Es wäre ein Verstoß gegen die DSGVO und dieser würde man dann beim Landesdatenschutzbeauftragten angezeigt werden. Diese sind aktuell überfordert, aber deswegen werden keine Fälle "ignoriert", sie müssen jedem Verstoß nachgehen.
Zunächst würde man einen Brief bekommen (es ist sehr unwahrscheinlich, dass man deswegen einen unangekündigten Besuch bekommen würde). Im Prinzip wird man dann die DSGVO Dokumentation einsehen wollen. Dann kann zweierlei passieren: du hast etwas gemacht, was nicht dokumentiert ist (ist ein Verstoß) oder du hast es dokumentiert und dich nicht dran gehalten (ist auch ein Verstoß). Verstöße werden mit Geldstrafen geahndet, und diese sind saftig. Das Problem hier ist die Art der Daten - also besondere Personendaten - und nicht die Menge.
"Aber der Patient hat doch gesagt er will" - jo, ist aber leider nichts wert. Die ganze DSGVO Geschichte ist ein Grundrecht, kann also nicht per AGB, per Behandlungsvertrag oder sonst etwas ausgehebelt werden.
Ich glaube nicht, dass das Verschicken eine unverschlüsselte Übertragung bereits als Datenpanne eingestuft wird (die man dann auch innerhalb 72 Stunden melden müsste), sicher bin ich mir aber nicht.
Das gleiche gilt übrigens auch für andere Dinge - mein liebstes Beispiel: WhatsApp.