hallo,

Wenn ein User keinen Zugriff auf eine Seite hat, sende ich den 401 Header Status.

Das ist ein bißchen verworren. Diese Aufgabe sollte eigentlich dein Webserver erfüllen.

Den Header Status sende ich folgendermassen (PHP):
header ("HTTP/1.1 401");
Leider wird trotzdem die Seite angezeigt, die eigentlich gesperrt sein sollte.

Weil das keine "Sperrung" bedeutet. Der HTTP-Statuscode 401 bedeutet, "Die angeforderten Daten sind zugangsgeschützt. Der Server kann die Daten nur senden, wenn eine gültige Zugangskennung, bestehend aus Benutzername und Passwort, bei der Anfrage mit gesendet wird".

Was mache ich falsch oder ist meine Überlegung falsch, dass wenn ich den Header Status 401 sende, die entsprechende Fehlerseite erscheint?

Du versuchst es mit PHP zu lösen. Zwar wäre es möglich, mit
  header("Location:http://www.example.test/fehler401.php")
herumzuwurschteln, aber eine solche "Weiterleitung" betrifft _alle_, und scheint von dir nicht beabsichtigt - ganz abgesehen davon, daß das ziemlich unsinnig wäre.

Versuche das Ganze über .htaccess zu lösen.

Grüße aus Berlin

Christoph S.