$id = $_GET["id"];
$res = mysql_query("SELECT * FROM mitarbeiter WHERE abteilung = mysql_escape_string($id)");

Für nummerische Werte ist mysql_escape_string sinnfrei, siehe auch http://aktuell.de.selfhtml.org/artikel/php/kontextwechsel/

Falsch. Schon mal was von SQL injection gehört? ;)

lg