Ich beantworte meine eigene Frage, nachdem ich ein bisschen mehr nach Informationen gesucht habe, nur für den Fall, dass es allen anderen hilft, die diese Informationen suchen.
IE sucht keine Zertifikate in der Maschine. Es sind Anwendungen (wie ein persönlicher Zertifikatsmanager oder der Treiber für mein PKI-USB-Gerät), die die von ihnen verwalteten Zertifikate bei IE / Windows registrieren. Sie verwenden dazu die Crypto-APIs. Wenn die Anwendung beendet wird, werden die von ihr verwalteten Zertifikate deregistriert, sodass sie nicht mehr im persönlichen IE-Tab angezeigt werden. In meinem Laptop hatte ich zwei solcher Anwendungen - eine war das USB-PKI-Gerät und die andere war ein Zertifikatsmanager.