echo $begrüßung;

An wen wird denn der Location-Header gesendet? An den Client.
Was macht der damit? Er ruft die angegebene Ressource auf und zeigt sie in der Adresszeile an.
War das nicht das, was verhindert werden sollte? Dieser Vorschlag ist also untauglich.

Ist er nicht. Die aufgerufene Seite interessiert ja auch keinen.

Ach, warum wird sie denn dann aufgerufen?

Wenn ich mittels eines Formulars Benutzer:Passwort@Link übergebe,
komme ich ohne nochmalige Eingabe der Daten in den Passwortgeschützten Bereich.
In der verlinkten Datei im Passwortgeschützten Bereich leite ich auf eine andere weiter und habe somit deren Namen oben stehen und nicht mehr User:Passwort@Link. Klar oder?

Und dann soll der Server irgendwohin weiterleiten, wo kein Nutzername und Passwort mehr übergeben wird? Warum soll man dann nicht gleich auf diesen Bereich linken können? Deine Ausführungen gehen, wie sich eben gerade herausstellt, von einer HTTP-Authentifikation aus, bei der Username und Passwort nach einmaligem Eingeben bei jedem weiteren Request automatisch vom Browser an den Server gesendet werden. In dem Fall wäre dein Vorschlag noch halbwegs nutzbar. Der OP schildert das Problem aber so, dass die Angaben per Querystring-Parameter übergeben werden.

Außerdem sagte er, dass die Anwendung auf dem Server nicht verändert werden kann, also die Übergabe als Querystring nicht durch eine andere Lösung ersetzt werden kann. Denn dann hätte man die ganze Geschichte gleich "richtig" schreiben können.

echo "$verabschiedung $name";