Oder hat jemand eine bessere Idee? Bis jetzt war das immer der Fall :-)

Darf ich die Frage stellen, ob es in irgendeiner Form notwendig ist, dass der NUR die berechtigte Person NUR den ihr zugeordneten QR-Code sehen kann?

Wenn es so ist, dann

1. ist jede der von Dir gezeigte Möglichkeiten mit dem „Geheimnis“ in der URL untauglich. Denn die taucht trotz HTTPS z.B. in der Browserhistorie und seltener sogar in Proxys (Ups. Ja! Ausgerechnet in transparenten Zwangsproxies stark sicherheitsbewusster Organisationen) auf und kann in jedem Fall bei der Eingabe von unberechtigten Dritten mit Augen oder Kameras gesehen werden.
2. kommt die Frage auf, wie sicher soll es sein? Wie viel Aufwand willst Du den Benutzern zumuten? Da hängt wieder davon ab,um was es denn geht. Also dem „use case“ des QR-Dingens, über den Du nichts schreibst.