im Datenbank-Statement. Das kann gefährlich sein - mysql_real_escape_string könnte nützlich sein.

Außerdem vergleichst Du diese User-Eingabe mit dem String 'id'.
Wenn der böse User jetzt "'id'" (also ' und i und d und ') als value-Parameter angibt, ist die Bedingung für alle Datensätze erfüllt, damit werden alle Datensätze geändert.
Willst Du nicht lieber die Spalte id mit dem Parameterwert vergleichen?

cu,
Andreas